第3章 Red Hat Single Sign-On の設定
Red Hat Single Sign-On (RH-SSO) はマルチテナンシーをサポートし、レルムを使用してテナント間の分離を可能にします。その結果、RH-SSO 操作は常にレルムのコンテキスト内で実行されます。レルムは手動で作成することも、RH-SSO サーバーで管理者権限がある場合は keycloak-httpd-client-install
ツールを使用して作成することもできます。
前提条件
RH-SSO サーバーが完全にインストールされている必要があります。RH-SSO のインストールに関する詳細は、Server installation and configuration guide を参照してください。
以下に示すように、次の変数の定義が必要です。
<_RH_RHSSO_URL_> | The Red Hat Single Sign-On URL |
<_FED_RHSSO_REALM_> | 使用中の RH-SSO レルムを特定します。 |
3.1. RH-SSO レルムの設定
Red Hat Single Sign-On (RH-SSO) レルムが利用できる状態になったら、RH-SSO Web コンソールを使用して、IdM に対してユーザーフェデレーションのレルムを設定します。
手順
- 左上隅のドロップダウンリストから、RH-SSO レルムを選択します。
-
Configure
パネルから、User federated
を選択します。 -
User Federation
パネルのAdd provider
ドロップダウンリストから、ldap
を選択します。 以下のパラメーターの値を指定します。サイト固有の値はすべて、実際の環境に適した値に置き換えます。
プロパティー 値 コンソール表示名
Red Hat IDM
編集モード
READ_ONLY
登録の同期
Off
Vendor
Red Hat Directory Server
ユーザー名 LDAP 属性
uid
RDN LDAP 属性
uid
UUID LDAP 属性
ipaUniqueID
ユーザーオブジェクトクラス
inetOrgPerson, organizationalPerson
接続 URL
LDAPS://<_FED_IPA_HOST_>
ユーザー DN
cn=users,cn=accounts,<_FED_IPA_BASE_DN_>
認証タイプ
simple
バインド DN
uid=rhsso,cn=sysaccounts,cn=etc,<_FED_IPA_BASE_DN_>
バインド認証情報
<_FED_IPA_RHSSO_SERVICE_PASSWD_>
- Test connection および Test authentication ボタンを使用して、ユーザーのフェデレーションが機能していることを確認します。
-
Save
をクリックして、新規ユーザーフェデレーションプロバイダーを保存します。 -
作成した Red Hat IdM ユーザーフェデレーションページの上部にある
Mappers
タブをクリックします。 - デバイスマッパーを作成してユーザーグループ情報を取得します。ユーザーのグループメンバーシップは SAM アサーションを返します。グループメンバーシップを使用して OpenStack で認証を提供します。
-
Mappers ページで
Create
をクリックします。 Add user federation mapper
ページで、Mapper Type ドロップダウンリストからgroup-ldap-mapper
を選択し、Group Mapper
という名前を付けます。以下のパラメーターの値を指定します。サイト固有の値はすべて、実際の環境に適した値に置き換えます。プロパティー 値 LDAP グループ DN
cn=groups,cn=accounts„<_FED_IPA_BASE_DN_>
グループ名 LDAP 属性
cn
グループオブジェクトクラス
groupOfNames
メンバーシップ LDAP 属性
member
メンバーシップ属性タイプ
DN
Mode
READ_ONLY
ユーザーグループの取得ストラテジー
GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE
-
Save
をクリックします。