本製品の管理サーバは、認証のためにSVOMまたはADFSのSAML認証システム(SAML IdP)と通信を行います。利用する認証方法により、それぞれ以下の作業を行う必要があります。
SVOM同梱のディレクトリサービスを利用する場合の作業
"SVOMとの通信のパスワード設定"を行います。
SVOMでディレクトリサービスにActive Directoryを利用する場合の作業
システム情報の定義ファイルを編集し、"認証方法の指定"を行います。
SAML IdPを利用する場合の作業
システム情報の定義ファイルを編集し、"認証方法の指定"を行います。
Cloud Services ManagementにSAML IdPと連携するための情報を設定します。設定内容については、"IdP連携パラメーターの設定"を参照してください。
設定変更を反映するため、本製品を再起動します。
SAML IdPに対し、Cloud Services ManagementをSAML SPとして設定します。設定内容については、"SAML SPの登録"を参照してください。
認証方法の指定
SVOMの連携先ディレクトリサービスにActive Directoryを利用する場合、または認証にSAML IdPを利用する場合は、定義ファイルに以下の項目を設定または変更する必要があります。SVOM同梱のディレクトリサービスを利用する場合は、この作業は必要ありません。
ファイル名と格納先は以下のとおりです。
fscsm_config.xml
%FSCSM_HOME%\conf
項目 | 設定値 | |
|---|---|---|
ldap.mode | SVOM同梱のディレクトリサービスを利用する場合に指定(デフォルト) | read_write |
Active Directory連携を利用する場合、またはSAML IdPを利用する場合に指定 | read_only | |
servlet_filter.class | SVOMを使用する場合に指定(デフォルト) | com.fujitsu.systemwalker.ctmg.cas.client.filter.FJServerViewSSOFilter |
SAML IdPを使用する場合に指定 | com.fujitsu.csm.filter.saml.SamlFilter | |
システム情報の定義ファイルの詳細については、"FUJITSU Software Cloud Services Management 運用ガイド"の"システム情報"を参照してください。
SVOMとの通信のパスワード設定
以下のコマンドを実行して、SVOMのディレクトリサービスへアクセスするためのパスワードを設定します。
SVOMの連携先ディレクトリサービスにActive Directoryを利用する場合、または認証にSAML IdPを利用する場合は、この作業は必要ありません。
%FSCSM_HOME%\bin\fscsm_passwordset -svom <パスワード>
コマンドオプションは以下のとおりです。
オプション名 | 値 |
|---|---|
-svom | SVOMで連携するディレクトリサービスに使用する、管理アカウントのパスワードを指定します。 !#()-.@`{}~および半角英数字を、8~64文字で指定します。 |
IdP連携パラメーターの設定
認証にSAML IdPを利用する場合は、以下の定義ファイルを作成する必要があります。
ファイル名と格納先は以下のとおりです。格納先に準備されている、サンプルファイル"saml_auth_sample.xml"をコピーして作成してください。
saml_auth.xml
%FSCSM_HOME%\conf
項目 | 省略可否 | 説明 |
|---|---|---|
sp.metadata.url | × | SAML-SPのメタデータURLとして、以下の値を指定します。 https://<管理サーバのホスト名>:<GUI用ドメインのHTTP SSLリスナーのポート番号>/saml-client/metadata.jsp |
sp.login.url | × | SAML-IdP認証後のページ遷移先URLとして、以下の値を指定します。 https://<管理サーバのホスト名>:<GUI用ドメインのHTTP SSLリスナーのポート番号>/index.jsp |
logout.url | ○ | ログアウト時のページ遷移先URLを指定します。 省略した場合は、デフォルトのログアウトページに遷移します。 |
idp.entity_id | × | IdPエンティティの識別子をURI形式で指定します。 |
idp.single_sign_on.service_url | × | Cloud Services ManagementからIdPに送信する認証要求の送信先URLを指定します。SAML IdPのSSOエンドポイントURLを指定してください。 ポイント 未認証の状態でクラウド管理用ポータルにアクセスすると、この項目に設定したIdPの認証ページにリダイレクトされます。 |
idp.x509_cert | × | IdPのX509証明書(CERファイル)の内容を指定してください。※1 |
「省略可否」列の記号は以下を参照してください。
○: 省略可
×: 省略不可
※1: CERファイルを任意のテキストエディタで開き、以下の内容を指定してください。
-----BEGIN CERTIFICATE----- <ここに記載されている内容をidp.x509_certに指定してください。> -----END CERTIFICATE-----
SAML SPの登録
認証システム側の連携設定を行います。利用する認証システムの設定手順に従い、設定を実施してください。一般的に以下の作業が必要となります。
SAML SPとしてCloud Services Managementを登録
Cloud Services Managementが提供するメタデータを読み込むことで、SAML IdPにCloud Services Managementを登録できます。
ポイント
メタデータは、以下URLをブラウザでアクセスし、取得してください。
https://<管理サーバのホスト名>:<GUI用ドメインのHTTP SSLリスナーのポート番号>/saml-client/metadata.jsp
SAML IdPがCloud Services Managementに送信する、認証応答メッセージの設定
"nameId"にCloud Services ManagementのユーザーIDが指定されるように設定してください。
