メインコンテンツまでスキップ
Dummy text to avoid mindtouch from removing the blank div

Druva

シングルサインオンの管理

ここでは、管理者のシングルサインオンを設定および管理する方法に関する情報を記します。

概要

SSO (シングルサインオン) は認証および認可の単一操作を使用してユーザーが複数リソースにアクセスすることが可能なメカニズムです。SSOを有効にすることで、Phoenixに他のログインを必要とせずにアクセスすることができます。SSOログインは一般にはIdP (Identity Provider) により管理される企業ユーザーベースに対してユーザー名とパスワードを検証します。認証が成功すると、管理者はPhoenixで生成されたパスワードを必要とせずに、Phoenixにログインできるようになります。

SSOを実装する理由

以下の背景によりPhoenixの設定でSSOを実装する必要があります。

  • ヒューマンエラーの削減: SSOにより複数のパスワードを覚える必要がなくなるため、Phoenixにアクセスしている間はヒューマンエラーの可能性を大幅に削減できます。
  • 管理労力の削減: シングルサインオンを使用すると、企業ネットワークからログインするとき、ユーザー名やパスワードの入力を要求されることはほとんどありません。管理するパスワードが少なくなることで、パスワードを忘れたことによるリセット要求を受けることが削減されます。
  • ユーザーデータベースの集中管理: 多くの組織ではユーザーのデータベースを管理しています。Pheonixでシングルサインオンを有効にすると、このデータベースへの変更が直接Phoenixの設定に反映されるようになります。これはデータベースから認証情報を削除した場合、削除された認証情報を持つユーザーは以前と同じ認証情報を使用してPhoenixにログインすることができなくなることを意味します。
  • ログイン時間の削減: 通常、オンラインアプリケーションにユーザーがログインするのに5~20秒かかります。SSOは手動ログインに必要な労力を排除し、生産性を向上します。
  • セキュリティ強化: PhoenixでSSOを使用した場合、組織全体に施行されたパスワードポリシーが適用されます。SSO試行の検証にワンタイム認証トークンが使用されれば、機密データへのアクセスを持つユーザーに対してセキュリティ強化につながります。

SSOの動作概要

PhoenixはSAML (Security Assertion Markup Language) バージョン2.0を使用した認証連携 (フェデレーション) を実装することでシングルサインオンをサポートしています。認証連携によりPhoenixはパスワード検証を省略することができます。

SSOを有効にするには、まずPhoenixのすべての管理者を含む企業データベースを作成してIdP (Identity Provider) と連携させる必要があります。IdPがすでに存在する場合、そのIdPと連携するようにPhoenix を設定することができます。IdPはすべてのユーザー名とその暗号化されたパスワードのレコードを保持します。

IdPと企業データベースを作成すると、初めてログオンするユーザーまたは管理者はIdPのログイン詳細ページにリダイレクトされ、一度だけパスワードを入力するよう求められます。IdPは過去に保存したユーザー名と暗号化されたユーザーパスワードのレコードを保持します。IdPはPhoenixのログインページにリダイレクトを行い、ユーザーや管理者はパスワードを入力せずにアクセスできるようになります。

しかし、以前設定したIdPを使用する場合、または引き続き起こるログインである場合、PhoenixはIdPと通信するためにHTTP POSTプロファイルにSAMLアサーションを使用します。すべてのログイン試行において、PhoenixはSettings > Single Sign-Onで指定されたIdPログインURLにSAMLリクエストを送信します。IdPはSAMLクエリを検証し、HTTP POSTにアサーションをTrueとして設定し、Phoenix にこのレスポンスを送信します。Phoenixはユーザーが認証されていることを示すアサーションを受信し、Phoenixリソースへのアクセスが許可されます。これにより、Phoenixはユーザーへのアクセスを許可します。

IdPがデータベース内で一致を検出できなかった場合、HTTP POSTでアサーションがFalseに設定され、ユーザーはPhoenixへのアクセスが許可されません。このレスポンスを受信すると、Phoenixはユーザーのアクセスを拒否します。

サポートおよび認定されるプラットフォームとツール

  • DruvaはPhoenixとの連携に以下のプラットフォームを認定します。
    • ADFS 3.0の動作にWindows Server 2012 R2 (64-bit) が認定されます。
    • ADFS 2.0の動作にWindows Server 2008 R2 (64-bit) が認定されます。
  • Druvaは以下のツールについてテスト済みおよび認定済みです。 
    • Active Directory Federation Services (ADFS)
    • Okta
  • PhoenixはSAML 2.0をサポートするすべてのIdPツールをサポートします。

SSOログイン手順

管理者アクセスに対してSSOを有効にする手順を以下の表に説明します。

注意: 本手順は、PhoenixにログインするためにSSOを使用する場合に予期する動作を明確にします。

手順 説明
1. 

ウェブブラウザで https://phoenix.druva.comを入力します。 

初回ログイン

Note: 組織でSSOを使用している場合、この手順を省略できます。その代わり、Phoenix設定は2回目以降のログインの手順のみに従います。

1 電子メールアドレスを入力し、Passwordフィールドを空白のままにします。
2

PhoenixはSAML要求を使用して、組織のIdPから提供される認証ページにリダイレクトします。SSOユーザー名とパスワードをログインページに入力します。

3 SSOユーザー名とパスワードをログインページに入力します。
4 組織のIdPが認証情報を受け取ります。
5 認証情報が検証されると、IdPはSAMLアサーションとともに応答します。
6

PhoenixはSAMLアサーションを受信します。

7
  • PhoenixはSAML応答を検証し、ログインを許可します。
  • PhoenixがSAML応答を検証しない場合、次のメッセージが表示されます。
2回目以降のログイン
1 電子メールアドレスを入力し、Passwordフィールドを空白のままにします。
2 Phoenixは認証情報を検証するため組織のIdPにSAML要求を送信します。

IdPがデータベースの値で認証情報を検証します。

4 IdPは認証情報を検証し、SAMLアサーションをTrueに設定します。
5

PhoenixがSAMLアサーションを受信します。

6
  • PhoenixはSAML応答を検証し、ログインを許可します。
  • PhoenixがSAML応答を検証しない場合、次のメッセージが表示されます。

SSOのIdPとPhoenixの設定 

この表では、SSOを行うためIdPとPhoenixを設定する際に従わなければならない手順について説明します。 

注意: クラウド管理者のみがSSOを設定できます。

タスク番号 タスク 説明
1

IdP情報の入手

SSOを有効にする前にまず、IdP (Identity Provider) と企業データベースを設定する必要があります。組織がIdPを使用している場合、IdPのURLとIdPの証明書などの詳細を取得するためIdPと連携する必要があります。

2

PhoenixのSSO設定

SSOアクセスを有効にするには、タスク1を行った時に取得したIdP詳細をPhoenixが認識するように設定する必要があります。

3 SSOトークンの生成 Phoenixが送信したリクエストをIdPが認識できるようにするには、まずSSOトークンを生成し、このトークンを使用してIdPのコンフィグレーションを更新する必要があります。SSOトークンはPhoenixログインリクエストを一意に識別します。ログイン試行時、PhoenixはIdPにリクエストを送信します (通常HTTP POSTが使用されます)。 IdPはそのレスポンスにトークンを付加し、認証リクエストの信頼性を提示します。Phoenixはこのレスポンスを受信すると、SSOトークンIDを使用してIdPレスポンスの信頼性を検証します。 
4 IdP情報の更新

SAMLとPhoenix間でコネクションを確立します。

5 暗号化と署名

暗号化と署名の証明書をIdPツールにアップロードします。

Note: これはオプションの手順です。 

6 SSO有効化とフェイルセーフ

最後の手順として、SSOとフェイルセーフをPhoenixに設定する必要があります。

Note: いつでもフェイルセーフを無効化することができます。フェイルセーフを無効にすると、フェイルセーフが無効になっている旨のメールが送信されます。詳細についてはフェイルセーフの無効化を参照してください。Druvaはフェイルセーフのアクセスを無効化しないことを強く推奨します。

いつでもSSOを無効化することができます。SSOを無効にすると、SSOが無効になっている旨のメールが送信されます。また、新しいパスワードも送信されます。詳細についてはSSOの無効化を参照してください。

IdP情報の入手

組織内でSSOを有効にするには、Phoenix管理者のユーザー名とパスワードを含む企業データベースを作成するためにIdP (Identity Provider) と連携する必要があります。組織がIdPを使用している場合、そのIdPを認識するようにPhoenixを設定することができます。IdPは認証情報のレコードを保持し、各ログイン試行においてユーザー名に対するパスワードを検証します。

Note: PhoenixはSAML 2.0をサポートします。

PhoenixでSSOを設定するには、IdPから以下の情報を取得する必要があります。

  • IdPのエンティティID: Phoenixにより送信されるSAMLリクエストの発行者IDです。Phoenixは通常エンティティIDで指定された発行者にリクエストを送信します。
  • IdP証明書: IdPが提供する認証証明書です。

Note: IdPが共有するトークン署名証明書を保存します。Phoenix設定時にこの証明書を使用する必要があります。 

さらに、IdPと連携して以下のページのURLを決定する必要があります。

  • The start page: ユーザーのシングルサインオンが正常に完了した後に移動されるページです。

Note: SAML 2.0では、スタートページはユーザーが認証される前にアクセスするページです。

  • The IdP start page: Phoenixがログインを開始するためSAMLリクエストを送信するページです。
  • Phoenix Login page: デフォルトのPhoenixログインページです。
  • Error page:  SSOエラーが発生した場合に移動されるページです。このページはパブリックにアクセス可能である必要があります。 

Note: Phoenixはシングルサインオンのログアウトページをサポートしません。

PhoenixのSSO設定

クラウド管理者はPhoenixでSSOを設定することができます。コンフィグレーション時には、IdPとの連携時に取得したIdP詳細情報を使用します。

  1. Phoenix管理コンソールにログインします。
  2. メニューバーでSettingsをクリックします。
  3. Single Sign-On タブをクリックし、Single Sign-On ConfigurationにてEditをクリックします。Single Sign-On Configuration ウインドウが表示されます。
  4. 各フィールドに適切な情報を入力します。
    フィールド 操作
    ID Provider Login URL シングルサインオンが正常に完了した後にユーザーが移動するページのURLを入力します。
    ID Provider Certificate IdPが提供する認証用証明書をペーストします。この証明書によりPhoenixとIdP間の通信のセキュリティが確保されます。
    AuthnRequests Signed

    SAML要求を署名付きにしたい場合はこのオプションを選択します。

    Want Assertions Encrypted

    SAMLアサーションを暗号化したい場合はこのオプションを選択します。

  5. Saveをクリックします。

SSOトークンの生成

Phoenixが送信するリクエストをIdPが認識できるようにするには、まずSSOトークンを生成し、このトークンを使用してIdPのコンフィグレーションを変更する必要があります。SSOトークンはPhoenixのログインリクエストを一意に識別します。ログイン試行時、PhoenixはIdPにリクエストを送信します (通常HTTP POSTが使用されます)。 IdPはそのレスポンスにトークンを付加し、認証リクエストの信頼性を提示します。Phoenixはこのレスポンスを受信すると、SSOトークンIDを使用してIdPレスポンスの信頼性を検証します。

  1. Phoenix管理コンソールのメニューバーでSettingsをクリックします。
  2. Single Sign-On タブをクリックし、Generate SSO Tokenをクリックします。Single Sign-On Authentication Tokenウインドウが表示されます。
  3. Copyをクリックします。トークンがクリップボードにコピーされた旨のメッセージが表示されます。
  4. Okをクリックします。
  5. このSSOトークンに応じてIdPコンフィグレーションを更新します。

詳細についてはIdP情報の更新を参照してください。

 

IdP情報の更新

Phoenix設定でSSOを有効にするには、SSOアクセスを有効にしたいクラウド管理者の認証情報が含まれる企業データベースをIdPで作成しておく必要があります。PhoenixとIdP間の通信を行うために、Phoenixが送信するリクエストをIdPが認識できるメカニズムが必要です。そのためPhoenixのコンフィグレーション詳細を提供するようにIdPの設定を更新します。 

はじめに

IdP情報を更新する前に、以下を確認します。

  • 手元にSAML_Identifierパラメーターがあること。このパラメーター値は “druva-cloud” です。
Note: このパラメーターはエンティティIDとして機能します。
  • 利用しているIDプロバイダのドキュメントにアクセスできること。この文書ではガイドとして参考とする手順が含まれますが、実行しなければならない正確なタスクではありません。

手順:

Note: 特に記載のない限り、この手順をガイドとして使用してください。正確な設定手順についてはIdPが提供するドキュメントを参照してください。

  1. 上位権限を使用してIdPの管理コンソールにログインします。
  2. 新規SAMLアプリケーションを作成します。
  3. Assertion Consumer Service URLを入力します。

    Note: Assertion Customer ServiceはIdPでホストされるSAML準拠のURLです。これはフォーム送信やページリダイレクト用のレセプターとして機能します。URLの例は次のようになります:
     https://phoenix.druva.com/wrsaml/consume

  4. アプリケーションURLを入力します。例: https://phoenix.druva.com/admin
  5. Name IDフォーマット、SSOトークン、その他IdPが必要とする詳細情報を入力します。
  6. 変更を保存します。

暗号化と署名

ここでは証明書をダウンロードしてADFSやOktaにアップロードする手順を示します。

証明書のダウンロード 

  1. "https://phoenix.druva.com"にログインします。
  2. アドレスバーの Lock アイコン  をクリックし、 Details ボタンをクリックします。
  3. Valid Certificate オプションでView certificateをクリックします。Certificate (証明書) ウインドウが表示されます。
  4. Certificate (証明書) ウインドウでDetails (詳細) タブをクリックし、Copy to file (ファイルにコピー) ボタンをクリックします。Certificate Export Wizard (証明書のエクスポートウィザード) が表示されます。
  5. Next (次へ) をクリックします。
  6. Base-64 encoded X.509 (.CER) を選択し、Next (次へ) をクリックします。
  7. ファイルを保存したい場所を参照し、ファイル名を入力して Save (保存) をクリックします。
  8. Next (次へ) をクリックします。
  9. 情報を確認し、Finish (完了) をクリックします。

(Chrome 56以降では、2と3の手順について、 “右クリック > 検証” をクリックし、 “Security” タブから “View Certifiate” ボタンをクリックします。)

 

ADFSでの暗号化と署名タブへの証明書のアップロード 

  1. Startメニューで Administrative Tools > ADFS Managementをクリックします。ADFSウインドウが表示されます。
  2. 左ペインのTrust RelationshipRelying Party Trustリンクをクリックします。Relying Party Trustセクションが表示されます。
  3. アプリケーション <<Name>> オプションをダブルクリックします。アプリケーション <<Name>> ウインドウが表示されます。
  4. Encryption タブをクリックし、ダウンロードした証明書をBrowse で選択します。
  5. Applyをクリックします。
  6. Signatureタブをクリックしダウンロードした証明書をAdd します。
  7. Applyをクリックし、アプリケーション <<Name>> ウインドウを閉じます。

Oktaでの暗号化証明書のアップロード

  1. 設定したURLを使用してOktaコンソールにログインします。
  2. Add Applicationをクリックし、追加したPhoenixアプリケーションを選択します。
    アプリケーション画面が表示されます。

  3. General タブでSAML Settingsセクションまでスクロールし、Editをクリックします。

    Edit SAML integration 画面が表示されます。
  4. General SettingタブでNextをクリックします。
  5. SAML settingsタブでShow Advanced Settingsをクリックし、以下のフィールドを編集します。
    フィールド 操作
    Assertion Encryption ドロップダウンリストからEncryptedを選択します。
    Encryption Certificate ダウンロードした暗号化証明書を参照してアップロードします。
  6. Nextをクリックします。
  7. Help Okta Support understand how you configured this applicationタブでFinishをクリックします。

SSO管理とフェイルセーフ

SSO有効化とフェイルセーフ

クラウド管理者の場合、自身を含め他の管理者アカウントのSSOを有効にすることができます。SSOを有効にすると、Phoenixはすべての組織管理者とグループ管理者のパスワードを無効化します。

クラウド管理者はフェイルセーフを有効化することができます。フェイルセーフはSSOが機能していなくてもPhoenixにログインできる方法です。

SSOとフェイルセーフを有効にするために知っておくべきこと

  • SSOとフェイルセーフを有効にするには、クラウド管理者である必要があります。
  • SSOはオプションで利用できます。以前にSSOを使用していなくてもSSOを有効化することができます。同様に、SSOアクセスの仕様をいつでも停止することができます。
  • フェイルセーフを有効にするには、まずSSOを有効化する必要があります。
  • SSOを有効にすると、Phoenixのパスワードポリシーが組織のポリシーと一致するようになります。
  • フェイルセーフを有効にすると、SSOが機能していなくてもクラウド管理者がPhoenixアカウントにログインできるようになります。
  • すべての管理者アカウントでSSOを有効にしている場合、Phoenixパスワードを使用して明示的にSSOアクセスを無効化することができます。詳細についてはDisable SSOを参照してください。
  • フェイルセーフオプションを無効にすることができます。詳細については管理者のフェイルセーフ無効化を参照してください。

Note: フェイルセーフによるアクセスを無効化しないよう強く推奨します。 

手順:

  1. Phoenix管理コンソールにログインします。
  2. メニューバーでSettingsをクリックします。
  3. Single Sign-On タブをクリックし、Single Sign-On Settings でEditをクリックします。Edit Single Sign-On Settingsウインドウが表示されます。

Note: Single sign-on Settingsの Edit オプションはPhoenixSSO設定を行った後でのみ有効です。

  1. Enable Single sign-on for Admins を選択し Allow failsafe access to cloud admins (recommended) チェックボックスをチェックします。 
  2. Saveをクリックします。

SSOおよびフェイルセーフを有効化すると、以下のようになります。

  • 組織管理者とグループ管理者のPhoenixパスワードは無効になります。
  • すべてのクラウド管理者のPhoenixパスワードは保持されます。
  • 変更を通知する電子メールはすべての管理者に送信されます。

SSOおよびフェイルセーフを無効化すると、以下のようになります。

  • Change password と Reset password 機能はすべての管理者 (クラウド管理者、組織管理者、グループ管理者) で無効になります。

フェイルセーフの無効化

クラウド管理者はフェイルセーフを無効化することができます。フェイルセーフを無効化する前に、SSOの有効化を行う必要があります。

Note: フェイルセーフによるアクセスを無効化しないよう強く推奨します。

警告: フェイルセーフを無効化する前に、SSOを設定し、少なくとも1人のクラウド管理者がSSOを使用していることを確認してください。

手順:

  1. PhoenixメニューバーでSettingsをクリックします。
  2. Single Sign-On タブをクリックし、Single Sign-On Settings でEditをクリックします。Edit Single Sign-On Settingsウインドウが表示されます。
  3. Allow failsafe access to cloud admins (recommended)  チェックボックスのチェックを外します。

  1. Saveをクリックします。
  2. Yesをクリックします。

SSOを有効化し、フェイルセーフを無効化すると以下のようになります。

  • 組織管理者、グループ管理者、クラウド管理者のPhoenixパスワードは削除されます。
  • すべての管理者に変更を通知する電子メールが送信されます。

SSOの無効化 

クラウド管理者は、自身を含む他の管理者アカウントのSSOを無効化することができます。SSOを無効にすると、Phoenixは他のすべての管理者のパスワードを有効にします。

手順:

  1. PhoenixメニューバーでSettingsをクリックします。
  2. Single Sign-On タブをクリックし、Single Sign-On Settings でEditをクリックします。Edit Single Sign-On Settingsウインドウが表示されます。

Note: Single sign-on Settingsの Edit オプションはPhoenixSSO設定を行った後でのみ有効です。

  1. Single sign-on for Admins チェックボックスのチェックを外します。 
  2. Saveをクリックします。

SSOを無効化にして設定を保存し、それまでフェイルセーフ設定が有効化されていた場合、以下のようになります。

  • クラウド管理者のパスワードは保持されます。
  • 組織管理者とグループ管理者に新しいパスワードを含む電子メールが送信されます。
  • すべての管理者に変更を通知する電子メールが送信されます。

SSOを無効化にし、それまでフェイルセーフが無効化されていた場合、以下のようになります。

  • 新しいパスワードとその他の変更を含む電子メールがすべての管理者に送信されます。

Configuring ADFS and Okta with Phoenix.

To configure ADFS and OKTA with Phoenix, follow the steps listed in the following topics: 

SSOのよくある質問

  • Phoenixコンソールで設定する必要があるIdPのパラメーターは何ですか?
    現在、PhoeinxはIdPの以下のパラメーターをサポートしています。
    • ID Provider Login URL (IDプロバイダ ログインURL)
    • ID Provider Certificate (IDプロバイダ証明書) 
       
  • IdPで設定する必要があるサービスプロバイダのパラメーターは何ですか?
    この場合、Phoenixがサービスプロバイダであり、他方がIdPになります。IdPに必要なパラメーターは以下です。
    • Claim Rules
    • EndPoint URL
    • phoenix_auth_token
       
  • IdPで設定する必要があるデフォルトのClaim Rulesは何ですか?
    LDAP アトリビュート 送信 Claim Type
    E-mail addresses Name ID
    E-mail addresses E-mail address
    User-Principal-Name Name
  • PhoenixはSSOを使用する場合、二要素認証をサポートしますか?
    はい。Phoeinxは二要素認証をサポートします。
    • 要求がサービスプロバイダからIdPにリダイレクトされると、最初の認証が実行されます。
    • 2番目の認証は、Phoenixコンソールから生成された “phoenix_auth_token” パラメーターを使用して行われます。SSOトークンを生成するにはSSOトークンの生成を参照してください。

Note: DruvaはSSOトークンを一度だけ生成することを推奨します。SSOトークンを再生成した場合、IdPと共有した古いSSOトークンは利用できなくなります。IdPとは新しく生成されたSSOトークンを共有する必要があります。

  • PhoenixはメタデータファイルとログアウトURLをサポートしていますか?
    いいえ。現在PhoenixはIdPによって提供されるメタデータファイルとログアウトURLをサポートしていません。詳細については Druva Support にお問い合わせください。

  • クラウド管理者以外の管理者は、管理者向けにSSOを設定できますか?
    いいえ。クラウド管理者だけが管理者向けのSSOを設定する権限を持っています。
  • Phoenixで設定する必要があるのはADFSのどの証明書ですか?
    PhoenixにはADFSのトークン署名証明書またはIDプロバイダ証明書が必要です。Phoenixコンソールで設定する必要があります。

IDプロバイダ証明書を取得するには以下を行います。

  1. StartメニューでAdministrative Tools > ADFS Managementをクリックします。ADFSウインドウが表示されます。
  2. Serviceフォルダーを展開します。
  3. Certificatesをクリックします。右ペインにCertificatesビューが表示されます。
  4. Token-signing領域で証明書を右クリックします。追加オプションのリストが表示されます。
  5. リストでView Certificateをクリックします。Certificateウインドウが表示されます。
  6. Details タブをクリックし、Copy to fileをクリックします。Certificate Export Wizardが表示されます。
  7. Certificate Export WizardNextをクリックします。Export File Formatページが表示されます。
  8. Base-64 encoded X.509 (.CER) を選択し、Nextをクリックします。
  9. File to Exportページでダウンロードされた証明書を保存する場所を参照します。
  10. Nextをクリックします。
  11. 情報を確認しFinishをクリックします。IDプロバイダ証明書がエクスポートされます。

 

 

  • この記事は役に立ちましたか?