Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

アイデンティティープロバイダーインテグレーションの設定

Red Hat Hybrid Cloud Console 1-latest

Red Hat アイデンティティープロバイダーのインテグレーションを設定します。

Red Hat Customer Content Services

概要

このガイドでは、組織管理者が組織アカウントのアイデンティティープロバイダーのインテグレーションを設定する方法を説明します。

はじめに

アイデンティティープロバイダー (IdP) インテグレーションを設定して、ユーザーを認証する IdP を指定します。アイデンティティープロバイダーのインテグレーションは、Security Assertion Markup Language (SAML) 2.0 と OpenID Connect (OIDC) をサポートしています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、用語の置き換えは、今後の複数のリリースにわたって段階的に実施されます。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 アイデンティティープロバイダーのインテグレーションについて

アイデンティティープロバイダーインテグレーション機能を使用すると、選択したアイデンティティープロバイダーを統合し、会社のログイン認証情報を使用して認証を行う sso.redhat.com を使用して Red Hat サービスおよびアプリケーションにサインインできます。組織管理者は、アカウントに関連付けられたアイデンティティープロバイダーを作成、更新、および削除できます。

ロールベースのアクセス制御 (RBAC) の追加ユーザーアクセスサービスは、Red Hat アカウント内の他のリソースへのアクセスを許可するユーザーアクセス承認を提供します。ユーザーアクセスサービスの詳細は、ロールベースアクセス制御のユーザーアクセス設定ガイド を参照してください。

アイデンティティープロバイダーインテグレーションを使用すると、1 つの ID プロバイダー (IdP) をオーセンティケーターとして設定し、2 つ目の IdP がその認証を使用して、ユーザーのログインを許可できます。つまり、ユーザーの認証には Microsoft Entra ID などの IdP を利用することになります。ユーザーが Microsoft Entra ID により認証されると、Red Hat SSO (IdP でもある) が認証を受け入れ、ユーザーがログインプロセスを完了して Red Hat アカウントにアクセスできるようにします。多くのシステムにわたってユーザー認証情報を何度も設定する代わりに、Microsoft Entra ID IdP 認証を有効なものとして受け入れるように Red Hat アカウントを設定します。

IdP サービスを統合した後、ユーザーは 1 セットの認証情報のみを使用して Red Hat アカウントにアクセスするだけで済みます。これらの認証情報は、顧客のアイデンティティープロバイダーまたは SSO のユーザー名およびパスワードです。

1.1. Red Hat アイデンティティープロバイダー統合の制限

アイデンティティープロバイダー (IdP) またはシングルサインオン (SSO) を Red Hat single sign-on システムに統合すると、SSO で認証できないユーザーは、Web ベースの認証フローを使用して Red Hat サービスに認証することもできなくなります。これには、Red Hat カスタマーポータルRed Hat Hybrid Cloud ConsoleRed Hat Training などの頻繁に使用されるサービスが含まれます。

一部の Red Hat サービスでは Web ベースの認証が使用されず、これらのサービスはフェデレーションシングルサインオンと 互換性がありません。つまり、ユーザーの企業顧客 IdP 認証情報を取り消すことはできますが、ユーザーは引き続き Red Hat アカウントのユーザー名とパスワードを使用して、Web ベースの認証をバイパスする Red Hat サービスに認証できます。

すべての Red Hat サービスへのアクセスを削除するには、組織管理者が ユーザー管理ツール を使用して Red Hat ユーザーアカウントを無効にする必要があります。無効にしたアカウントは、Red Hat サービスへのアクセスには使用できません。

企業用シングルサインオン統合機能を活用するには、現在サポートされている方法でユーザーを作成する必要があります。企業用シングルサインオン統合機能は、ユーザーの自動登録をサポートしません。

カスタマー IdP のアカウントのないユーザーは認証できません。たとえば、これは、ベンダーのユーザーがお客様の Red Hat 会社アカウント内に Red Hat ログインがあるベンダー関係に影響を及ぼす可能性があります。企業用シングルサインオンを有効にした場合、お客様が顧客の IdP にアカウントを持つことを許可できないと、ベンダーユーザーはログインできなくなります。

アイデンティティープロバイダー統合は、以下の Red Hat アカウントタイプでサポートされます。

  • Red Hat 企業アカウントタイプ。個人アカウントの種類はサポートされていません。
  • アクティブで、評価版以外のサブスクリプションのアカウント。
  • 承認済みの Red Hat パートナーアカウント

第2章 アイデンティティープロバイダーインテグレーションの設定

組織管理者は、組織のアイデンティティープロバイダーインテグレーションを設定および構成できます。アイデンティティープロバイダーインテグレーションは、Red Hat Hybrid Cloud Console によって提供されるアイデンティティーおよびアクセス管理サービスのコンポーネントです。

アイデンティティープロバイダーインテグレーションは、Red Hat Single Sign-On システムの有効な ID プロバイダーとして企業 SSO ソリューションを確立します。IdP 統合は、Open ID Connect (OIDC) および Security Assertion Markup Language (SAML) 認証をサポートします。

アイデンティティープロバイダーの統合に変更を加えると、組織内のユーザーは次の状況でユーザーアカウントを再リンクする必要があります。

  • 既存の IdP が削除され、新しい IdP が設定されて有効になったとき。

  • IdP の識別子が変更されたとき。一般的な原因としては、会社が SSO または IdP ベンダーを変更した場合が挙げられます。

    • SAML 設定の場合、これは nameid 属性です。
    • OIDC 設定の場合、これは sub 要求です。
  • ユーザーが組織を離れて、また戻ってくるとき。ユーザーは、ログインメッセージ One-time account linking required. が表示されたときに、既存のリンクを新しいリンクに置き換えることができます。

2.1. アイデンティティプロバイダー (IdP) 統合の設定

組織の Red Hat アカウントを、サードパーティーアイデンティティープロバイダー (IdP) の有効なクライアントとして認識されるようにセットアップおよび設定できます。アイデンティティープロバイダーインテグレーションは SAML および OIDC をサポートします。

前提条件

手順

  1. 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインします。
  2. ログイン後にホームページから、⚙ (Settings) をクリックします。
  3. Authentication Policy をクリックします。
  4. Authentication Policy ウィンドウが表示されたら、Identity Provider Integration をクリックします。

  5. Set up an identity provider をクリックし、アイデンティティープロバイダーの認証プロトコルを選択します。

    ヒント

    Identity Provider Integration に直接移動できます。

  6. SAML 2.0 または OpenID Connect を選択し、設定を続行します。

2.2. SAML のアイデンティティープロバイダーインテグレーションの設定

Security Assertion Markup Language (SAML) 認証を使用する場合は、アイデンティティープロバイダーに関する特定の情報を提供する必要があります。SAML の IdP 統合を開始する前に、この情報を収集します。

SAML のアイデンティティープロバイダー統合には x509 証明書が必要です。この証明書は、署名をチェックする Base64 プライバシー強化メール (PEM) ファイルです。Red Hat が提供するアイデンティティープロバイダーインテグレーションでは、x509 証明書を使用してアサーション署名を検証します。応答とアサーションの暗号化は現在強制されていませんが、有効な x509 証明書を使用すると応答とアサーションの復号化が可能になります。

IdP 統合を完了するには、次の情報が必要です。

  • SAML メタデータ。SAML メタデータは、XML 形式のファイルからインポートすることも、手動で入力することもできます。SAML XML メタデータファイルをインポートすると、x509 証明書が自動的に解析されます。ファイルのインポートが推奨されます。
  • アイデンティティープロバイダーエンティティー ID (EID)。EID 属性は SAML メタデータ設定にあります。
  • シングルサインオン認証リクエスト URL。認証要求 URL は SAML 認証リクエストを送信します。認証要求 URL は "ログイン URL" とも呼ばれます。ユーザーは Red Hat サイトからログイン URL にリダイレクトされ、会社のシングルサインオンシステムで認証されます。

前提条件

  • 組織管理者として Red Hat Hybrid Cloud Console にログインし、IdP 統合を開始している。
  • SAML メタデータ、EID、および SSO 認証リクエストの URL が利用可能である。

手順

  1. Identity Provider Integration ページで、SAML 2.0 をクリックします。

  2. SAML メタデータファイルからほとんどの情報を XML 形式でアップロードできます。以下の情報は SAML メタデータファイルから解析されます。

    • ID プロバイダーエンティティー ID
    • シングルサインオン認証リクエスト URL

  3. サービスプロバイダーの発行者情報を手動で入力します。この情報は、ユーザーが指定してください。サービスプロバイダー発行者とは、IdP での Red Hat シングルサインオンシステムの識別方法です。これは "サービスプロバイダーエンティティー ID" とも呼ばれます。

    注記

    サービスプロバイダーの発行者情報では英数字のみを使用できます。スペースや英数字以外の文字は使用しないでください。

  4. アイデンティティープロバイダー設定エントリーに必要な URL では、次の情報を確認し、組織のアイデンティティープロバイダーで必要な情報が入力されていることを確認します。

    • SAML サービスプロバイダーメタデータ URL
    • URL のリダイレクト / Assertion Consumption Service (ACS) URL

  5. アイデンティティープロバイダー統合の情報が入力されていることを確認したら、Create SAML identity provider integration をクリックします。設定情報を表示するページが表示されます。

    注記

    情報が不足しているか間違っている場合は、フォームを更新して再送信してください。

  6. Test and enable をクリックして、アイデンティティープロバイダーの統合を完了します。これにより、ログイン ID とパスワードを入力する新しいポップアップウィンドウが開きます。

    注記

    ブラウザーでポップアップが有効になっていることを確認します。

  7. テストが成功したら、Enable ボタンをクリックして組織に対して有効にします。有効にしないことを選択した場合は、再テストを行う必要があります。

関連情報

2.3. OIDC のアイデンティティープロバイダーインテグレーションの設定

OpenID Connect 認証を使用する場合は、アイデンティティープロバイダーに関する情報を提供する必要があります。OIDC の IdP インテグレーションを開始する前に、この情報を収集してください。次の情報を取得する方法については、アイデンティティープロバイダークライアント (Microsoft Entra ID など) のシステム情報を参照してください。

  • IdP の発行者情報。IdP トークンの URL。
  • クライアント ID。IdP クライアント ID は、ユーザーの ID を検証し、他のサービスに情報を提供します。
  • クライアントシークレット。クライアントシークレットは、OAuth アプリケーションと認可サーバーのみが知っているランダムな文字列です。
  • 認可 URL。認可コードを取得するための API プロバイダー認可サーバーのエンドポイント。
  • トークン URL。アクセストークンの認可コードを交換するための、プロバイダーの認証サーバーの URL。
  • JWKS URL。プロバイダーの JSON Web キーセットの URL。

IdP 統合を完了するには、次の URL 情報が必要です。

  • サービスプロバイダーの OpenID 設定 URL。OpenID Connect 設定 URL には、sso.redhat.com OIDC セットアップの設定詳細が含まれています。
  • URL をリダイレクトします。サービスプロバイダーのリダイレクト URL (リダイレクト URI または応答 URL とも呼ばれます) は、ユーザーがアイデンティティープロバイダーで正常に認証された後にリダイレクトされるエンドポイントです。

前提条件

  • 組織管理者として Red Hat Hybrid Cloud Console にログインし、IdP 統合を開始している。
  • OIDC 設定情報が利用可能です。

手順

  1. Identity Provider Integration ページで、OpenID Connect をクリックします。
    OIDC アイデンティティープロバイダー設定フォームが表示されます。
  2. 収集した情報を使用して、フォームに記入してください。

  3. アイデンティティープロバイダー統合の情報が入力されていることを確認したら、Create OICD identity provider integration をクリックします。設定情報を表示するページが表示されます。

    注記

    情報が不足しているか間違っている場合は、フォームを更新して再送信してください。

  4. Test and enable をクリックして、アイデンティティープロバイダーの統合を完了します。これにより、ログイン ID とパスワードを入力する新しいポップアップウィンドウが開きます。

    注記

    ブラウザーでポップアップが有効になっていることを確認します。

  5. テストが成功したら、Enable ボタンをクリックして組織に対して有効にします。有効にしないことを選択した場合は、再テストを行う必要があります。

関連情報

2.4. アイデンティティープロバイダーインテグレーションの削除、無効化、または更新

アイデンティティープロバイダーインテグレーションを削除または無効にできます。アイデンティティープロバイダーの統合を再度有効にするか、または新しい統合を作成すると、組織アカウントのユーザーはアイデンティティープロバイダーを介してログインします。

注記

IdP 統合を無効にすると、組織アカウントのユーザーは Red Hat アカウントのクレデンシャルを使用してログインする必要があります。

2.4.1. アイデンティティープロバイダー統合の無効化および再有効化

インテグレーションを変更せずに、一時的に無効にできます。たとえば、アイデンティティープロバイダーにメンテナンス期間があり、ユーザーが Red Hat ログイン ID およびパスワードを使用して Red Hat サービスにログインできるようにします。

注記

Red Hat IdP 統合アプリケーションにアクセスできず、統合を無効にする必要がある場合は、Red Hat Customer Service でサポートチケットを作成してください。これは、アイデンティティープロバイダーが停止し、統合を通じてログインできない場合に発生する可能性があります。

前提条件

  • 組織管理者またはユーザーアクセス管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
  • アイデンティティープロバイダー統合を設定している。

手順

  1. Settings > Authentication Policy > Identity Provider Integration に移動します。
    有効なインテグレーションが表示されます。
  2. Disable をクリックします。
    IdP 統合が無効になりました。
  3. 再度有効にする準備ができたら、Test and enable をクリックします。
  4. テストが成功したら、Enable をクリックして、組織で再度有効化します。

2.4.2. アイデンティティープロバイダー統合設定の更新

必要に応じて、アイデンティティープロバイダーの統合に変更を加えることができます。更新の一般的な理由は次のとおりです。

  • SAML 設定には、更新された x509 証明書が必要です。
  • OIDC 設定には、更新を必要とするクライアントシークレットをローテーションしています。

前提条件

  • 組織管理者またはユーザーアクセス管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
  • アイデンティティープロバイダー統合を設定している。

手順

  1. Settings > Authentication Policy > Identity Provider Integration に移動します。
    有効なインテグレーションが表示されます。
  2. Disable をクリックします。
    IdP 統合が無効になりました。
  3. 更新するフィールドをクリックし、変更します。
  4. 終了したら、Test and enable をクリックします。設定の更新後に、テスト手順を実行する必要があります。
  5. テストが成功したら、Enable をクリックして、組織で再度有効化します。

第3章 アイデンティティープロバイダーインテグレーションシステムのデフォルト

3.1. SAML のデフォルト

次の表は、Red Hat アイデンティティーシステムのデフォルトと、アイデンティティープロバイダーと SAML のインテグレーションに関する期待値を示しています。

表3.1 SAML 設定の IdP インテグレーションのデフォルト
名前説明

SSO initiation type

Red Hat アイデンティティーシステム (sso.redhat.com) は、サービスプロバイダーが開始するシングルサインオンをサポートしています。IdP によるシングルサインオンはサポートされておらず、これを追加する予定もありません。

SSO binding

新しい IdP では POST のみが許可されます。

Name ID

Red Hat では、認証ユーザーを永続的に識別できる ID が必要です。ただし、どの識別子を使用するかを決定するのはお客様です。一般的に使用される ID は、UUID、メールアドレス、ユーザー名などです。

Other required attributes

ユーザーの認証に他の属性を指定する必要はありません。

ACS URL

これは、顧客が IdP の初期設定を完了した後に、アイデンティティープロバイダーインテグレーションツールにより提供されます。また、お客様が希望する場合にバインドできる SAML メタデータ URL へのリンクも提供します (これにより、設定された IdP を詳細に確認できるようになります)。

Assertion Signing

パートナーインテグレーションは、お客様のアサーションに署名する必要があります。IdP 設定中に、アサーション署名の検証に使用できる有効な x509 証明書を提供する必要があります。

Response/Assertion Encryption

暗号化は現在強制されていませんが、有効な x509 が提供されている限り、応答/アサーションを復号化できます。

Signing AuthN requests

Red Hat は AuthN リクエストに署名します。統合を行う方がこの署名を検証するようにしてください。これを行うために使用するキーは、当社が提供する SAML メタデータで検出できます (前述のように、これは IdP が作成された後に提示されます)。

Federated Logout

Red Hat は現在、フェデレーションログアウトオプションをサポートしていません。そうすると、ユーザーが Red Hat のサービスまたはアプリケーションからログアウトすると、Red Hat と会社の SSO の両方から “ログアウト“ されることになります。

3.2. OIDC デフォルト

以下の表は、OIDC とのアイデンティティープロバイダー統合における Red Hat ID システムのデフォルトと期待値を示しています。

表3.2 OIDC 設定用の IdP インテグレーションのデフォルト
名前説明

Federated Logout

Red Hat は現在、フェデレーションログアウトオプションをサポートしていません。そうすると、ユーザーが Red Hat のサービスまたはアプリケーションからログアウトすると、Red Hat と会社の SSO の両方から “ログアウト“ されることになります。

署名

IdP インテグレーションでは署名が検証され、トークンに署名する必要があります。

PKCE

セキュリティーを強化するには、OAuth 2.0 認可コードフローの拡張機能である Proof Key for Code Exchange (PKCE) を使用します。Red Hat では、PKCE 方式として S256 を使用することを推奨しています。

法律上の通知

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat, Inc.