NetBackup IT Analytics セキュリティおよび暗号化リファレンス
SSO (シングルサインオン) によるユーザー認証
NetBackup IT Analytics は、標準の統合ログインで SSO (シングルサインオン) をサポートします。ユーザー認証は、外部の ID 管理サーバーを介して実行され、これによりユーザーのパスワードと ID の詳細のセキュリティレベルが向上します。したがって、シングルサインオンには、SSL が有効な NetBackup IT Analytics ポータル、外部 IDP (ID プロバイダ)、外部 LDAP ディレクトリが必要です。
NetBackup IT Analytics ポータルは、次のプロパティを持つ SSL 証明書を使用して SSL を有効にする (https プロトコル) 必要があります。
署名アルゴリズム名: RSA での SHA256
サブジェクト公開鍵アルゴリズム: 2048 ビット RSA 鍵
SAML 2.0 をサポートする外部 IDP (ID プロバイダ)
キーストアユーティリティ (deployCert) を使用して、SSL 証明書をポータルキーストアに追加する必要があります。
IDP が NetBackup IT Analytics ポータルと通信するためには、ユーザー管理用の外部サーバーで LDAP ディレクトリを構成します。ポータルにログインするユーザーごとに、特定の属性を設定する必要があります。また、ユーザーは少なくとも 1 つのグループに属している必要があります。
外部 LDAP ディレクトリの各ユーザーに、次の属性を設定します。属性ごとに、プロパティ name と friendlyName が存在し、値が取得される必要があります。これらの属性は、外部 LDAP ディレクトリと IDP サーバーの両方で公開する必要があります。属性の名前は次のとおりです。
displayName: <first_name> <last_name> (たとえば Jane Smith)
email: 電子メールアドレス
mobile: 携帯電話番号
telephoneNumber: 職場の電話番号または自宅の電話番号
sAMAccountName: ログインとして使用される一意のユーザー名
memberOf: ユーザーが所属するグループ名の一覧。
メモ:
この
memberOf属性には、Microsoft Azure IDP のカスタマイズが必要です。memberOf 属性には、[すべてのグループ (All groups)]または[セキュリティグループ (Security groups)]ではなく、[アプリケーションに割り当てられたグループ (Groups Assigned to the application)]を設定することをお勧めします。詳しくは、ここをクリックしてください。
SSO を使用してポータルにログインする前に、外部ユーザーは、NetBackup IT Analytics ポータル内のユーザーグループとしても存在する 1 つの外部ディレクトリグループに属している必要があります。設定基準が満たされている場合、ポータルへのユーザーの初回ログイン時に、ユーザーのプロファイルが外部ディレクトリから同期されます。また、ユーザーは、ユーザーグループに割り当てられたすべての権限を継承します。
登録プロセスは、メタデータ XML ファイルを NetBackup IT Analytics ポータルと IDP サーバーとの間で交換することで発生します。ポータル側で、SSO を構成して Portal Tomcat サービスを再起動すると、メタデータ XML ファイルをダウンロードして IDP サーバーに提供できるようになります。このファイルには SSL 証明書が含まれており、NetBackup IT Analytics を SSO のサービスプロバイダとして識別します。同様のメタデータ XML ファイルを IDP サーバーからダウンロードし、ポータルに提供する必要があります。
『NetBackup IT Analytics システム管理者ガイド』で、「SAML (Security Assertion Markup Language) を使用した SSO (シングルサインオン) の構成」を参照してください。