この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

ShibbolethとOpenLDAPによるグループ権限管理

ShibbolethはSAMLプロバイダであるため、グループの検索をサポートしていません。Shibboleth統合はユーザーの資格情報を検証できますが、追加の設定なしにRancherのグループに権限を割り当てることはできません。

この問題の一つの解決策は、OpenLDAPアイデンティティプロバイダを設定することです。ShibbolethのバックエンドにOpenLDAPを使用することで、Rancherでグループを検索し、Rancher UIからクラスター、プロジェクト、またはネームスペースなどのリソースに割り当てることができます。

用語集

  • *Shibboleth*はコンピュータネットワークとインターネットのためのシングルサインオンログインシステムです。これにより、ユーザーはさまざまなシステムに対して一つのアイデンティティを使用してサインインできます。ユーザーの資格情報を検証しますが、単独ではグループメンバーシップを処理しません。

  • *SAML:*セキュリティアサーションマークアップ言語(Security Assertion Markup Language)は、アイデンティティプロバイダとサービスプロバイダ間で認証および認可データを交換するためのオープンスタンダードです。

  • *OpenLDAP:*は、軽量ディレクトリアクセスプロトコル(LDAP)の無料のオープンソース実装です。これは、組織のコンピュータとユーザーを管理するために使用されます。OpenLDAPはグループをサポートしているため、Rancherユーザーにとって便利です。Rancherでは、アイデンティティプロバイダにグループが既に存在する限り、グループに権限を割り当てて、クラスター、プロジェクト、またはネームスペースなどのリソースにアクセスできるようにすることが可能です。

  • *IdPまたはIDP:*アイデンティティプロバイダです。OpenLDAPはアイデンティティプロバイダの一例です。

RancherリソースにOpenLDAPグループ権限を追加する

以下の図は、OpenLDAPグループのメンバーがそのグループに権限があるRancherのリソースにアクセスできる方法を示しています。

例えば、クラスターのオーナーは、クラスターにOpenLDAPグループを追加することで、ほとんどのクラスターレベルのリソースを表示し、新しいプロジェクトを作成する権限を持つことができます。その後、OpenLDAPグループのメンバーは、Rancherにログインするとすぐにクラスターにアクセスできるようになります。

このシナリオでは、OpenLDAPはクラスターのオーナーが権限を割り当てる際にグループを検索できるようにします。OpenLDAPがなければ、グループを検索する機能はサポートされません。

OpenLDAPグループのメンバーがRancherにログインすると、Shibbolethにリダイレクトされ、ユーザー名とパスワードを入力します。

Shibbolethは資格情報を検証し、グループを含むOpenLDAPからユーザー属性を取得します。次に、Shibbolethはユーザー属性を含むSAMLアサーションをRancherに送信します。Rancherはグループデータを使用して、所属するグループが持つすべてのリソースと権限にアクセスできるようにします。

RancherリソースへのOpenLDAPグループ権限の追加

SAMLとOpenLDAPグループ権限

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.