項目 |
内容 |
|
---|---|---|
事前確認 |
|
|
ネームID |
〇 |
メールアドレス |
カスタム属性 ※ カスタム属性の設定方法はこちら |
||
SP側の設定 |
〇 |
管理者様にて設定 |
SPへ設定を依頼 |
||
プロビジョニング |
APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可) |
|
〇 |
SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可) |
|
|
なし(各システムでアカウント作成) |
|
アクセス方法 |
〇 |
SP-Initiated SSO |
〇 |
IdP-Initiated SSO |
|
デバイス別動作検証状況 |
〇 |
PC - ブラウザ |
ー |
PC - デスクトップアプリ |
|
〇 |
iOS - 標準ブラウザ (Safari) |
|
ー |
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
iOS - ネイティブアプリ |
|
〇 |
Android - 標準ブラウザ (Chrome) |
|
ー |
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
Android - ネイティブアプリ |
事前準備
Nutanix FrameにSAML認証によるログインを行うと、JITプロビジョニングによりNutanix Frameにユーザー情報の同期が行われるため、以下の設定を事前に行います。
グループを作成しメンバーを割り当て
Nutanix Frameのロールにマッピングするグループを作成し、メンバーを割り当てます。
(既存のグループで運用が可能な場合は既存グループでも構いません。)
グループ名は任意です。
グループの方法、メンバーの割り当て方法は以下のページをご参照ください。
グループを登録する
【設定例】
- 「一般ユーザー」グループを作成し、Nutanix Frameの「Launchpad User on Application」ロールのメンバーを割り当て
- 「管理者」グループを作成し、Nutanix Frameの「Account Administrator」ロールのメンバーを割り当て
これにより、例えば「管理者」に属するユーザーがNutanix FrameにSAMLログインを行うと、自動的に「Account Administrator」ロールが割り当てられます。トラスト・ログイン上でグループの変更を行うと、Nutanix Frame側のロールもSAMLログインを行った際に変更されます。設定したグループに属さないユーザーはNutanix Frameへのログインができなくなります。
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
- 「アプリケーション名」「アイコン」(任意)を登録します。
- 「IDプロバイダーの情報」 のメタデータをダウンロードします。
ここで、Nutanix Frame側の設定に移ります。
「登録」ボタンは押さず、別タブでNutanix Frameを開いてください。
Nutanix Frame の設定
- Nutanix Frameに管理者アカウントでログインし、SAML認証を設定する対象を選択します。
(Accounts、Organization、Customerの三種類がありますが、設定方法は同様となります。ここではAccountsを例としてSAML設定を行います。) - 「Users」を開きます。
- 「Authentication」のタブから「SAML2」のトグルをオンにし、「Save」で保存します。
- 「SAML2 Providers」のタブで、「AddSAML2 Providers」を押下します。
- 以下の通り項目を設定し、最後に「Add」を押下します。
任意の文字列(後ほどトラスト・ログインに入力します) Auth provider metadata トラスト・ログインからダウンロードしたメタデータをテキストエディタで開き、中身を貼り付けます。 Integration Name 任意の文字列(後ほどトラスト・ログインに入力します)
※ここで設定した文字列が後ほどNutanix Frameのログイン画面に表示されます。下記画像参照任意の文字列
※ここで設定した文字列が後ほどNutanix Frameのログイン画面に表示されます。空欄の場合は、「Integration Name」で設定したIDが表示されます。下記画像参照Signed assertion トグルをオンにする -
「SAML2Permissions」のタブから「AddPermission」を押下します。
-
以下の通り項目を設定し、最後に「Save」を押下します。
For provider 手順5で設定した「Integration Name」をプルダウンし選択します。
Description(任意) 設定の内容がわかる説明を入力します。 Allow access 「When all conditions are satisfied」を選択 Conditions 「groups」-「contains」-「Text」-「トラスト・ログインのグループ名」
の順でテキスト入力またはプルダウン選択します。Grant roles Conditions のグループに割り当てるロールを設定します。
設定例:「一般ユーザー」グループに「Launchpad User on application」ロールを割り当てる場合 - 手順6-7を設定が必要なグループごとに行います。
再びトラスト・ログインの設定に戻ります。
トラスト・ログインの管理ページの設定(続き)
- 「サービスプロバイダの設定」の「ログインURL」各項目に以下の形式で設定します。認証成功後のURLはSAMLログイン後に表示させたいページのアドレスバーからURLをコピーします。
https://[認証成功後のURL]?idp=[Nutanix Frameに設定した「Integration Name」]
例)https://console.nutanix.com/test/tlustlogin/gmoglobalsign/launchpad/application?idp=Globalsign
【各ページのURLの参考例】
Launchpad https://console.nutanix.com/[お客様のURL]/launchpad/[お客様のURL] 管理者ページ https://console.nutanix.com/frame/[お客様のURL]/
例:SAMLログイン後、Launchpadを表示したい場合 - 「サービスプロバイダの設定」のその他の項目は以下の通り設定します。
ネームID用値 [メンバー]-[email] エンティティID Nutanix Frameの「Application Id」に入力した任意の文字列 ネームIDフォーマット 「persistent」を選択 サービスのACS URL https://img.frame.nutanix.com/saml2/done/[Nutanix Frameの「Integration Name」に入力した任意の文字列]/
例)https://img.frame.nutanix.com/saml2/done/Globalsign/ - 「SAML属性の設定」の「SAML属性を追加」ボタンで行(属性)を追加し、以下の通り設定します。
グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。
サービスプロバイダー属性 トラスト・ログイン(IdP)属性 属性指定名 属性種類 属性名 属性値 givenName Basic givenName メンバー メンバーー名 sn Basic sn メンバー メンバーー姓 mail Basic mail メンバー メンバーーメールアドレス groups Basic groups グループ 設定したグループ名を選択し「+」ボタンで追加する - 「登録」ボタンで保存します。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
- 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
ログアウトについて
Nutanix Frame側でログアウトを行おうとすると、自動で再ログインされます。
Nutanix Frameをログアウトしたい場合は、トラスト・ログインをログアウトしてください。