2.12. Red Hat シングルサインオンを使用したユーザーの Ceph Dashboard への同期

Red Hat シングルサインオン (SSO) と Lightweight Directory Access Protocol (LDAP) 統合を使用して、ユーザーを Red Hat Ceph ストレージダッシュボードと同期させることができます。

ユーザーは特定のレルムに追加されます。このレルムでは、パスワードの追加要件なしで SSO を介してダッシュボードにアクセスできます。

前提条件

稼働中の Red Hat Ceph Storage クラスターがある。
Dashboard がインストールされている。
ダッシュボードへの管理者レベルのアクセス権。
ユーザーをダッシュボードに追加しておく。Red Hat Ceph Storage Dashboard ガイド の Ceph Dashboard でのユーザーの作成 セクションを参照してください。
すべてのホストでの root レベルのアクセス。
ユーザーの同期用に作成された管理者アカウント。Red Hat Ceph Storage Dashboard ガイド の Ceph Dashboard にユーザーを同期するための管理者アカウントの作成 セクションを参照してください。

手順

レルムを作成するには、Master ドロップダウンメニューをクリックします。このレルムでは、ユーザーおよびアプリケーションにアクセスできます。
Add Realm ウィンドウで、レルム名 (大文字と小文字を区別) を入力し、パラメーターを Enabled に設定し、Create をクリックします。
Realm Settings タブで、次のパラメーターを設定し、Save をクリックします。
1. Enabled - ON
2. User-Managed Access - ON
3. Client Settings に貼り付ける SAML 2.0 アイデンティティープロバイダーメタデータのリンクアドレスをメモしておきます。
Clients タブで、Create をクリックします。
Add Client ウィンドウで、次のパラメーターを設定し、Save をクリックします。
1. クライアント ID - BASE_URL:8443/auth/saml2/metadata
  例
  https://example.ceph.redhat.com:8443/auth/saml2/metadata
2. クライアントプロトコル - saml

Client ウィンドウの Settings タブで、次のパラメーターを設定します。

表2.2 クライアント設定タブ
パラメーターの名前	構文	例
`Client ID`	BASE_URL:8443/auth/saml2/metadata	https://example.ceph.redhat.com:8443/auth/saml2/metadata
`Enabled`	ON	ON
`クライアントプロトコル`	saml	saml
`Include AuthnStatement`	ON	ON
`サインインドキュメント`	ON	ON
`Signature Algorithm`	RSA_SHA1	RSA_SHA1
`SAML Signature Key Name`	KEY_ID	KEY_ID
`有効なリダイレクト URL`	BASE_URL:8443/*	https://example.ceph.redhat.com:8443/*
`ベース URL`	BASE_URL:8443	https://example.ceph.redhat.com:8443/
`Master SAML Processing URL`	https://localhost:8080/auth/realms/REALM_NAME/protocol/saml/descriptor	https://localhost:8080/auth/realms/Ceph_LDAP/protocol/saml/descriptor

注記

Realm Settings タブから SAML 2.0 アイデンティティープロバイダーメタデータのリンクを貼り付けます。

Fine Grain SAML Endpoint Configuration で、次のパラメーターを設定し、Save をクリックします。

表2.3 詳細にわたる SAML 設定
パラメーターの名前	構文	例
Assertion Consumer Service POST Binding URL	BASE_URL:8443/#/dashboard	https://example.ceph.redhat.com:8443/#/dashboard
Assertion Consumer Service Redirect Binding URL	BASE_URL:8443/#/dashboard	https://example.ceph.redhat.com:8443/#/dashboard
Logout Service Redirect Binding URL	BASE_URL:8443/	https://example.ceph.redhat.com:8443/

Clients ウィンドウの Mappers タブで、次のパラメーターを設定し、Save をクリックします。

Clients Scope タブで、role_list を選択します。
1. Mappers タブで、role list を選択し、Single Role Attribute をオンに設定します。

User_Federation タブを選択します。

User_Federation ウィンドウの Settings タブで、次のパラメーターを設定し、Save をクリックします。

表2.5 ユーザーフェデレーション設定タブ
パラメーターの名前	値
`コンソール表示名`	rh-ldap
`ユーザーのインポート`	ON
`Edit_Mode`	READ_ONLY
`ユーザー名 LDAP 属性`	username
`RDN LDAP 属性`	username
`UUID LDAP 属性`	nsuniqueid
`ユーザーオブジェクトクラス`	inetOrgPerson, organizationalPerson, rhatPerson
`接続 URL`	例: ldap: //ldap.corp.redhat.com。Test Connection をクリックします。LDAP 接続が成功したという通知が表示されます。
`ユーザー DN`	ou=users、dc=example、dc=com
`バインドタイプ`	simple

Test authentication をクリックします。LDAP 認証が成功したという通知が表示されます。

Mappers タブで、first name の行を選択して、以下のパラメーターを編集し、Save をクリックします。
- LDAP 属性 - givenName
User_Federation タブの Settings タブで、Synchronize all users をクリックします。
ユーザーの同期が正常に終了したという通知が表示されます。

Users タブで、ダッシュボードに追加されたユーザーを検索し、検索アイコンをクリックします。
ユーザーを表示するには、特定の行をクリックします。フェデレーションリンクは、User Federation で指定した名前で表示されます。
重要
ユーザーは LDAP では同期されないため、手動でユーザーを追加しないでください。手動で追加した場合は、Delete をクリックしてユーザーを削除します。
注記
現在、作業環境内で Red Hat SSO を使用している場合は、まず SSO を有効にします。詳細は、Red Hat Ceph Storage Dashboard ガイド の Ceph Dashboard の Single Sign-On の有効化 セクションを参照してください。

検証

レルムとダッシュボードに追加されたユーザーは、メールアドレスとパスワードを使用して Ceph Dashboard にアクセスできます。
例
https://example.ceph.redhat.com:8443

関連情報

ダッシュボードでユーザーのロールを追加する方法は、Red Hat Ceph Storage Dashboard ガイド の Ceph Dashboard でのロールの作成 セクションを参照してください。