2.13. Red Hat シングルサインオンを使用したユーザーの Ceph Dashboard への同期

Red Hat シングルサインオン (SSO) と Lightweight Directory Access Protocol (LDAP) 統合を使用して、ユーザーを Red Hat Ceph ストレージダッシュボードと同期させることができます。

ユーザーは特定のレルムに追加されます。このレルムでは、パスワードの追加要件なしで SSO を介してダッシュボードにアクセスできます。

前提条件

稼働中の Red Hat Ceph Storage クラスターがある。
Dashboard がインストールされている。
ダッシュボードへの管理者レベルのアクセス権。
ユーザーをダッシュボードに追加しておく。Red Hat Ceph Storage Dashboard ガイド の Ceph dashboard でのユーザーの作成 セクションを参照してください。
すべてのホストでの root レベルのアクセス。
ユーザーの同期用に作成された管理者アカウント。Red Hat Ceph Storage Dashboard ガイドの Ceph Dashboard でユーザーを同期するための管理者アカウントの作成 セクションを参照してください。

手順

レルムを作成するには、Master ドロップダウンメニューをクリックします。このレルムでは、ユーザーおよびアプリケーションにアクセスできます。
Add Realm ウィンドウで、レルム名 (大文字と小文字を区別) を入力し、パラメーターを Enabled に設定し、Create をクリックします。
Realm Settings タブで、次のパラメーターを設定し、Save をクリックします。
1. Enabled - ON
2. User-Managed Access - ON
3. Client Settings に貼り付ける SAML 2.0 アイデンティティープロバイダーメタデータのリンクアドレスをメモしておきます。
Clients タブで、Create をクリックします。
Add Client ウィンドウで、次のパラメーターを設定し、Save をクリックします。
1. クライアント ID - BASE_URL:8443/auth/saml2/metadata
  例
  https://example.ceph.redhat.com:8443/auth/saml2/metadata
2. クライアントプロトコル - saml

Client ウィンドウの Settings タブで、次のパラメーターを設定します。

表2.2 クライアント設定タブ
パラメーターの名前	構文	例
`Client ID`	BASE_URL:8443/auth/saml2/metadata	https://example.ceph.redhat.com:8443/auth/saml2/metadata
`有効`	ON	ON
`クライアントプロトコル`	saml	saml
`Include AuthnStatement`	ON	ON
`サインインドキュメント`	ON	ON
`Signature Algorithm`	RSA_SHA1	RSA_SHA1
`SAML Signature Key Name`	KEY_ID	KEY_ID
`有効なリダイレクト URL`	BASE_URL:8443/*	https://example.ceph.redhat.com:8443/*
`ベース URL`	BASE_URL:8443	https://example.ceph.redhat.com:8443/
`Master SAML Processing URL`	https://localhost:8080/auth/realms/REALM_NAME/protocol/saml/descriptor	https://localhost:8080/auth/realms/Ceph_LDAP/protocol/saml/descriptor

注記

Realm Settings タブから SAML 2.0 アイデンティティープロバイダーメタデータのリンクを貼り付けます。

Fine Grain SAML Endpoint Configuration で、次のパラメーターを設定し、Save をクリックします。

表2.3 詳細にわたる SAML 設定
パラメーターの名前	構文	例
`Assertion Consumer Service POST Binding URL`	BASE_URL:8443/#/dashboard	https://example.ceph.redhat.com:8443/#/dashboard
`Assertion Consumer Service Redirect Binding URL`	BASE_URL:8443/#/dashboard	https://example.ceph.redhat.com:8443/#/dashboard
`Logout Service Redirect Binding URL`	BASE_URL:8443/	https://example.ceph.redhat.com:8443/

Clients ウィンドウの Mappers タブで、次のパラメーターを設定し、Save をクリックします。

Clients Scope タブで、role_list を選択します。
1. Mappers タブで、role list を選択し、Single Role Attribute をオンに設定します。

User_Federation タブを選択します。

User_Federation ウィンドウの Settings タブで、次のパラメーターを設定し、Save をクリックします。

表2.5 ユーザーフェデレーション設定タブ
パラメーターの名前	値
`コンソール表示名`	rh-ldap
`ユーザーのインポート`	ON
`Edit_Mode`	READ_ONLY
`ユーザー名 LDAP 属性`	username
`RDN LDAP 属性`	username
`UUID LDAP 属性`	nsuniqueid
`ユーザーオブジェクトクラス`	inetOrgPerson
`organizationalPerson`	rhatPerson
`接続 URL`	例: ldap: //ldap.corp.redhat.com。Test Connection をクリックします。LDAP 接続が成功したという通知が表示されます。
`ユーザー DN`	ou=users、dc=example、dc=com
`バインドタイプ`	simple

Test authentication をクリックします。LDAP 認証が成功したという通知が表示されます。

Mappers タブで、first name の行を選択して、以下のパラメーターを編集し、Save をクリックします。
- LDAP 属性 - GivenName
User_Federation タブの Settings タブで、Synchronize all users をクリックします。
ユーザーの同期が正常に終了したという通知が表示されます。

Users タブで、ダッシュボードに追加されたユーザーを検索し、検索アイコンをクリックします。
ユーザーを表示するには、特定の行をクリックします。フェデレーションリンクは、 User Federation で指定した名前で表示されます。
重要
ユーザーは LDAP では同期されないため、手動でユーザーを追加しないでください。手動で追加した場合は、Delete をクリックしてユーザーを削除します。

検証

レルムとダッシュボードに追加されたユーザーは、メールアドレスとパスワードを使用して Ceph Dashboard にアクセスできます。
例
https://example.ceph.redhat.com:8443

関連情報

ダッシュボードでユーザーのロールを追加する方法は、Red Hat Ceph Storage ダッシュボードガイドの Ceph Dashboard でのロールの作成 セクションを参照してください。