|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
PingIdentity (SAML) の設定
組織がユーザー認証に Ping アイデンティティプロバイダー (IdP) を使用している場合、Rancher を設定してユーザーが IdP の資格情報を使用してログインできるようにすることができます。
前提条件:
Ping IdP サーバー を設定する必要があります。
設定に必要な Rancher サービスプロバイダーの URL は以下の通りです: メタデータ URL:
https://<rancher-server>/v1-saml/ping/saml/metadataアサーションコンシューマサービス (ACS) URL:`\https://<rancher-server>/v1-saml/ping/saml/acs` これらの URL は、認証設定が Rancher に保存されるまで有効なデータを返しませんのでご注意ください。IdP サーバーから
metadata.xmlファイルをエクスポートします。詳細については、 PingIdentity ドキュメント を参照してください。
-
左上隅で、*☰ > ユーザーと認証*をクリックします。
-
左側のナビゲーションメニューで、*認証プロバイダー*をクリックします。
-
Ping Identity をクリックします。
-
Ping アカウントの設定 フォームに入力してください。Ping IdP では、使用したいデータストアを指定できます。データベースを追加するか、既存のLDAPサーバーを使用できます。例えば、Active Directory (AD)サーバーを選択した場合、以下の例ではAD属性をRancher内のフィールドにマッピングする方法を説明します。
-
表示名フィールド:ユーザーの表示名を含むAD属性を入力してください(例:
displayName)。 -
ユーザー名フィールド:ユーザー名/名を含むAD属性を入力してください(例:
givenName)。 -
UIDフィールド:すべてのユーザーに固有のAD属性を入力してください(例:
sAMAccountName、distinguishedName)。 -
グループフィールド:グループメンバーシップを管理するためのエントリを作成してください(例:
memberOf)。 -
エンティティ ID フィールド (オプション):パートナーの公開された、プロトコル依存の一意の識別子です。この ID は、SAML 2.0 トランザクションのサーバーを運営するエンティティとしてあなたの組織を定義します。この ID は、アウトオブバンドで取得されたか、SAML メタデータファイル経由で取得された可能性があります。
-
Rancher APIホスト:あなたのRancherサーバーのURLを入力してください。
-
秘密鍵*と*証明書:これは、RancherとあなたのIdPの間に安全な接続を作成するための鍵-証明書ペアです。
opensslコマンドを使用して生成できます。次に例を示します。
openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"
-
IDPメタデータ:あなたが `metadata.xml`https://documentation.pingidentity.com/pingfederate/pf83/index.shtml#concept_exportingMetadata.html[IdP サーバーからエクスポートした] ファイル。
-
-
Ping アカウントの設定 フォームを完了した後、有効化 をクリックします。
RancherはIdPログインページにリダイレクトします。Rancher の PingIdentity 設定を検証するために、Ping IdP で認証される資格情報を入力します。
IdPログインページを見るためにポップアップブロッカーを無効にする必要があるかもしれません。
*結果:*Rancher は PingIdentity と連携するように設定されています。ユーザーは PingIdentity のログインを使用して Rancher にサインインできるようになりました。
|
SAMLプロバイダーの注意点
|
SAMLシングルログアウト(SLO)の設定
Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:
|
The Log Out behavior configuration section only appears if the SAML authentication provider allows for |
-
Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.
-
In the top left corner, click ☰ > Users & Authentication.
-
In the left navigation menu, click Auth Provider.
-
Under the section Log Out behavior, choose the appropriate SLO setting as described below:
Setting Description Log out of Rancher and not authentication provider
Choosing this option will only logout the Rancher application and not external authentication providers.
Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)
Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.
Allow the user to choose one of the above in an additional log out step
Choosing this option presents users with a choice of logout method as described above.
SAMLとOpenLDAPグループ権限
When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.
Rancher assigns user permissions based strictly on the groups provided in the SAML response.
|
Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response. To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups. |