第3章 Red Hat Single Sign-On の設定
Red Hat Single Sign-On (RH-SSO) はマルチテナンシーをサポートし、レルムを使用してテナント間の分離を可能にします。その結果、RH-SSO 操作は常にレルムのコンテキスト内で実行されます。レルムは手動で作成することも、RH-SSO サーバーで管理者権限がある場合は keycloak-httpd-client-install ツールを使用して作成することもできます。
前提条件
RH-SSO サーバーが完全にインストールされている必要があります。RH-SSO のインストールに関する詳細は、Server installation and configuration guide を参照してください。
以下に示すように、次の変数の定義が必要です。
| <_RH_RHSSO_URL_> | The Red Hat Single Sign-On URL |
| <_FED_RHSSO_REALM_> | 使用中の RH-SSO レルムを特定します。 |
3.1. RH-SSO レルムの設定
Red Hat Single Sign-On (RH-SSO) レルムが利用できる状態になったら、RH-SSO Web コンソールを使用して、IdM に対してユーザーフェデレーションのレルムを設定します。
手順
- 左上隅のドロップダウンリストから、RH-SSO レルムを選択します。
-
Configureパネルから、User federatedを選択します。 -
User FederationパネルのAdd providerドロップダウンリストから、ldapを選択します。 以下のパラメーターの値を指定します。サイト固有の値はすべて、実際の環境に適した値に置き換えます。
プロパティー Value コンソール表示名
Red Hat IDM
編集モード
READ_ONLY
登録の同期
Off
Vendor
Red Hat Directory Server
ユーザー名 LDAP 属性
uid
RDN LDAP 属性
uid
UUID LDAP 属性
ipaUniqueID
ユーザーオブジェクトクラス
inetOrgPerson, organizationalPerson
接続 URL
LDAPS://<_FED_IPA_HOST_>
ユーザー DN
cn=users,cn=accounts,<_FED_IPA_BASE_DN_>
認証タイプ
simple
バインド DN
uid=rhsso,cn=sysaccounts,cn=etc,<_FED_IPA_BASE_DN_>
バインド認証情報
<_FED_IPA_RHSSO_SERVICE_PASSWD_>
- Test connection および Test authentication ボタンを使用して、ユーザーのフェデレーションが機能していることを確認します。
-
Saveをクリックして、新規ユーザーフェデレーションプロバイダーを保存します。 -
作成した Red Hat IdM ユーザーフェデレーションページの上部にある
Mappersタブをクリックします。 - デバイスマッパーを作成してユーザーグループ情報を取得します。ユーザーのグループメンバーシップは SAM アサーションを返します。グループメンバーシップを使用して OpenStack で認証を提供します。
-
Mappers ページで
Createをクリックします。 Add user federation mapperページで、Mapper Type ドロップダウンリストからgroup-ldap-mapperを選択し、Group Mapperという名前を付けます。以下のパラメーターの値を指定します。サイト固有の値はすべて、実際の環境に適した値に置き換えます。プロパティー Value LDAP グループ DN
cn=groups,cn=accounts„<_FED_IPA_BASE_DN_>
グループ名 LDAP 属性
cn
グループオブジェクトクラス
groupOfNames
メンバーシップ LDAP 属性
member
メンバーシップ属性タイプ
DN
Mode
READ_ONLY
ユーザーグループの取得ストラテジー
GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE
-
Saveをクリックします。