1. サポート − GMOトラスト・ログイン
  2. シングルサインオン(SSO)
  3. SAML JIT設定方法

HPE GreenLake のSAML JIT設定方法

GMOトラスト・ログインチーム
  • 更新

 項目

内容 

事前確認

  • HPE GreenLake にて事前の設定が必要です。

  • SAML SSOを適用するにはドメインの所有と検証が必要です。

  • 最新の設定手順は、HPE GreenLake からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス
 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定
 

SPへ設定を依頼

プロビジョニング

  

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

SAML認証適用範囲

全員有効(SAML認証のみとなる)

その他:SSO対象のドメインのユーザーのみ有効(SAML認証のみとなる)
※ SSO対象のドメインのユーザーがIDとパスワードでログインした場合、SSO対応のワークスペースにアクセスすることができません。

備考

 SSOの設定に失敗した場合やSSOが機能していない場合に、リカバリアカウントのユーザー名とパスワードでワークスペースにアクセスすることができます。

 

目次:

事前準備

トラスト・ログインの管理ページの設定 

HPE GreenLake の設定

トラスト・ログインのユーザーの設定

 

事前準備

SAML SSOでHPE GreenLake のワークスペースにアクセスするために必要なSAML属性を、トラスト・ログインのメンバー情報のカスタム属性に追加しておく必要があります。アクセスできるワークスペースや割り当てる役割を指定します。


【トラスト・ログイン カスタム属性 設定例】
21.png

属性値に設定する値の構成方法は、HPE GreenLake のマニュアルをご参照ください。
HPE GreenLake platform SAML属性
hpe_ccs_attributeの構成例


カスタム属性の設定方法は以下のページをご参照ください。カスタム属性の属性名は任意です。

    カスタム属性 設定方法(個別登録)

    カスタム属性 設定方法(一括登録)

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    jit01.png

  2. 「アプリケーション名」「アイコン」(任意)を設定します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

  4. 「サービスプロバイダーの設定」の各項目を以下のとおり設定します。
    SP認証成功後の移行URL https://common.cloud.hpe.com
    エンティティID https://sso.common.cloud.hpe.com

    サービスへのACS URL

    		 https://sso.common.cloud.hpe.com/sp/ACS.saml2

    22.png
  5. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して以下の通り設定します。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    NameId Unspecified NameId

    メンバー

    メンバーーメールアドレス
    FirstName Unspecified FirstName

    メンバー

    メンバーー名
    LastName Unspecified LastName

    メンバー

    メンバーー姓
    hpe_ccs_attribute Unspecified hpe_ccs_attribute

    カスタム属性

    設定した属性名を選択

    23.png
  6. 「登録」ボタンで保存します。

 

HPE GreenLake の設定

  1. HPE GreenLake にログインし、「ワークスペースの管理」を開きます。
    04.png

  2. 【ドメインの検証】
    SAML SSOを適用するドメインの検証を行います。既にドメイン検証済の場合は手順7に進んでください。

    「組織ガバナンス」>「ドメイン」を開きます。
    05.png

    06.png

  3. 「ドメインの追加」をクリックします。
    07.png

  4. 対象のドメイン名を入力し、「ドメインの要求」をクリックします。08.png

  5. 表示された「ドメイン検証TXTレコード」をコピーし、「閉じる」をクリックします。
    コピーしたTXTレコードをドメインのDNSレコードに追加します。
    ドメインのDNSレコードの設定方法はドメインの管理会社のヘルプをご参照ください。
    09.png

  6. 一定時間経過後(DNSレコードの更新は最長72時間程度かかる場合があります。)、対象ドメインの「今すぐドメインを検証」をクリックし、「要求」のステータスが「確認済み」になるとドメインの検証は完了です。
    10.png

    11.png

  7. 【SSOプロファイルの設定】
    「組織ガバナンス」>「SSOプロファイル」を開きます。
    12.png

  8. 「SSOプロファイルの作成」をクリックします。
    13.png

  9. 各項目を以下のとおり設定し「次へ」ボタンをクリックします。
    SSOプロファイル名 任意の名称
    ドメイン 対象のドメインを選択
    認証方法 「セッションベースの認証にはSSO SAML応答を使用します」を選択

    14.png

  10. そのまま「次へ」をクリックします。
    15.png

  11. そのまま「次へ」をクリックします。
    ※ 念のため、「トラスト・ログインの管理ページの設定」の手順4で設定した値と相違がないかご確認ください。
    16.png

  12. 「メタデータXMLファイルのアップロード」を選択し、トラスト・ログインから取得した「メタデータ」をドラッグ&ドロップまたは「ファイルの選択」でアップロードします。
    メタデータが正常に読み込まれたことを確認し、「次へ」をクリックします。
    17.png

  13. SSOの設定に失敗した場合やSSOが機能していない場合に、ユーザー名とパスワードでワークスペースにアクセスできるリカバリアカウントを作成することができます。
    表示されたユーザー名を控え、「リカバリアカウントの連絡先メールアドレス」と「パスワード」を登録します。
    「次へ」ボタンをクリックします。
    18.png

  14. セッションタイムアウトを指定し、「次へ」ボタンをクリックします。
    19.png

  15. 設定内容を確認し、「作成」ボタンをクリックします。
    20.png

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

② 管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 



この記事は役に立ちましたか?

関連記事

  1. ホーム
  2. SAML JIT設定方法
  3. HPE GreenLake のSAML JIT設定方法

HPE GreenLake のSAML JIT設定方法

GMOトラスト・ログインチーム
  • 更新

 項目

内容 

事前確認

  • HPE GreenLake にて事前の設定が必要です。

  • SAML SSOを適用するにはドメインの所有と検証が必要です。

  • 最新の設定手順は、HPE GreenLake からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス
 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定
 

SPへ設定を依頼

プロビジョニング

  

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

SAML認証適用範囲

全員有効(SAML認証のみとなる)

その他:SSO対象のドメインのユーザーのみ有効(SAML認証のみとなる)
※ SSO対象のドメインのユーザーがIDとパスワードでログインした場合、SSO対応のワークスペースにアクセスすることができません。

備考

 SSOの設定に失敗した場合やSSOが機能していない場合に、リカバリアカウントのユーザー名とパスワードでワークスペースにアクセスすることができます。

 

目次:

事前準備

トラスト・ログインの管理ページの設定 

HPE GreenLake の設定

トラスト・ログインのユーザーの設定

 

事前準備

SAML SSOでHPE GreenLake のワークスペースにアクセスするために必要なSAML属性を、トラスト・ログインのメンバー情報のカスタム属性に追加しておく必要があります。アクセスできるワークスペースや割り当てる役割を指定します。


【トラスト・ログイン カスタム属性 設定例】
21.png

属性値に設定する値の構成方法は、HPE GreenLake のマニュアルをご参照ください。
HPE GreenLake platform SAML属性
hpe_ccs_attributeの構成例


カスタム属性の設定方法は以下のページをご参照ください。カスタム属性の属性名は任意です。

    カスタム属性 設定方法(個別登録)

    カスタム属性 設定方法(一括登録)

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    jit01.png

  2. 「アプリケーション名」「アイコン」(任意)を設定します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

  4. 「サービスプロバイダーの設定」の各項目を以下のとおり設定します。
    SP認証成功後の移行URL https://common.cloud.hpe.com
    エンティティID https://sso.common.cloud.hpe.com

    サービスへのACS URL

    		 https://sso.common.cloud.hpe.com/sp/ACS.saml2

    22.png
  5. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して以下の通り設定します。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    NameId Unspecified NameId

    メンバー

    メンバーーメールアドレス
    FirstName Unspecified FirstName

    メンバー

    メンバーー名
    LastName Unspecified LastName

    メンバー

    メンバーー姓
    hpe_ccs_attribute Unspecified hpe_ccs_attribute

    カスタム属性

    設定した属性名を選択

    23.png
  6. 「登録」ボタンで保存します。

 

HPE GreenLake の設定

  1. HPE GreenLake にログインし、「ワークスペースの管理」を開きます。
    04.png

  2. 【ドメインの検証】
    SAML SSOを適用するドメインの検証を行います。既にドメイン検証済の場合は手順7に進んでください。

    「組織ガバナンス」>「ドメイン」を開きます。
    05.png

    06.png

  3. 「ドメインの追加」をクリックします。
    07.png

  4. 対象のドメイン名を入力し、「ドメインの要求」をクリックします。08.png

  5. 表示された「ドメイン検証TXTレコード」をコピーし、「閉じる」をクリックします。
    コピーしたTXTレコードをドメインのDNSレコードに追加します。
    ドメインのDNSレコードの設定方法はドメインの管理会社のヘルプをご参照ください。
    09.png

  6. 一定時間経過後(DNSレコードの更新は最長72時間程度かかる場合があります。)、対象ドメインの「今すぐドメインを検証」をクリックし、「要求」のステータスが「確認済み」になるとドメインの検証は完了です。
    10.png

    11.png

  7. 【SSOプロファイルの設定】
    「組織ガバナンス」>「SSOプロファイル」を開きます。
    12.png

  8. 「SSOプロファイルの作成」をクリックします。
    13.png

  9. 各項目を以下のとおり設定し「次へ」ボタンをクリックします。
    SSOプロファイル名 任意の名称
    ドメイン 対象のドメインを選択
    認証方法 「セッションベースの認証にはSSO SAML応答を使用します」を選択

    14.png

  10. そのまま「次へ」をクリックします。
    15.png

  11. そのまま「次へ」をクリックします。
    ※ 念のため、「トラスト・ログインの管理ページの設定」の手順4で設定した値と相違がないかご確認ください。
    16.png

  12. 「メタデータXMLファイルのアップロード」を選択し、トラスト・ログインから取得した「メタデータ」をドラッグ&ドロップまたは「ファイルの選択」でアップロードします。
    メタデータが正常に読み込まれたことを確認し、「次へ」をクリックします。
    17.png

  13. SSOの設定に失敗した場合やSSOが機能していない場合に、ユーザー名とパスワードでワークスペースにアクセスできるリカバリアカウントを作成することができます。
    表示されたユーザー名を控え、「リカバリアカウントの連絡先メールアドレス」と「パスワード」を登録します。
    「次へ」ボタンをクリックします。
    18.png

  14. セッションタイムアウトを指定し、「次へ」ボタンをクリックします。
    19.png

  15. 設定内容を確認し、「作成」ボタンをクリックします。
    20.png

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

② 管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 



関連記事