Rapid7 のSAML JIT設定方法

 項目

内容 

事前確認

  • Rapid7 にて事前の設定が必要です。

  • ユーザーの姓・名はプロビジョニングによる新規作成時のみ同期されます。
  • 最新の設定手順は、Rapid7 からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

事前準備

ユーザーをRapid7 のグループに自動的に割り当てる場合のみ、こちらの事前準備を行なってください。
Rapid7 とトラスト・ログインに同名のグループを作成します。

【設定例】
以下は説明のための一例です。グループ名や割り当て製品・ロールはお客様の運用に合わせて設定してください。

  1. Rapid7のグループ設定を行います。(User Management > User Groups)
    グループ名「Admin」「Viewer」を作成し、それぞれ製品とロールを割り当てます。
    001.png

  2. トラスト・ログインにも同名の「Admin」「Viewer」とするグループを作成しメンバーを割り当てます。
    グループの登録方法、メンバーの割り当て方法は以下のページをご参照ください。
        グループを登録する
    002.png

これによりトラスト・ログインにて「Admin」グループに属するユーザーがRapid7 にSAMLログインを行うと、自動的に「Admin」グループメンバーとなり、設定した製品やロールを割り当てることができます。


トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    jit01.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    Rapid7.png

  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」「発行者・エンティティID」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
    03.png

ここで、Rapid7 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでRapid7 を開いてください。

Rapid7 の設定

  1. 右上の「Data management」のマーク > 「Agents」を開きます。
    04.png

  2. 左メニューの「Settings」のマーク > 「SSO Settings」を開き、各項目を以下の通り設定します。
    Select your Identity Provider (IdP) 「Other」を選択
    Add your IdP Certificate

    トラスト・ログインから取得した「証明書」を枠内にドラッグ&ドロップするか、「Browse」ボタンを使用してアップロード

    Assertion Consumer Service (ACS) URL 右の「Copy」ボタンでコピーして値を取得
    Audience (EntityID) 右の「Copy」ボタンでコピーして値を取得
    Relay State 右の「Copy」ボタンでコピーして値を取得
    Entity ID トラスト・ログインから取得した「発行者・エンティティID」
    Single Sign-On Service URL トラスト・ログインから取得した「IDプロバイダーURL」

    05 (3).png

  3. 「Set Up Default Access Profile」を設定します。
    プロビジョニングされた新しいユーザーに自動的に割り当てられる製品とロールを定義できます。
    詳細な手順は こちら をご参照ください。
    06.png

  4. 「Synchronize IdP Groups with User Groups」を設定します。
    ユーザーをRapid7 のグループに自動的に割り当てる場合 「IdP group synchronization active」を選択
    ユーザーをRapid7 のグループに自動的に割り当てない場合 「IdP group synchronization inactive」を選択

    07.png

  5. 「Submit and turn on SSO」ボタンで設定を保存します。

  • SSOを有効にしても既存の「ローカルユーザー」はRapid7 のID/PWでログインすることが可能ですが、一度SSOを使用して認証を行うと「IdPユーザー」となり、以降ID/PWでのログインができなくなりますのでご注意ください。
  • IdPユーザーをローカルユーザーに戻すことはできません。
  • そのため、少なくとも一人のローカルユーザーであるプラットフォーム管理者ユーザーを維持しておくことを推奨します。

    IdPユーザーとローカルユーザーはユーザー一覧のバッジで区別することができます。
    11.png

     

再び、トラスト・ログインの管理ページに戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」を以下の通り設定します。
    SP認証成功後の移行URL Rapid7 から取得した「Relay State」
    ネームID用値 「メンバー」>「email」
    エンティティID Rapid7 から取得した「Audience (EntityID)」
    ネームIDフォーマット 「Unspecified」
    サービスへのACS URL Rapid7 から取得した「Assertion Consumer Service (ACS) URL」

    08.png

  2. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加します。各行を以下の通り設定します。

    Groupの行はユーザーをグループに自動的に割り当てる場合のみ設定します。
    グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。

    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    FirstName Unspecified FirstName

    メンバー

    メンバー - 名

    LastName Unspecified LastName

    メンバー

    メンバー - 姓

    Email Unspecified Email

    メンバー

    メンバー - メールアドレス

    rbacGroups Unspecified rbacGroups

    グループ

    設定したグループ名を選択し「+」ボタンで全て追加する


    【ユーザーをグループに自動的に割り当てる場合】
    09.png


    【ユーザーをグループに自動的に割り当てない場合】
    10.png


  3. 「登録」ボタンで保存します。

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

Rapid7 のSAML JIT設定方法

 項目

内容 

事前確認

  • Rapid7 にて事前の設定が必要です。

  • ユーザーの姓・名はプロビジョニングによる新規作成時のみ同期されます。
  • 最新の設定手順は、Rapid7 からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

事前準備

ユーザーをRapid7 のグループに自動的に割り当てる場合のみ、こちらの事前準備を行なってください。
Rapid7 とトラスト・ログインに同名のグループを作成します。

【設定例】
以下は説明のための一例です。グループ名や割り当て製品・ロールはお客様の運用に合わせて設定してください。

  1. Rapid7のグループ設定を行います。(User Management > User Groups)
    グループ名「Admin」「Viewer」を作成し、それぞれ製品とロールを割り当てます。
    001.png

  2. トラスト・ログインにも同名の「Admin」「Viewer」とするグループを作成しメンバーを割り当てます。
    グループの登録方法、メンバーの割り当て方法は以下のページをご参照ください。
        グループを登録する
    002.png

これによりトラスト・ログインにて「Admin」グループに属するユーザーがRapid7 にSAMLログインを行うと、自動的に「Admin」グループメンバーとなり、設定した製品やロールを割り当てることができます。


トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    jit01.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    Rapid7.png

  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」「発行者・エンティティID」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
    03.png

ここで、Rapid7 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでRapid7 を開いてください。

Rapid7 の設定

  1. 右上の「Data management」のマーク > 「Agents」を開きます。
    04.png

  2. 左メニューの「Settings」のマーク > 「SSO Settings」を開き、各項目を以下の通り設定します。
    Select your Identity Provider (IdP) 「Other」を選択
    Add your IdP Certificate

    トラスト・ログインから取得した「証明書」を枠内にドラッグ&ドロップするか、「Browse」ボタンを使用してアップロード

    Assertion Consumer Service (ACS) URL 右の「Copy」ボタンでコピーして値を取得
    Audience (EntityID) 右の「Copy」ボタンでコピーして値を取得
    Relay State 右の「Copy」ボタンでコピーして値を取得
    Entity ID トラスト・ログインから取得した「発行者・エンティティID」
    Single Sign-On Service URL トラスト・ログインから取得した「IDプロバイダーURL」

    05 (3).png

  3. 「Set Up Default Access Profile」を設定します。
    プロビジョニングされた新しいユーザーに自動的に割り当てられる製品とロールを定義できます。
    詳細な手順は こちら をご参照ください。
    06.png

  4. 「Synchronize IdP Groups with User Groups」を設定します。
    ユーザーをRapid7 のグループに自動的に割り当てる場合 「IdP group synchronization active」を選択
    ユーザーをRapid7 のグループに自動的に割り当てない場合 「IdP group synchronization inactive」を選択

    07.png

  5. 「Submit and turn on SSO」ボタンで設定を保存します。

  • SSOを有効にしても既存の「ローカルユーザー」はRapid7 のID/PWでログインすることが可能ですが、一度SSOを使用して認証を行うと「IdPユーザー」となり、以降ID/PWでのログインができなくなりますのでご注意ください。
  • IdPユーザーをローカルユーザーに戻すことはできません。
  • そのため、少なくとも一人のローカルユーザーであるプラットフォーム管理者ユーザーを維持しておくことを推奨します。

    IdPユーザーとローカルユーザーはユーザー一覧のバッジで区別することができます。
    11.png

     

再び、トラスト・ログインの管理ページに戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」を以下の通り設定します。
    SP認証成功後の移行URL Rapid7 から取得した「Relay State」
    ネームID用値 「メンバー」>「email」
    エンティティID Rapid7 から取得した「Audience (EntityID)」
    ネームIDフォーマット 「Unspecified」
    サービスへのACS URL Rapid7 から取得した「Assertion Consumer Service (ACS) URL」

    08.png

  2. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加します。各行を以下の通り設定します。

    Groupの行はユーザーをグループに自動的に割り当てる場合のみ設定します。
    グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。

    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    FirstName Unspecified FirstName

    メンバー

    メンバー - 名

    LastName Unspecified LastName

    メンバー

    メンバー - 姓

    Email Unspecified Email

    メンバー

    メンバー - メールアドレス

    rbacGroups Unspecified rbacGroups

    グループ

    設定したグループ名を選択し「+」ボタンで全て追加する


    【ユーザーをグループに自動的に割り当てる場合】
    09.png


    【ユーザーをグループに自動的に割り当てない場合】
    10.png


  3. 「登録」ボタンで保存します。

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。