3.5. 認証タイプの設定

Ansible Automation Platform は、組織のログインエクスペリエンスを簡素化するために設定できる複数のオーセンティケータープラグインを提供します。提供されるオーセンティケータープラグインは次のとおりです。

3.5.1. ローカル認証の設定

プラットフォーム管理者は、ローカルシステム認証を設定できます。ローカル認証では、ユーザーとそのパスワードがローカルシステムアカウントと照合されます。

注記

ローカルオーセンティケーターは、Ansible Automation Platform のインストールプロセスによって自動的に作成され、インストール前にインベントリーファイルで指定された管理者認証情報を使用して設定されます。インストールが成功すると、それらの認証情報を使用して Ansible Automation Platform にログインできます。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
このローカル設定の Name を入力します。設定名は必須で、すべてのオーセンティケーター間で一意である必要があり、512 文字を超えることはできません。
Authentication type リストから Local を選択します。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
Next をクリックします。

次のステップ

Ansible Automation Platform サーバーにアクセスできるユーザーを制御し、ユーザーの属性 (ユーザー名やメールアドレスなど) または所属するグループに基づいて Ansible Automation Platform 組織またはチームに配置するには、マッピングに進みます。

3.5.2. LDAP 認証の設定

プラットフォーム管理者は、Ansible Automation Platform ユーザーのアカウント認証情報のソースとして LDAP を設定できます。

注記

接続先の LDAP サーバーに自己署名証明書または内部認証局 (CA) によって署名された証明書がある場合は、その CA 証明書をシステムの信頼された CA に追加する必要があります。そうしないと、LDAP サーバーに接続する際に、証明書の発行者が認識されないというエラーが発生します。

LDAP が設定されると、LDAP ユーザー名とパスワードを使用してログインするすべてのユーザーに対してアカウントが作成され、それらのユーザーを標準ユーザーまたは組織管理者として自動的に組織に配置できます。

Ansible Automation Platform は、ユーザー名を LDAP で大文字と小文字を区別しないものとして処理します。変更せずに入力されたユーザー名を認証のために LDAP プロバイダーに送信します。認証に成功すると、プラットフォームはユーザー名を小文字に変換し、データベースに保存します。たとえば、ユーザーが JDOE としてログインしている場合、プラットフォームのユーザー名は jdoe になります。ユーザーが JDoe として再度ログインしても、ユーザー名は引き続き jdoe になります。

ただし、Ansible Automation Platform が複数の LDAP オーセンティケーターで設定され、それらのシステム間で同じユーザー ID が存在する場合は、ユーザー名が異なる場合があります。たとえば、JDOE にはユーザー名 jdoe が指定され、jDOE には jdoe-<some hash> が割り当てられます。

注記

以前にユーザー名の異なるケースのバリエーションを使用してログインしていた場合、Ansible Automation Platform はすべてのケースのバリエーションを小文字のユーザー名にマッピングします。他ケースを持つ既存ユーザーは、対話式ログインでは有効ではありません。ただし、混合ケースのユーザー名向けの既存の OAuth トークンは引き続き認証を許可します。システム管理者は、必要に応じてこれらのケースバリエーションユーザーを削除できます。

LDAP ログインで作成されたユーザーは、ユーザー名や姓名を変更したり、自分自身のローカルパスワードを設定したりしないでください。この情報に加えられた変更は、ユーザーが次回プラットフォームにログインしたときに上書きされます。

重要

プラットフォーム UI では、LDAP 認証設定の 2.4 から 2.5 への移行はサポートされていません。Ansible Automation Platform 2.4 から 2.5 にアップグレードする場合は、アップグレードする前に認証プロバイダーのデータを必ず保存してください。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
認証タイプ リストから LDAP を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
LDAP Server URI フィールドで、接続する LDAP サーバーのリストを入力または変更します。このフィールドは複数のアドレスをサポートします。
次の例に示すように、LDAP Bind DN text フィールドに識別名 (DN) を入力して、Ansible Automation Platform が LDAP サーバーに接続するために使用するユーザーを指定します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
CN=josie,CN=users,DC=website,DC=com
```
```
CN=josie,CN=users,DC=website,DC=com
```
バインディングユーザーに使用するパスワードを LDAP Bind Password テキストフィールドに入力します。

LDAP Group Type リストからグループタイプを選択します。

グループタイプは、LDAP ディレクトリー内のユーザーに関連付けられたグループを管理するグループのクラス名を定義し、この手順のステップ 14 で指定された検索で返されます。グループタイプは、グループパラメーターおよびグループ検索と共に、ログイン時にグループを検索してユーザーに割り当てるために使用されます。また、マッピングプロセス中に評価することもできます。次の表には、使用可能なグループタイプと、それぞれの説明および必要なパラメーターがリストされています。デフォルトでは、LDAP グループは cn 属性の最初の値を使用して Django グループにマッピングされます。name_attr で別の属性を指定できます。たとえば、name_attr='cn' です。

表3.1 利用可能な LDAP グループタイプ
LDAP グループタイプ	説明	*初期化メソッド (init)*
`PosixGroupType`	`posixGroup` オブジェクトクラスを処理します。これにより、プライマリーグループとグループメンバーシップの両方がチェックされます。	`name_attr='cn'`
`MemberDNGroupType`	グループオブジェクトにメンバー DN のリストが含まれるグループ化メカニズムを処理します。	`member_attr, name_attr='cn'`
`GroupOfNamesType`	`groupOfNames` オブジェクトクラスを処理します。`MemberDNGroupType('member')` と同等です。	`name_attr='cn'`
`GroupOfUniqueNamesType`	`groupOfUniqueNames` オブジェクトクラスを処理します。`MemberDNGroupType('uniqueMember')` と同等です。	`name_attr='cn'`
`ActiveDirectoryGroupType`	Active Directory グループを処理します。`MemberDNGroupType('member')` と同等です。	`name_attr='cn'`
`OrganizationalRoleGroupType`	`organizationalRole` オブジェクトクラスを処理します。`MemberDNGroupType('roleOccupant')` と同等です。	`name_attr='cn'`
`NestedGroupOfNamesType`	`groupOfNames` オブジェクトクラスを処理します。`NestedMemberDNGroupType('member')` と同等です。	`member_attr, name_attr='cn'`
`NestedGroupOfUniqueNamesType`	`groupOfUniqueNames` オブジェクトクラスを処理します。`NestedMemberDNGroupType('uniqueMember')` と同等です。	`name_attr='cn'`
`NestedActiveDirectoryGroupType`	Active Directory グループを処理します。`NestedMemberDNGroupType('member')` と同等です。	`name_attr='cn'`
`NestedOrganizationalRoleGroupType`	`organizationalRole` オブジェクトクラスを処理します。`NestedMemberDNGroupType('roleOccupant')` と同等です。	`name_attr='cn'`

注記

Ansible Automation Platform でサポートされているグループタイプは、基盤となる django-auth-ldap ライブラリーを使用します。選択したグループタイプのパラメーターを指定するには、この手順のステップ 14 を参照してください。

ユーザー検索の代わりに、LDAP ユーザー DN テンプレート を使用できます。このアプローチを組織の環境で使用できる場合は、検索よりもユーザー検索の場合により効率的です。次の例に示すように、テンプレートの名前を入力します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
uid=%(user)s,cn=users,cn=accounts,dc=example,dc=com
```
```
uid=%(user)s,cn=users,cn=accounts,dc=example,dc=com
```
この場合の uid はユーザー識別子、cn はコモンネーム、dc はドメインコンポーネントです。
注記
この設定に値がある場合は、LDAP User Search 設定の代わりに使用されます。
LDAP Start TLS は、デフォルトで無効になっています。StartTLS を使用すると、LDAP 接続を、暗号化されていない接続から Transport Layer Security (TLS) を使用した安全な接続にアップグレードできます。LDAP 接続が SSL を使用していない場合に StartTLS を有効にするには、スイッチを On に設定します。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
LDAP 接続に設定する LDAP Connection Options を入力します。LDAP 参照は (特定の LDAP クエリーが Active Directory でハングすることを防ぐために) デフォルトで無効になっています。次の例に示すように、オプション名は文字列である必要があります。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
OPT_REFERRALS: 0
OPT_NETWORK_TIMEOUT: 30
```
```
OPT_REFERRALS: 0
OPT_NETWORK_TIMEOUT: 30
```
設定できるオプションと値については、python-LDAP Reference を参照してください。
選択した LDAP Group Type に応じて、異なるパラメーターが LDAP Group Type Parameters フィールドで使用できます。LDAP_GROUP_TYPE_PARAMS はディクショナリーです。これは、kwargs に変換され、選択した LDAP Group Type クラスに渡されます。グループタイプで使用される共通パラメーターが 2 つあります。name_attr と member_attr です。name_attr のデフォルトは cn、member_attr のデフォルトは member です。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
{"name_attr": "cn", "member_attr": "member"}
```
```
{"name_attr": "cn", "member_attr": "member"}
```
特定の LDAP グループタイプ に必要なパラメーターを判断するには、django_auth_ldap ドキュメントのクラス init パラメーターに関する箇所を参照してください。
次の例に示すように、LDAP Group Search フィールドで検索するグループと検索方法を指定します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
[
"dc=example,dc=com",
"SCOPE_SUBTREE",
"(objectClass=group)"
 ]
```
```
[
"dc=example,dc=com",
"SCOPE_SUBTREE",
"(objectClass=group)"
 ]
```
次の例に示すように、LDAP フィールドを Ansible Automation Platform ユーザーにマップするためのユーザー属性 (例: email、first_name) を LDAP User Attribute Map フィールドに入力します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
{
"first_name": "givenName",
"last_name": "sn",
"email": "mail"
}
```
```
{
"first_name": "givenName",
"last_name": "sn",
"email": "mail"
}
```
次の例に示すように、認証中にユーザーを検索する場所を LDAP User Search フィールドに入力します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
[
"OU=Users,DC=website,DC=com",
"SCOPE_SUBTREE",
"(cn=%(user)s)"
]
```
```
[
"OU=Users,DC=website,DC=com",
"SCOPE_SUBTREE",
"(cn=%(user)s)"
]
```
LDAP User DN Template が設定されていない場合、Ansible Automation Platform は、Bind DN Template と LDAP Bind Password を使用して LDAP に対して認証を行います。認証後、このフィールドで指定されたユーザーを検索する LDAP 検索が実行されます。ユーザーが見つかった場合、Ansible Automation Platform は、指定されたパスワードを LDAP 検索で見つかったユーザーと照合して検証します。LDAPUnion を使用したユーザー検索の場合、次の例に示すように、複数の検索語を入力することで複数の検索クエリーを実行できます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
[
    [
        "ou=users,dc=example,dc=com",
        "SCOPE_SUBTREE",
        "uid=%(user)s"
    ],
     [
        "ou=employees,dc=subdivision,dc=com",
        "SCOPE_SUBTREE",
        "uid=%(user)s"
     ]
]
```
```
[
    [
        "ou=users,dc=example,dc=com",
        "SCOPE_SUBTREE",
        "uid=%(user)s"
    ],
     [
        "ou=employees,dc=subdivision,dc=com",
        "SCOPE_SUBTREE",
        "uid=%(user)s"
     ]
]
```
複数の検索の実行中に一意でないユーザーが複数見つかった場合、それらのユーザーは Ansible Automation Platform にログインできません。上記の例に基づくと、ou=users,dc=example,dc=com と ou=employees,dc=subdivision,dc=com の両方で uid=jdoe を持つユーザーが見つかった場合、どちらの jdoe ユーザーもログインできません。どちらかのブランチで見つかった一意の他のユーザーは、すべて引き続きログインできます。
注記
LDAP User DN Template フィールドに値が入力されている場合は、LDAP User Search フィールドよりも優先され、ユーザーの認証にテンプレートのみが使用されます。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

次のステップ

3.5.3. SAML 認証の設定

SAML を使用すると、アイデンティティープロバイダー (IdP) とサービスプロバイダー (SP) 間で認証および認可データを交換できます。Ansible Automation Platform は、ユーザーを認証するために 1 つ以上の SAML IdP と通信するように設定できる SAML SP です。

SAML IdP によって必要に応じて提供されるグループと属性に基づいて、Ansible Automation Platform 内のチームと組織にユーザーを配置できます。これは、このオーセンティケーターに関連付けられたオーセンティケーターマップに従って行われます。このマッピングにより、ユーザーが SAML 経由でログインしたときに、Ansible Automation Platform がユーザーを正しく識別し、名、姓、メールアドレス、グループメンバーシップなどの適切な属性を割り当てることが可能になります。

前提条件

Ansible Automation Platform で SAML 認証を設定する前に、必ず次の操作を行ってください。

SAML アイデンティティープロバイダー (IdP) を設定する。
Ansible Automation Platform との統合に必要な設定を使用して SAML IdP を事前設定する。たとえば、Microsoft Entra ID では次のように設定できます。
- Identifier (Entity ID): 任意の値を指定できますが、Ansible Automation Platform で設定されている値と同じである必要があります。
- Reply URL (Assertion Consumer Service (ACS) URL): この URL は、Ansible Automation Platform で SAML メソッドが設定されている場合、自動的に生成されます。その値を Ansible Automation Platform からコピーし、IdP 設定に貼り付ける必要があります。
SAML IdP アプリケーションのユーザー属性を収集する。IdP によって、使用する属性名と形式が異なる場合があります。正確な属性名と予想される値は、お使いの IdP のドキュメントを参照してください。

次のコマンドを使用して、秘密鍵と公開証明書を生成する。

Copy to Clipboard Toggle word wrap

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 3650 -nodes

$ openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 3650 -nodes

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この SAML 設定の Name を入力します。
Authentication type リストから SAML を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
SAML Service Provider Entity ID フィールドに、SAML サービスプロバイダー設定の対象ユーザーとして使用されるアプリケーション定義の一意の識別子を入力します。これは通常、サービスプロバイダーのベース URL ですが、実際の値は IdP が想定する Entity ID によって異なります。
SAML Service Provider Public Certificate フィールドに証明書の内容を含めます。この情報は、前提条件で作成した cert.pem に含まれています。—-BEGIN CERTIFICATE—- と —-END CERTIFICATE—- を含める必要があります。
SAML Service Provider Private Key フィールドに秘密鍵の内容を含めます。この情報は、前提条件で作成した key.pem に含まれています。—–BEGIN PRIVATE KEY—– と —–END PRIVATE KEY—– を含める必要があります。
IdP Login URL フィールドに、ログイン開始用にユーザーをリダイレクトする URL を入力します。これは、SAML IdP アプリケーションのログイン URL です。
IdP in the IdP Public Cert フィールドからのシークレットに使用する公開証明書を入力します。これは、IdP からダウンロードできる SAML 証明書です。
注記
IdP in the IdP Public Cert フィールドには、—–BEGIN CERTIFICATE—– と —–END CERTIFICATE—– を含む証明書全体を含める必要があります。IdP に接頭辞と接尾辞が含まれていない場合は、手動で入力する必要があります。
Entity ID にアサーションで返されたエンティティー ID を入力します。これは、IdP SAML アプリケーションの識別子です。この値は、IdP によって提供される SAML メタデータで確認できます。
Groups、User Email、Username、User Last Name、および User First Name にユーザーの詳細を入力します。
User Permanent ID フィールドにユーザーの永続的な ID を入力します。このフィールドは必須です。
注記
SAML IdP を通じて追加の属性を利用できる場合があります。この値は、Additional Authenticators Fields または SAML IDP to extra_data attribute mapping フィールドのいずれかに含める必要があります。詳細は、該当する手順を参照してください。
SAML Assertion Consumer Service (ACS) URL フィールドで、設定済みの各アイデンティティープロバイダー (IdP) にサービスをサービスプロバイダー (SP) として登録します。このフィールドは空白のままにしてください。この認証方法を保存すると、URL が自動的に生成されます。このフィールドは、IdP の Reply URL 設定と一致する必要があります。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。たとえば、メールアドレス、ユーザー名、姓、名以外のすべての SAML IdP 属性をマッピングの対象にするには、次のように入力します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
GET_ALL_EXTRA_DATA: true
```
```
GET_ALL_EXTRA_DATA: true
```
または、SAML IDP to extra_data attribute mapping フィールドに SAML IdP 属性のリストを含めることもできます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。

SAML Service Provider Organization Info フィールドに、URL、表示名、アプリケーションの名前を入力します。

Copy to Clipboard Toggle word wrap

{
  "en-US": {
    "url": "http://www.example.com",
    "displayname": "Example",
    "name": "example"
  }
}

{
  "en-US": {
    "url": "http://www.example.com",
    "displayname": "Example",
    "name": "example"
  }
}

SAML Service Provider Technical Contact フィールドに、サービスプロバイダーの技術担当者の名前とメールアドレスを入力します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
{
"givenName": "Some User",
"emailAddress": "suser@example.com"
}
```
```
{
"givenName": "Some User",
"emailAddress": "suser@example.com"
}
```
SAML Service Provider Support Contact フィールドに、サービスプロバイダーのサポート担当者の名前とメールアドレスを入力します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
{
"givenName": "Some User",
"emailAddress": "suser@example.com"
}
```
```
{
"givenName": "Some User",
"emailAddress": "suser@example.com"
}
```
オプション: SAML Service Provider extra configuration data フィールドに追加の設定データを入力します。たとえば、セキュリティーを強化するために署名リクエストを有効にすることを選択できます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
{
"sign_request": True,
}
```
```
{
"sign_request": True,
}
```
このフィールドは、API の SOCIAL_AUTH_SAML_SP_EXTRA と同等です。有効なサービスプロバイダーの追加のパラメーター (SP_EXTRA) の詳細は、OneLogin の SAML Python Toolkit を参照してください。

オプション: SAML Security Config フィールドに、セキュリティー設定を入力します。このフィールドは、API の SOCIAL_AUTH_SAML_SECURITY_CONFIG フィールドに相当します。

Copy to Clipboard Toggle word wrap

// Indicates whether the <samlp:AuthnRequest> messages sent by this SP // will be signed. [Metadata of the SP will offer this info]
"authnRequestsSigned": false,

// Indicates a requirement for the <samlp:Response>, <samlp:LogoutRequest> // and <samlp:LogoutResponse> elements received by this SP to be signed.
"wantMessagesSigned": false,

// Indicates a requirement for the <saml:Assertion> elements received by // this SP to be signed. [Metadata of the SP will offer this info]
"wantAssertionsSigned": false,

// Authentication context.
// Set to false and no AuthContext will be sent in the AuthNRequest,
// Set true or don't present this parameter and you will get an AuthContext 'exact' 'urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport'
// Set an array with the possible auth context values: array ('urn:oasis:names:tc:SAML:2.0:ac:classes:Password', 'urn:oasis:names:tc:SAML:2.0:ac:classes:X509'),
"requestedAuthnContext": true,

// Indicates whether the <samlp:AuthnRequest> messages sent by this SP // will be signed. [Metadata of the SP will offer this info]
"authnRequestsSigned": false,

// Indicates a requirement for the <samlp:Response>, <samlp:LogoutRequest> // and <samlp:LogoutResponse> elements received by this SP to be signed.
"wantMessagesSigned": false,

// Indicates a requirement for the <saml:Assertion> elements received by // this SP to be signed. [Metadata of the SP will offer this info]
"wantAssertionsSigned": false,

// Authentication context.
// Set to false and no AuthContext will be sent in the AuthNRequest,
// Set true or don't present this parameter and you will get an AuthContext 'exact' 'urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport'
// Set an array with the possible auth context values: array ('urn:oasis:names:tc:SAML:2.0:ac:classes:Password', 'urn:oasis:names:tc:SAML:2.0:ac:classes:X509'),
"requestedAuthnContext": true,

詳細情報と追加オプションは、OneLogin の SAML Python Toolkit を参照してください。

オプション: SAML IDP to extra_data attribute mapping フィールドに、IDP 属性を extra_data 属性にマッピングする値を入力します。この値には、メールアドレスやユーザー名など、マッピングする標準属性以外の追加のユーザー情報が含まれます。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
- Department
- UserType
- Organization
```
```
- Department
- UserType
- Organization
```
入力できる値の詳細は、詳細な SAML 設定を参照してください。
重要
設定に応じてすべてが正しくマッピングされるように、関連する値をすべて含めてください。または、Additional Authenticator Fields に GET_ALL_EXTRA_DATA: true を含めて、利用可能なすべての SAML IdP 属性のマッピングを許可することもできます。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

重要

Operator ベースのデプロイメントでは、SAML の HTTPS リダイレクトを設定すると、ユーザーのログインを簡素化できます。この設定を設定する手順は、OpenShift Container Platform 上のプラットフォームゲートウェイでシングルサインオン (SSO) を有効にするを参照してください。

次のステップ

3.5.3.1. 透過的な SAML ログインの設定

透過的なログインを機能させるには、まず IdP-initiated ログインを機能させる必要があります。

手順

IdP の RelayState を "IdP" に設定します。

3.5.4. TACACS+ 認証の設定

Terminal Access Controller Access-Control System Plus (TACACS+) は、ネットワークアクセス制御のためのリモート認証および関連サービスを、中央サーバーを介して処理するプロトコルです。TACACS+ は、認証、認可、アカウンティング (AAA) サービスを提供します。このサービスでは、Ansible Automation Platform を認証のソースとして使用するように設定できます。

注記

この機能は非推奨となり、今後のリリースで削除されます。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから TACACS+ を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
以下の情報を入力します。
- TACACS+ サーバーのホスト名: 認証に使用する TACACS+ サーバーのホスト名または IP アドレスを指定します。このフィールドを空白のままにすると、TACACS+ 認証は無効になります。
- TACACS+ Authentication Protocol: TACACS+ クライアントが使用するプロトコルです。オプションは ascii または pap です。
- TACACS+ サーバーへの認証用の共有シークレット: TACACS+ 認証サーバーの秘密鍵。
TACACS+ client address sending enabled は、デフォルトでは無効になっています。クライアントアドレスの送信を有効にするには、チェックボックスをオンにします。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

次のステップ

3.5.5. Microsoft Entra ID 認証の設定

Microsoft Entra ID (旧称 Microsoft Azure Active Directory (AD)) のエンタープライズ認証を設定するには、次の手順に従います。

この手順に従って、Microsoft Entra ID 認証を使用するように Ansible Automation Platform を設定 します。
Quickstart: Register an application with the Microsoft identity platform に従って、Ansible Automation Platform を Microsoft Entra ID に登録 します。このプロセスにより、アプリケーション (クライアント) ID とアプリケーションシークレットが得られます。
Microsoft Entra ID にリダイレクト URL を追加 します。プラットフォームで Microsoft Entra ID 認証の設定ウィザードを完了したら、Azure AD OAuth2 Callback URL フィールドに表示される URL をコピーします。次に、Azure で登録したエンタープライズアプリケーションに移動し、How to add a redirect URI to your application の説明に従って、この URL を Redirect URL (Ansible Automation Platform では Callback URL とも呼ばれます) として追加します。この手順は、ログインフローを正しく機能させるために必要です。

Microsoft Entra ID によって提供される属性は、この認証タイプの Ansible Automation Platform 設定では設定されません。代わりに、social_core azuread バックエンドが、Microsoft Entra ID によって提供されるクレームの変換を提供します。Ansible Automation Platform がユーザーを正しく識別し、名、姓、メール、ユーザー名などの適切な属性を割り当てることができるようにするユーザー属性には、次のものがあります。

Ansible Automation Platform の属性	Microsoft Entra ID のパラメーター
authenticator_uid	upn
Username	name
First Name	given_name
Last Name	family_name
Email	email (upn にフォールバック)

各キーとシークレットは、一意のアプリケーションに属している必要があり、異なる認証バックエンド間で共有したり再利用したりすることはできません。アプリケーションを登録するには、オーセンティケーター設定の Authenticator details に表示される Callback URL である Web ページの URL を指定する必要があります。この情報にアクセスする手順の詳細は、Authenticator details の表示を参照してください。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから Azuread を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
Edit をクリックし、Microsoft の Application (Client) ID をコピーして OIDC Key フィールドにペーストします。
グループクレーム内でユーザーグループ情報を提供するように Microsoft Entra ID が設定されている場合は、必ず Microsoft Entra ID 設定と一致する Groups Claim 名を使用してプラットフォームを設定します。これにより、Microsoft Entra ID を通じてログインするユーザーのグループを、プラットフォームが正しく識別して関連付けることが可能になります。
注記
Microsoft Entra ID からのグループは、グループ名の代わりに一意の ID を使用します。Microsoft Entra ID オーセンティケーターのグループマップを作成するときは、一意の ID を使用する必要があります。
デフォルトでは、Microsoft Entra ID はグループをデフォルトのグループクレーム名として使用します。したがって、値をデフォルトに設定するか、IdP で設定したカスタムオーバーライドに設定してください。現在のデフォルトは、明示的に変更されない限り、既存の動作を保持するように設定されています。

アプリケーションを Microsoft アイデンティティープラットフォームに登録するための手順に従って、認証用のキー (一度だけ表示) をクライアントに提供します。

+ .Microsoft Entra ID/Microsoft Azure AD アプリケーション用に作成された秘密鍵をコピーして、OIDC Secret フィールドに貼り付けます。

+ .オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。

注記

このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。

+ .正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。作成時にこの認証方法を有効にするには、Enabled を選択します。このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。

+ .認証方法の作成をクリックします。

検証

認証が正しく設定されていることを確認するには、Ansible Automation Platform からログアウトし、ログイン画面に選択した認証方法のロゴが表示され、その認証情報を使用してログインできることを確認します。

次のステップ

関連情報

Microsoft Entra ID/Microsoft Azure AD でのアプリケーション登録の基本は、What is the Microsoft identity platform? の概要を参照してください。

3.5.6. Google OAuth2 認証の設定

Google のソーシャル認証をセットアップするには、Web アプリケーションの OAuth2 キーとシークレットを取得する必要があります。これを行うには、まずプロジェクトを作成し、Google でセットアップする必要があります。

手順は、Google API Console Help ドキュメントの Setting up OAuth 2.0 を参照してください。

すでにセットアッププロセスが完了している場合は、Google API Manager Console の Credentials セクションに移動すると、これらの認証情報にアクセスできます。OAuth2 キー (クライアント ID) とシークレット (クライアントシークレット) は、UI の必須フィールドに入力する際に使用します。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから Google OAuth を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
Google OAuth2 Key および Google OAuth2 Secret フィールドは事前に入力されています。
入力されていない場合は、Web アプリケーションのセットアッププロセス中に Google から提供された認証情報を使用します。次の手順で使用するためにこれらの設定を保存します。
Google のクライアント ID をコピーして、Google OAuth2 Key フィールドにペーストします。
Google のクライアントシークレットをコピーして、Google OAuth2 Secret フィールドにペーストします。
オプション: 指示と必要な形式を示すツールヒントを使用して、次のフィールドに情報を入力します。
- Access Token URL
- Access Token Method
- Authorization URL
- Revoke Token Method
- Revoke Token URL
- OIDC JWT Algorithm(s)
- OIDC JWT
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

検証

次のステップ

3.5.7. 汎用 OIDC 認証の設定

OpenID Connect (OIDC) は OAuth 2.0 フレームワークを使用します。これにより、サードパーティーのアプリケーションがアイデンティティーを検証し、基本的なエンドユーザー情報を取得できるようになります。OIDC と SAML の主な違いは、SAML にはサービスプロバイダー (SP) と IdP 間の信頼関係があるのに対し、OIDC はセキュリティートークンの取得に使用されるチャネル (HTTPS) との信頼関係を確立する点にあります。Ansible Automation Platform で OIDC をセットアップするために必要な認証情報を取得するには、OIDC をサポートする任意の IdP のドキュメントを参照してください。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから Generic OIDC を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
以下の情報を入力します。
- OIDC Provider URL: OIDC プロバイダーの URL。
- OIDC Key: サードパーティー IdP からのクライアント ID。
- OIDC Secret: IdP からのクライアントシークレット。
オプション: Access Token Method リストからアクセストークンを要求するときに使用する HTTP メソッドを選択します。デフォルトのメソッドは POST です。
オプションで、指示と必要な形式を示すツールヒントを使用して、次のフィールドに情報を入力します。
- Access Token Method - デフォルトのメソッドは POST です。
- Access Token URL
- Access Token Method
- Authorization URL
- ID Key
- ID Token Issuer
- JWKS URI
- OIDC Public Key
- Revoke Token Method - デフォルトの方法は GET です。
- Revoke Token URL
- Response Type
- Token Endpoint Auth Method
- Userinfo URL
- Username Key
Verify OIDC Provider Certificate を使用して、OIDC プロバイダー SSL 証明書の検証を有効または無効にします。
Redirect 状態を使用して、リダイレクト URI の状態パラメーターを有効または無効にします。Cross Site Request Forgery (CSRF) 攻撃を阻止するために、これを有効にすることを推奨します。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

次のステップ

3.5.8. Keycloak 認証の設定

Ansible Automation Platform を設定して Keycloak を統合し、ユーザー認証を管理できます。

注記

このオーセンティケーターを使用する場合、Keycloak インスタンスで特定の設定を行う必要があります。詳細は、Python Keycloak リファレンスを参照してください。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから Keycloak を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
Keycloak Access Token URL フィールドに、ユーザーのトークンを取得できるロケーションを入力します。
オプション: Keycloak Provider URL フィールドに、ユーザーがログインフロー中にリダイレクトされるロケーションを入力します。
Keycloak OIDC Key フィールドに、Keycloak インストールからのクライアント ID を入力します。
Keycloak レルムから提供された RS256 公開鍵を Keycloak Public Key フィールドに入力します。
Keycloak OIDC Secret フィールドに、Keycloak インストールからの OIDC シークレット (クライアントシークレット) を入力します。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

次のステップ

トラブルシューティング

jwt.exceptions.InvalidAudienceError: Audience doesn’t match というエラーが発生した場合は、次の手順を実行してオーディエンスを再度有効にする必要があります。

Keycloak 設定のナビゲーションから、Client scopes YOUR-CLIENT-ID-dedicated Add mapper Audience を選択します。
マッパーの名前を選択します。
Included Client Audience でクライアントに対応する Client ID を選択します。

3.5.9. GitHub 認証の設定

OAuth を使用して GitHub アイデンティティーを Ansible Automation Platform に接続できます。GitHub 認証をセットアップするには、新しいアプリケーションを GitHub に登録する方法を使用して、組織所有のアプリケーションを GitHub から登録し、OAuth2 キーとシークレットを取得する必要があります。

OAuth2 キー (クライアント ID) とシークレット (クライアントシークレット) は、UI の必須フィールドに入力する際に使用します。アプリケーションを登録するには、オーセンティケーター設定の Authenticator details に表示される Callback URL である Web ページの URL を指定する必要があります。この情報にアクセスする手順の詳細は、Authenticator details の表示を参照してください。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから GitHub を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
アプリケーションの登録が済むと、GitHub では クライアント ID および クライアントシークレット が表示されます。
1. GitHub クライアント ID をコピーして、GitHub OAuth2 Key フィールドにペーストします。
2. GitHub クライアントシークレットをコピーして、GitHub OAuth2 Secret フィールドにペーストします。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

検証

次のステップ

3.5.10. GitHub 組織認証の設定

組織または組織内のチームでアカウント認証を定義する場合は、特定の組織およびチーム設定を使用する必要があります。アカウント認証は、組織ごと、または組織内のチームごとに制限を設定できます。組織以外またはチーム以外の設定を指定して、すべてを許可するように設定することも可能です。組織内または組織内のチーム内のユーザーのみに制限することで、プラットフォームにログインできるユーザーを制限できます。

GitHub 組織のソーシャル認証を設定するには、新しいアプリケーションを GitHub に登録して、Web アプリケーションの OAuth2 キーとシークレットを取得する必要があります。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから GitHub organization を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
アプリケーションの登録が済むと、GitHub では クライアント ID および クライアントシークレット が表示されます。
1. GitHub クライアント ID をコピーして、GitHub OAuth2 Key フィールドにペーストします。
2. GitHub クライアントシークレットをコピーして、GitHub OAuth2 Secret フィールドにペーストします。
GitHub OAuth Organization Name フィールドに、組織の URL で使用されている GitHub 組織の名前 (例: https://github.com/<yourorg>/) を入力します。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
GitHub OAuth2 Scope フィールドにユーザーの認可スコープを入力します。デフォルトは read:org です。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

検証

次のステップ

3.5.11. GitHub チーム認証の設定

GitHub チームのソーシャル認証をセットアップするには、新しいアプリケーションを GitHub に登録するで提供される手順に従って、Web アプリケーションの OAuth2 キーとシークレットを取得する必要があります。

OAuth2 キー (クライアント ID) とシークレット (クライアントシークレット) は、UI の必須フィールドに入力する際に使用します。アプリケーションを登録するには、オーセンティケーター設定の Authenticator details に表示される Callback URL である Web ページの URL を指定する必要があります。この情報にアクセスする手順の詳細は、Authenticator details の表示を参照してください。

各キーとシークレットは、一意のアプリケーションに属している必要があり、異なる認証バックエンド間で共有したり再利用したりすることはできません。OAuth2 キー (クライアント ID) とシークレット (クライアントシークレット) は、UI の必須フィールドに入力する際に使用します。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから GitHub チーム を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
アプリケーションの登録が済むと、GitHub では クライアント ID および クライアントシークレット が表示されます。
1. GitHub クライアント ID をコピーして、GitHub OAuth2 Key フィールドにペーストします。
2. GitHub クライアントシークレットをコピーして、GitHub OAuth2 Secret フィールドにペーストします。
GitHub のチーム ID をコピーして、GitHub OAuth2 Team ID フィールドにペーストします。
GitHub OAuth2 Scope フィールドにユーザーの認可スコープを入力します。デフォルトは read:org です。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

検証

次のステップ

3.5.12. GitHub Enterprise 認証の設定

GitHub Enterprise のソーシャル認証をセットアップするには、GitHub Enterprise URL、API URL、Web アプリケーションの OAuth2 キーとシークレットを取得する必要があります。

URL を取得するには、GitHub Enterprise administration ドキュメントを参照してください。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから GitHub enterprise を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
アプリケーションの登録が済むと、GitHub では クライアント ID および クライアントシークレット が表示されます。
1. GitHub クライアント ID をコピーして、GitHub OAuth2 Key フィールドにペーストします。
2. GitHub クライアントシークレットをコピーして、GitHub OAuth2 Secret フィールドにペーストします。
Base URL フィールドに、GitHub Enterprise インスタンスのホスト名を入力します (例: https://github.example.com)。
Github OAuth2 Enterprise API URL フィールドに、GitHub Enterprise インスタンスの API URL を入力します (例: https://github.example.com/api/v3)。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

検証

次のステップ

3.5.13. GitHub Enterprise 組織認証の設定

GitHub Enterprise 組織のソーシャル認証をセットアップするには、GitHub Enterprise 組織の URL、Organization API URL、Web アプリケーションの Organization OAuth2 キーおよびシークレットを取得する必要があります。

URL を取得するには、GitHub Enterprise administration ドキュメントを参照してください。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから GitHub enterprise organization を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
アプリケーションの登録が済むと、GitHub では クライアント ID および クライアントシークレット が表示されます。
1. GitHub クライアント ID をコピーして、GitHub OAuth2 Key フィールドにペーストします。
2. GitHub クライアントシークレットをコピーして、GitHub OAuth2 Secret フィールドにペーストします。
Base URL フィールドに、GitHub Enterprise インスタンスのホスト名を入力します (例: https://github.example.com)。
Github OAuth2 Enterprise API URL フィールドに、GitHub Enterprise インスタンスの API URL を入力します (例: https://github.example.com/api/v3)。
GitHub OAuth2 Enterprise Org Name フィールドに、組織の URL で使用されている GitHub Enterprise 組織の名前 (例: https://github.com/<yourorg>/) を入力します。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

検証

次のステップ

3.5.14. GitHub Enterprise チーム認証の設定

GitHub Enterprise チームのソーシャル認証をセットアップするには、GitHub Enterprise Organization URL、Organization API URL、Web アプリケーションの Organization OAuth2 キーとシークレットを取得する必要があります。

URL を取得するには、GitHub Enterprise administration ドキュメントを参照してください。

キーとシークレットを取得するには、まず企業の組織が所有するアプリケーションを https://github.com/organizations/<yourorg>/settings/applications に登録する必要があります。

各キーとシークレットは、一意のアプリケーションに属している必要があり、異なる認証バックエンド間で共有したり再利用したりすることはできません。OAuth2key (クライアント ID) とシークレット (クライアントシークレット) は、UI の必須フィールドに入力する際に使用します。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから GitHub enterprise team を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
アプリケーションの登録が済むと、GitHub では クライアント ID および クライアントシークレット が表示されます。
1. GitHub クライアント ID をコピーして、GitHub OAuth2 Key フィールドにペーストします。
2. GitHub クライアントシークレットをコピーして、GitHub OAuth2 Secret フィールドにペーストします。
Base URL フィールドに、GitHub Enterprise インスタンスのホスト名を入力します (例: https://github.orgexample.com)。
Github OAuth2 Enterprise API URL フィールドに、GitHub Enterprise インスタンスの API URL を入力します (例: https://github.example.com/api/v3)。
GitHub 開発者アプリケーションの OAuth2 キー (クライアント ID) を GitHub OAuth2 チーム ID フィールドに入力します。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

検証

次のステップ

3.5.15. RADIUS 認証の設定

Ansible Automation Platform を設定して、RADIUS を認証情報のソースとして集中的に使用できるようになります。

手順

ナビゲーションパネルから、Access Management Authentication Methods を選択します。
Create authentication をクリックします。
この認証設定の Name を入力します。
Authentication type リストから Radius を選択します。Authentication details セクションが自動的に更新され、選択した認証タイプに関連するフィールドが表示されます。
Auto migrate users from リストからレガシーオーセンティケーターのメソッドを選択します。2.4 から 2.5 にアップグレードした後、このレガシーオーセンティケーターから、ユーザーがこの新しい認証設定に自動的に移行されます。ユーザーの移行に関する重要な情報は、「RPM によるアップグレードと移行」ガイドの Ansible Automation Platform のアップグレード後の手順を参照してください。
RADIUS Server フィールドに RADIUS サーバーのホストまたは IP を入力します。このフィールドを空白のままにすると、RADIUS 認証は無効になります。
RADIUS サーバーへの認証用の共有シークレット を入力します。
オプション: このオーセンティケーターが使用できる Additional Authenticator Fields を入力します。これらのフィールドは検証されず、オーセンティケーターに直接返されます。
注記
このフィールドで定義された値は、UI で提供される専用フィールドをオーバーライドします。ここで定義されていない値はオーセンティケーターに提供されません。
正常にログインした際に組織、ユーザー、チームを自動的に作成するには、Create objects を選択します。
作成時にこの認証方法を有効にするには、Enabled を選択します。
このソースから認証する際に以前に追加されたグループからユーザーを削除するには、Remove users を選択します。
認証方法の作成をクリックします。

次のステップ

トップに戻る

3.5. 認証タイプの設定

3.5.1. ローカル認証の設定

3.5.2. LDAP 認証の設定

3.5.3. SAML 認証の設定

3.5.3.1. 透過的な SAML ログインの設定

3.5.4. TACACS+ 認証の設定

3.5.5. Microsoft Entra ID 認証の設定

3.5.6. Google OAuth2 認証の設定

3.5.7. 汎用 OIDC 認証の設定

3.5.8. Keycloak 認証の設定

3.5.9. GitHub 認証の設定

3.5.10. GitHub 組織認証の設定

3.5.11. GitHub チーム認証の設定

3.5.12. GitHub Enterprise 認証の設定

3.5.13. GitHub Enterprise 組織認証の設定

3.5.14. GitHub Enterprise チーム認証の設定

3.5.15. RADIUS 認証の設定

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links