この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

Shibboleth (SAML) の設定

組織がユーザー認証に Shibboleth アイデンティティプロバイダー (IdP) を使用している場合、Rancher を設定してユーザーが Shibboleth の資格情報を使用して Rancher にログインできるようにすることができます。

この設定では、Rancher ユーザーがログインすると、資格情報を入力するために Shibboleth IdP にリダイレクトされます。認証後、彼らは Rancher UI に戻されます。

OpenLDAP を Shibboleth のバックエンドとして設定した場合、ユーザー属性を含む SAML アサーションが Rancher に返されます。その後、認証されたユーザーは、彼らのグループが権限を持つ Rancher のリソースにアクセスできるようになります。

このセクションの指示は、Rancher、Shibboleth、および OpenLDAP がどのように連携しているかを理解していることを前提としています。どのように機能するかについての詳細な説明は、このページを参照してください。

Rancher における Shibboleth の設定

Shibboleth の前提条件

  • Shibboleth IdP サーバーが設定されている必要があります。

  • 設定に必要な Rancher サービスプロバイダーの URL は以下の通りです: メタデータ URL:https://<rancher-server>/v1-saml/shibboleth/saml/metadata アサーションコンシューマサービス (ACS) URL: https://<rancher-server>/v1-saml/shibboleth/saml/acs

  • IdP サーバーから metadata.xml ファイルをエクスポートします。詳細については、 Shibboleth マニュアルを参照してください。

Rancher における Shibboleth の設定

組織がユーザー認証に Shibboleth を使用している場合、Rancher を設定してユーザーが IdP の資格情報を使用してログインできるようにすることができます。

  1. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  2. 左側のナビゲーションメニューで、*認証プロバイダー*をクリックします。

  3. Shibboleth をクリックしてください。

  4. *Shibboleth アカウントの設定*フォームを完成させてください。Shibboleth IdPでは、使用したいデータストアを指定できます。データベースを追加するか、既存のLDAPサーバーを使用できます。例えば、Active Directory (AD)サーバーを選択した場合、以下の例ではAD属性をRancher内のフィールドにマッピングする方法を説明します。

    1. 表示名フィールド:ユーザーの表示名を含むAD属性を入力してください(例:displayName)。

    2. ユーザー名フィールド:ユーザー名/名を含むAD属性を入力してください(例:givenName)。

    3. UIDフィールド:すべてのユーザーに固有のAD属性を入力してください(例:sAMAccountNamedistinguishedName)。

    4. グループフィールド:グループメンバーシップを管理するためのエントリを作成してください(例:memberOf)。

    5. Rancher APIホスト:あなたのRancherサーバーのURLを入力してください。

    6. 秘密鍵*と*証明書:これは、RancherとあなたのIdPの間に安全な接続を作成するための鍵-証明書ペアです。

      opensslコマンドを使用して生成できます。次に例を示します。

       openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

    7. IDPメタデータ:あなたのIdPサーバーからエクスポートした`metadata.xml`ファイル。

  5. *Shibbolethアカウントの設定*フォームに入力した後、*有効化*をクリックします。

    RancherはIdPログインページにリダイレクトします。RancherのShibboleth設定を検証するために、Shibboleth IdPで認証される資格情報を入力します。

    IdPログインページを見るためにポップアップブロッカーを無効にする必要があるかもしれません。

*結果:*RancherはShibbolethと連携するように設定されています。ユーザーはShibbolethのログインを使用してRancherにログインできるようになりました。

SAMLプロバイダーの注意点

OpenLDAPなしでShibbolethを設定した場合、SAMLプロトコルがユーザーやグループの検索や参照をサポートしていないため、以下の注意点が適用されます。

  • Rancherで権限を割り当てる際、ユーザーやグループに対する検証は行われません。

  • ユーザーを追加する際は、正確なユーザーID(すなわちUIDフィールド)を正しく入力する必要があります。ユーザーIDを入力している間、他の一致するユーザーIDの検索は行われません。

  • グループを追加する際は、テキストボックスの隣にあるドロップダウンからグループを選択する必要があります。Rancherは、テキストボックスからの入力がユーザーであると仮定します。

  • グループのドロップダウンには、あなたがメンバーであるグループのみが表示されます。ただし、管理者権限または制限された管理者権限を持っている場合、メンバーでないグループに参加することができます。

Rancherで権限を割り当てる際にグループの検索を有効にするには、OpenLDAPなどのグループをサポートするSAMLプロバイダーのバックエンドを設定する必要があります。

SAMLシングルログアウト(SLO)の設定

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

RancherでのOpenLDAPの設定

OpenLDAP を Shibboleth のバックエンドとして設定した場合、ユーザー属性を含む SAML アサーションが Rancher に返されます。その後、認証されたユーザーは、自分のグループが権限を持つ Rancher のリソースにアクセスできるようになります。

OpenLDAPの前提条件

Rancherは、アクセス権を持つユーザーやグループに関連するLDAPエントリを検索および取得するために、LDAPバインドアカウント(サービスアカウントとも呼ばれます)で構成する必要があります。この目的のために管理者アカウントや個人アカウントを使用せず、代わりに設定された検索ベースの下にあるユーザーやグループに対して読み取り専用アクセスを持つ専用アカウントをOpenLDAPで作成することをお勧めします(下記参照)。

TLSを使用していますか?

OpenLDAPサーバーで使用される証明書が自己署名であるか、認識された証明書機関からのものでない場合、CA証明書(中間証明書と連結されたもの)をPEM形式で手元に用意してください。この証明書を設定中に貼り付ける必要があるため、Rancherが証明書チェーンを検証できるようにします。

RancherでOpenLDAPを設定する

OpenLDAPサーバー、グループ、およびユーザーの設定を構成します。各フィールドの入力方法については、設定リファレンスを参照してください。Shibbolethでは、ネストされたグループメンバーシップは利用できません。

設定を進める前に、外部認証設定と主要ユーザーの概念に慣れておいてください。

  1. 初期のローカル`admin`アカウントを使用して、Rancher UIにログインしてください。

  2. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  3. 左側のナビゲーションメニューで、*認証プロバイダー*をクリックします。

  4. *Shibboleth*をクリックするか、SAMLがすでに設定されている場合は、*Edit Config*をクリックしてください。

  5. *User and Group Search*の下で、*OpenLDAPサーバーを設定する*を確認してください。

トラブルシューティング

OpenLDAPサーバーへの接続をテストしている際に問題が発生した場合は、サービスアカウントの資格情報と検索ベースの設定を再確認してください。問題の原因を特定するために、Rancherのログを確認することもできます。デバッグログには、エラーに関するより詳細な情報が含まれている場合があります。このドキュメントのデバッグログを有効にする方法を参照してください。