Nutanix Frame のSAML JIT設定方法

 項目

内容 

事前確認

  • Nutanix Frameにて事前の設定が必要です。

  • 本マニュアルの設定手順は弊社で動作検証確認を行なっておりますが、最新の情報及び設定手順につきましては、Nutanix Frame からご提供されているマニュアルをご確認くださいますようお願いいたします。
    ※Nutanix社ではJIT機能はテクニカルプレビュー版のため、サポート対象外となります。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

事前準備

Nutanix FrameにSAML認証によるログインを行うと、JITプロビジョニングによりNutanix Frameにユーザー情報の同期が行われるため、以下の設定を事前に行います。

 

グループを作成しメンバーを割り当て

Nutanix Frameのロールにマッピングするグループを作成し、メンバーを割り当てます。
(既存のグループで運用が可能な場合は既存グループでも構いません。)
グループ名は任意です。

グループの方法、メンバーの割り当て方法は以下のページをご参照ください。
    グループを登録する

【設定例】

  • 「一般ユーザー」グループを作成し、Nutanix Frameの「Launchpad User on Application」ロールのメンバーを割り当て
  • 「管理者」グループを作成し、Nutanix Frameの「Account Administrator」ロールのメンバーを割り当て

これにより、例えば「管理者」に属するユーザーがNutanix FrameにSAMLログインを行うと、自動的に「Account Administrator」ロールが割り当てられます。トラスト・ログイン上でグループの変更を行うと、Nutanix Frame側のロールもSAMLログインを行った際に変更されます。設定したグループに属さないユーザーはNutanix Frameへのログインができなくなります。

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    01.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    02.png

  3. 「IDプロバイダーの情報」 のメタデータをダウンロードします。
    03.png

ここで、Nutanix Frame側の設定に移ります。
「登録」ボタンは押さず、別タブでNutanix Frameを開いてください。

 

Nutanix Frame の設定

  1. Nutanix Frameに管理者アカウントでログインし、SAML認証を設定する対象を選択します。
    (Accounts、Organization、Customerの三種類がありますが、設定方法は同様となります。ここではAccountsを例としてSAML設定を行います。)
    XiFrame01.png

  2. 「Users」を開きます。
    XiFrame02.png

  3. Authentication」のタブから「SAML2」のトグルをオンにし、「Save」で保存します。
    XiFrame03.png

  4. 「SAML2 Providers」のタブで、「AddSAML2 Providers」を押下します。
    XiFrame04.png

  5. 以下の通り項目を設定し、最後に「Add」を押下します。
    任意の文字列(後ほどトラスト・ログインに入力します)
    Auth provider metadata トラスト・ログインからダウンロードしたメタデータをテキストエディタで開き、中身を貼り付けます。
    Integration Name 任意の文字列(後ほどトラスト・ログインに入力します)

    ※ここで設定した文字列が後ほどNutanix Frameのログイン画面に表示されます。下記画像参照

    任意の文字列

    ※ここで設定した文字列が後ほどNutanix Frameのログイン画面に表示されます。空欄の場合は、「Integration Name」で設定したIDが表示されます。下記画像参照

    Signed assertion トグルをオンにする

    XiFrame05.png
    10.png

  6. 「SAML2Permissions」のタブから「AddPermission」を押下します。
    XiFrame07.png

  7. 以下の通り項目を設定し、最後に「Save」を押下します。

    For provider

    手順5で設定した「Integration Name」をプルダウンし選択します。

    Description(任意) 設定の内容がわかる説明を入力します。
    Allow access 「When all conditions are satisfied」を選択
    Conditions 「groups」-「contains」-「Text」-「トラスト・ログインのグループ名」
    の順でテキスト入力またはプルダウン選択します。
    Grant roles

    Conditions のグループに割り当てるロールを設定します。


    設定例:「一般ユーザー」グループに「Launchpad User on application」ロールを割り当てる場合
    XiFrame08.png

     

  8. 手順6-7を設定が必要なグループごとに行います。
    permission.png

 

再びトラスト・ログインの設定に戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダの設定」の「ログインURL」各項目に以下の形式で設定します。認証成功後のURLはSAMLログイン後に表示させたいページのアドレスバーからURLをコピーします。

    https://[認証成功後のURL]?idp=[Nutanix Frameに設定した「Integration Name」]

    例)https://console.nutanix.com/test/tlustlogin
    /gmoglobalsign/launchpad/application?idp=Globalsign

    【各ページのURLの参考例
    Launchpad https://console.nutanix.com/[お客様のURL]/launchpad/[お客様のURL]
    管理者ページ https://console.nutanix.com/frame/[お客様のURL]/

    例:SAMLログイン後、Launchpadを表示したい場合

    Xi_Frame09.png

    06-0.png

  2. 「サービスプロバイダの設定」のその他の項目は以下の通り設定します。
    ネームID用値 [メンバー]-[email]
    エンティティID Nutanix Frameの「Application Id」に入力した任意の文字列
    ネームIDフォーマット 「persistent」を選択
    サービスのACS URL https://img.frame.nutanix.com/saml2/done/[Nutanix Frameの「Integration Name」に入力した任意の文字列]/

    例)https://img.frame.nutanix.com/saml2/done/Globalsign/

    06.png

  3. 「SAML属性の設定」の「SAML属性を追加」ボタンで行(属性)を追加し、以下の通り設定します。
    グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    givenName Basic givenName メンバー メンバーー名
    sn Basic sn メンバー メンバーー姓
    mail Basic mail メンバー メンバーーメールアドレス
    groups Basic groups グループ 設定したグループ名を選択し「+」ボタンで追加する

    07.png

  4. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

ログアウトについて

Nutanix Frame側でログアウトを行おうとすると、自動で再ログインされます。
Nutanix Frameをログアウトしたい場合は、トラスト・ログインをログアウトしてください。

Nutanix Frame のSAML JIT設定方法

 項目

内容 

事前確認

  • Nutanix Frameにて事前の設定が必要です。

  • 本マニュアルの設定手順は弊社で動作検証確認を行なっておりますが、最新の情報及び設定手順につきましては、Nutanix Frame からご提供されているマニュアルをご確認くださいますようお願いいたします。
    ※Nutanix社ではJIT機能はテクニカルプレビュー版のため、サポート対象外となります。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

事前準備

Nutanix FrameにSAML認証によるログインを行うと、JITプロビジョニングによりNutanix Frameにユーザー情報の同期が行われるため、以下の設定を事前に行います。

 

グループを作成しメンバーを割り当て

Nutanix Frameのロールにマッピングするグループを作成し、メンバーを割り当てます。
(既存のグループで運用が可能な場合は既存グループでも構いません。)
グループ名は任意です。

グループの方法、メンバーの割り当て方法は以下のページをご参照ください。
    グループを登録する

【設定例】

  • 「一般ユーザー」グループを作成し、Nutanix Frameの「Launchpad User on Application」ロールのメンバーを割り当て
  • 「管理者」グループを作成し、Nutanix Frameの「Account Administrator」ロールのメンバーを割り当て

これにより、例えば「管理者」に属するユーザーがNutanix FrameにSAMLログインを行うと、自動的に「Account Administrator」ロールが割り当てられます。トラスト・ログイン上でグループの変更を行うと、Nutanix Frame側のロールもSAMLログインを行った際に変更されます。設定したグループに属さないユーザーはNutanix Frameへのログインができなくなります。

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    01.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    02.png

  3. 「IDプロバイダーの情報」 のメタデータをダウンロードします。
    03.png

ここで、Nutanix Frame側の設定に移ります。
「登録」ボタンは押さず、別タブでNutanix Frameを開いてください。

 

Nutanix Frame の設定

  1. Nutanix Frameに管理者アカウントでログインし、SAML認証を設定する対象を選択します。
    (Accounts、Organization、Customerの三種類がありますが、設定方法は同様となります。ここではAccountsを例としてSAML設定を行います。)
    XiFrame01.png

  2. 「Users」を開きます。
    XiFrame02.png

  3. Authentication」のタブから「SAML2」のトグルをオンにし、「Save」で保存します。
    XiFrame03.png

  4. 「SAML2 Providers」のタブで、「AddSAML2 Providers」を押下します。
    XiFrame04.png

  5. 以下の通り項目を設定し、最後に「Add」を押下します。
    任意の文字列(後ほどトラスト・ログインに入力します)
    Auth provider metadata トラスト・ログインからダウンロードしたメタデータをテキストエディタで開き、中身を貼り付けます。
    Integration Name 任意の文字列(後ほどトラスト・ログインに入力します)

    ※ここで設定した文字列が後ほどNutanix Frameのログイン画面に表示されます。下記画像参照

    任意の文字列

    ※ここで設定した文字列が後ほどNutanix Frameのログイン画面に表示されます。空欄の場合は、「Integration Name」で設定したIDが表示されます。下記画像参照

    Signed assertion トグルをオンにする

    XiFrame05.png
    10.png

  6. 「SAML2Permissions」のタブから「AddPermission」を押下します。
    XiFrame07.png

  7. 以下の通り項目を設定し、最後に「Save」を押下します。

    For provider

    手順5で設定した「Integration Name」をプルダウンし選択します。

    Description(任意) 設定の内容がわかる説明を入力します。
    Allow access 「When all conditions are satisfied」を選択
    Conditions 「groups」-「contains」-「Text」-「トラスト・ログインのグループ名」
    の順でテキスト入力またはプルダウン選択します。
    Grant roles

    Conditions のグループに割り当てるロールを設定します。


    設定例:「一般ユーザー」グループに「Launchpad User on application」ロールを割り当てる場合
    XiFrame08.png

     

  8. 手順6-7を設定が必要なグループごとに行います。
    permission.png

 

再びトラスト・ログインの設定に戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダの設定」の「ログインURL」各項目に以下の形式で設定します。認証成功後のURLはSAMLログイン後に表示させたいページのアドレスバーからURLをコピーします。

    https://[認証成功後のURL]?idp=[Nutanix Frameに設定した「Integration Name」]

    例)https://console.nutanix.com/test/tlustlogin
    /gmoglobalsign/launchpad/application?idp=Globalsign

    【各ページのURLの参考例
    Launchpad https://console.nutanix.com/[お客様のURL]/launchpad/[お客様のURL]
    管理者ページ https://console.nutanix.com/frame/[お客様のURL]/

    例:SAMLログイン後、Launchpadを表示したい場合

    Xi_Frame09.png

    06-0.png

  2. 「サービスプロバイダの設定」のその他の項目は以下の通り設定します。
    ネームID用値 [メンバー]-[email]
    エンティティID Nutanix Frameの「Application Id」に入力した任意の文字列
    ネームIDフォーマット 「persistent」を選択
    サービスのACS URL https://img.frame.nutanix.com/saml2/done/[Nutanix Frameの「Integration Name」に入力した任意の文字列]/

    例)https://img.frame.nutanix.com/saml2/done/Globalsign/

    06.png

  3. 「SAML属性の設定」の「SAML属性を追加」ボタンで行(属性)を追加し、以下の通り設定します。
    グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    givenName Basic givenName メンバー メンバーー名
    sn Basic sn メンバー メンバーー姓
    mail Basic mail メンバー メンバーーメールアドレス
    groups Basic groups グループ 設定したグループ名を選択し「+」ボタンで追加する

    07.png

  4. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

ログアウトについて

Nutanix Frame側でログアウトを行おうとすると、自動で再ログインされます。
Nutanix Frameをログアウトしたい場合は、トラスト・ログインをログアウトしてください。