項目 |
内容 |
|
---|---|---|
事前確認 |
|
|
ネームID |
〇 |
メールアドレス |
カスタム属性 ※ カスタム属性の設定方法はこちら |
||
SP側の設定 |
〇 |
管理者様にて設定 |
SPへ設定を依頼 |
||
プロビジョニング |
APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可) |
|
〇 |
SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可) |
|
|
なし(各システムでアカウント作成) |
|
アクセス方法 |
〇 |
SP-Initiated SSO |
〇 |
IdP-Initiated SSO |
|
デバイス別動作検証状況 |
〇 |
PC - ブラウザ |
ー |
PC - デスクトップアプリ |
|
〇 |
iOS - 標準ブラウザ (Safari) |
|
〇 |
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
iOS - ネイティブアプリ |
|
〇 |
Android - 標準ブラウザ (Chrome) |
|
〇 |
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
Android - ネイティブアプリ |
事前準備
ユーザーをRapid7 のグループに自動的に割り当てる場合のみ、こちらの事前準備を行なってください。
Rapid7 とトラスト・ログインに同名のグループを作成します。
【設定例】
以下は説明のための一例です。グループ名や割り当て製品・ロールはお客様の運用に合わせて設定してください。
- Rapid7のグループ設定を行います。(User Management > User Groups)
グループ名「Admin」「Viewer」を作成し、それぞれ製品とロールを割り当てます。 - トラスト・ログインにも同名の「Admin」「Viewer」とするグループを作成しメンバーを割り当てます。
グループの登録方法、メンバーの割り当て方法は以下のページをご参照ください。
グループを登録する
これによりトラスト・ログインにて「Admin」グループに属するユーザーがRapid7 にSAMLログインを行うと、自動的に「Admin」グループメンバーとなり、設定した製品やロールを割り当てることができます。
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
- 「アプリケーション名」「アイコン」(任意)を登録します。
- 「IDプロバイダーの情報」 の「IDプロバイダーURL」「発行者・エンティティID」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
ここで、Rapid7 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでRapid7 を開いてください。
Rapid7 の設定
- 右上の「Data management」のマーク > 「Agents」を開きます。
- 左メニューの「Settings」のマーク > 「SSO Settings」を開き、各項目を以下の通り設定します。
Select your Identity Provider (IdP) 「Other」を選択 Add your IdP Certificate トラスト・ログインから取得した「証明書」を枠内にドラッグ&ドロップするか、「Browse」ボタンを使用してアップロード
Assertion Consumer Service (ACS) URL 右の「Copy」ボタンでコピーして値を取得 Audience (EntityID) 右の「Copy」ボタンでコピーして値を取得 Relay State 右の「Copy」ボタンでコピーして値を取得 Entity ID トラスト・ログインから取得した「発行者・エンティティID」 Single Sign-On Service URL トラスト・ログインから取得した「IDプロバイダーURL」 - 「Set Up Default Access Profile」を設定します。
プロビジョニングされた新しいユーザーに自動的に割り当てられる製品とロールを定義できます。
詳細な手順は こちら をご参照ください。 - 「Synchronize IdP Groups with User Groups」を設定します。
ユーザーをRapid7 のグループに自動的に割り当てる場合 「IdP group synchronization active」を選択 ユーザーをRapid7 のグループに自動的に割り当てない場合 「IdP group synchronization inactive」を選択 - 「Submit and turn on SSO」ボタンで設定を保存します。
- SSOを有効にしても既存の「ローカルユーザー」はRapid7 のID/PWでログインすることが可能ですが、一度SSOを使用して認証を行うと「IdPユーザー」となり、以降ID/PWでのログインができなくなりますのでご注意ください。
- IdPユーザーをローカルユーザーに戻すことはできません。
-
そのため、少なくとも一人のローカルユーザーであるプラットフォーム管理者ユーザーを維持しておくことを推奨します。
IdPユーザーとローカルユーザーはユーザー一覧のバッジで区別することができます。
再び、トラスト・ログインの管理ページに戻ります。
トラスト・ログインの管理ページの設定(続き)
- 「サービスプロバイダーの設定」を以下の通り設定します。
SP認証成功後の移行URL Rapid7 から取得した「Relay State」 ネームID用値 「メンバー」>「email」 エンティティID Rapid7 から取得した「Audience (EntityID)」 ネームIDフォーマット 「Unspecified」 サービスへのACS URL Rapid7 から取得した「Assertion Consumer Service (ACS) URL」 - 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加します。各行を以下の通り設定します。
Groupの行はユーザーをグループに自動的に割り当てる場合のみ設定します。
グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。
サービスプロバイダー属性 トラスト・ログイン(IdP)属性 属性指定名 属性種類 属性名 属性値 FirstName Unspecified FirstName メンバー
メンバー - 名
LastName Unspecified LastName メンバー
メンバー - 姓
Email Unspecified Email メンバー
メンバー - メールアドレス
rbacGroups Unspecified rbacGroups グループ
設定したグループ名を選択し「+」ボタンで全て追加する
【ユーザーをグループに自動的に割り当てる場合】
【ユーザーをグループに自動的に割り当てない場合】 - 「登録」ボタンで保存します。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。