この文書は自動機械翻訳技術を使用して翻訳されています。正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。相違がある場合は、元の英語版英語が優先され、正式なテキストとなります。

2.Microsoft AD FSのためのSUSE Rancher Primeの設定

RancherのためのMicrosoft AD FSの設定を完了した後、Active Directory Federation Service (AD FS)の情報をRancherに入力して、AD FSユーザーがRancherに認証できるようにします。

ADFSサーバーの設定に関する重要な注意事項：

SAML 2.0 WebSSOプロトコルサービスURLは次のとおりです：https://<RANCHER_SERVER>/v1-saml/adfs/saml/acs
信頼された当事者トラスト識別子URLは次のとおりです：https://<RANCHER_SERVER>/v1-saml/adfs/saml/metadata
federationmetadata.xml`ファイルをAD FSサーバーからエクスポートする必要があります。これは次の場所にあります：https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml`

左上隅で、*☰ > ユーザーと認証*をクリックします。
左側のナビゲーションメニューで、*認証プロバイダー*をクリックします。
*ADFS*をクリックします。
*AD FSアカウントの設定*フォームを完了します。Microsoft AD FSでは、既存のActive Directory (AD)サーバーを指定できます。以下の設定セクションでは、AD属性をRancher内のフィールドにマッピングする方法について説明します。
*AD FSアカウントの設定*フォームを完了した後、*有効化*をクリックします。

RancherはAD FSログインページにリダイレクトします。RancherのAD FS設定を検証するために、Microsoft AD FSで認証される資格情報を入力します。

AD FSログインページを見るためにポップアップブロッカーを無効にする必要があるかもしれません。

*結果:*RancherはMicrosoft AD FSと連携するように設定されています。ユーザーはMicrosoft AD FSのログインを使用してRancherにサインインできるようになりました。

設定

フィールド説明

フィールド	説明
表示名フィールド	ユーザーの表示名を含むAD属性です。例: `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`
ユーザー名フィールド	ユーザー名/名を含むAD属性です。例: `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname`
UIDフィールド	すべてのユーザーに固有のAD属性です。例: `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn`
グループフィールド	グループメンバーシップを管理するためのエントリを作成してください。例: `http://schemas.xmlsoap.org/claims/Group`
Rancher APIホスト	あなたのRancherサーバーのURLです。
秘密鍵 / 証明書	これは、RancherとあなたのAD FSの間に安全な接続を作成するための鍵-証明書ペアです。共通名（CN）をRancherサーバーのURLに設定してください。証明書作成コマンド
メタデータXML	あなたのAD FSサーバーからエクスポートされた`federationmetadata.xml`ファイルです。このファイルは`\https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml`にあります。

表示名フィールド

ユーザーの表示名を含むAD属性です。

例: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

ユーザー名フィールド

ユーザー名/名を含むAD属性です。

例: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

UIDフィールド

すべてのユーザーに固有のAD属性です。

例: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

グループフィールド

グループメンバーシップを管理するためのエントリを作成してください。

例: http://schemas.xmlsoap.org/claims/Group

Rancher APIホスト

あなたのRancherサーバーのURLです。

秘密鍵 / 証明書

これは、RancherとあなたのAD FSの間に安全な接続を作成するための鍵-証明書ペアです。共通名（CN）をRancherサーバーのURLに設定してください。

証明書作成コマンド

メタデータXML

あなたのAD FSサーバーからエクスポートされた`federationmetadata.xml`ファイルです。

このファイルは`\https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml`にあります。

例の証明書作成コマンド

opensslコマンドを使用して証明書を生成できます。次に例を示します。

openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

SAMLシングルログアウト（SLO）の設定

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.
In the top left corner, click ☰ > Users & Authentication.
In the left navigation menu, click Auth Provider.

Under the section Log Out behavior, choose the appropriate SLO setting as described below:

Setting	Description
Log out of Rancher and not authentication provider	Choosing this option will only logout the Rancher application and not external authentication providers.
Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)	Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.
Allow the user to choose one of the above in an additional log out step	Choosing this option presents users with a choice of logout method as described above.

Setting

Description

Log out of Rancher and not authentication provider

Choosing this option will only logout the Rancher application and not external authentication providers.

Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

Allow the user to choose one of the above in an additional log out step

Choosing this option presents users with a choice of logout method as described above.

SAMLとOpenLDAPグループ権限

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.