この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

Okta (SAML) の設定

組織がユーザー認証に Okta アイデンティティプロバイダー (IdP) を使用している場合、Rancher を設定してユーザーが IdP の資格情報を使用してログインできるようにすることができます。

Okta の統合は、サービスプロバイダーが開始するログインのみをサポートしています。

前提条件

Okta で、以下の設定を持つ SAML アプリケーションを作成します。ヘルプについては、 Okta ドキュメント を参照してください。

設定

Single Sign on URL

https://yourRancherHostURL/v1-saml/okta/saml/acs

Audience URI (SP Entity ID)

https://yourRancherHostURL/v1-saml/okta/saml/metadata

Rancher における Okta の設定

Okta を Rancher と統合することで、認証されたユーザーがグループの権限を通じて Rancher リソースにアクセスできるようになります。Okta は、ユーザーを認証する SAML アサーションを返し、ユーザーが所属するグループを含みます。

  1. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  2. 左側のナビゲーションメニューで、*認証プロバイダー*をクリックします。

  3. Okta をクリックします。

  4. Okta アカウントの設定 フォームに入力してください。以下の例では、属性ステートメントから Rancher 内のフィールドに Okta 属性をマッピングする方法を説明します。

    フィールド 説明

    表示名フィールド

    ユーザーの表示名を含む属性ステートメントからの属性名。

    ユーザー名フィールド

    ユーザー名/名を含む属性ステートメントからの属性名。

    UID フィールド

    すべてのユーザーに固有の属性ステートメントからの属性名。

    グループフィールド

    あなたのグループを公開するグループ属性ステートメント内の属性名。

    Rancher APIホスト

    あなたのRancherサーバーのURLです。

    秘密鍵 / 証明書

    アサーション暗号化に使用されるキー/証明書ペア。

    メタデータXML

    アプリケーション`Identity Provider metadata``Sign On`セクションにあるファイル。

    openssl コマンドを使用してキー/証明書ペアを生成できます。次に例を示します。

     openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout myservice.key -out myservice.crt

  5. *Oktaアカウントの設定*フォームに入力した後、*有効化*をクリックします。

    RancherはIdPログインページにリダイレクトします。RancherのOkta設定を検証するために、Okta IdPで認証される資格情報を入力します。

    何も起こらない場合は、ブラウザがポップアップをブロックしている可能性があります。Rancherドメインのポップアップブロッカーを無効にし、使用している他の拡張機能でホワイトリストに追加してください。

*結果:*RancherはOktaと連携するように設定されています。ユーザーはOktaのログインを使用してRancherにサインインできるようになりました。

SAMLプロバイダーの注意点

OpenLDAPなしでOktaを設定すると、ユーザーやグループを検索したり直接参照したりすることができません。これにはいくつかの注意点があります:

  • Rancherで権限を割り当てる際、ユーザーとグループは検証されません。

  • ユーザーを追加する際、正確なユーザーID(つまり`UID Field`)を正しく入力する必要があります。ユーザーIDを入力すると、他の一致するユーザーIDの検索は行われません。

  • グループを追加する際は、テキストボックスの隣にあるドロップダウンからグループを選択する必要があります。Rancherは、テキストボックスからの入力がユーザーであると仮定します。

  • グループのドロップダウンには、あなたがメンバーであるグループのみが表示されます。ただし、管理者権限または制限された管理者権限を持っている場合、メンバーでないグループに参加することができます。

OpenLDAP検索を使用したOkta

ユーザーとグループの検索を支援するためにOpenLDAPバックエンドを追加できます。RancherはOpenLDAPサービスから追加のユーザーとグループを表示します。これにより、ログインしているユーザーがまだメンバーでないグループに権限を割り当てることができます。

OpenLDAPの前提条件

OktaをIdPとして使用する場合、Rancherが使用するための LDAPインターフェースを設定できます。外部のOpenLDAPサーバーを設定することもできます。

アクセス権を持つユーザーやグループのLDAPエントリを検索および取得できるように、RancherはLDAPバインドアカウント(サービスアカウントとも呼ばれます)で構成する必要があります。LDAPバインドアカウントとして管理者アカウントや個人アカウントを使用しないでください。 作成 OpenLDAPで専用のアカウントを作成し、設定された検索ベースの下にあるユーザーとグループへの読み取り専用アクセスを付与してください。

セキュリティ上の考慮事項

OpenLDAPサービスアカウントはすべての検索に使用されます。Rancherユーザーは、OpenLDAPサービスアカウントが表示できるユーザーとグループを確認できます。これは、各自のSAML権限に関係なく表示されます。

TLSを使用していますか?

OpenLDAPサーバーで使用される証明書が自己署名であるか、認識されていない証明書機関からのものである場合、RancherはCA証明書(中間証明書と連結されたもの)をPEM形式で必要とします。この証明書を設定中に提供してください。そうすれば、Rancherは証明書チェーンを検証できます。

RancherでOpenLDAPを設定する

OpenLDAPサーバー、グループ、およびユーザーの設定を構成します。ネストされたグループメンバーシップは利用できないことに注意してください。

設定を進める前に、外部認証設定と主要ユーザーに慣れておいてください。

  1. 管理者ロール(つまり、ローカルプリンシパル)が割り当てられたローカルユーザーを使用してRancherにサインインします。

  2. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  3. 左側のナビゲーションメニューで、*認証プロバイダー*をクリックします。

  4. *Okta*をクリックするか、SAMLがすでに設定されている場合は、*Edit Config*をクリックしてください。

  5. *User and Group Search*の下で、*OpenLDAPサーバーを設定する*を確認してください。

OpenLDAPサーバーへの接続をテストする際に問題が発生した場合は、サービスアカウントの資格情報を正しく入力し、検索ベースを正しく設定したことを確認してください。Rancherのログを調査することで、ルート原因を特定するのに役立ちます。デバッグログには、エラーに関するより詳細な情報が含まれている場合があります。詳細については、デバッグログを有効にするにはどうすればよいですかを参照してください。

SAMLシングルログアウト(SLO)の設定

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

SAMLとOpenLDAPグループ権限

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.