文書化
SSOのよくある質問
質問
- inSync管理コンソールで設定する必要があるIDプロバイダー(IdP)に必要なパラメーターは何ですか?
- ユーザーと管理者向けSSO設定のために必要なRelayStateパラメーターは何ですか?
- IdPで設定する必要があるサービスプロバイダー側で必要なパラメーターは何ですか?
- IdPで設定する必要があるデフォルトのクレームルールは何ですか?
- inSyncはSSOで二要素認証をサポートしていますか?
- inSyncはメタデータファイルとログアウトURLをサポートしていますか?
- inSync SSOのエンドポイントURLは何ですか?
- Druva クラウド管理者以外の管理者は管理者向けSSOを設定できますか?
- inSyncで設定する必要があるADFSの証明書はどれですか?
- inSyncクライアントのアクティベーション時やユーザーのWeb UIへのログオン時に以前のパスワード認証がまだ機能しているために表示されるInvalid Password (無効なパスワード) エラーを解決するにはどうすればよいですか?
回答
inSync管理コンソールで設定する必要があるIDプロバイダー(IdP)に必要なパラメーターは何ですか?
現在、inSyncはIdPからの以下のパラメータをサポートしています:
- ID Provider Login URL (IDプロバイダーのログインURL)
- ID Provider Certificate (IDプロバイダー証明書)
ユーザーと管理者向けSSO設定のために必要なRelayStateパラメーターは何ですか?
RelayStateは、IdP側で開始するシングルサインオン時のリソースプロバイダーとして特定リソースを識別するためにSAMLプロトコルの実装で使用されるパラメーターです。
| RelayStateパラメータ | 値 |
|---|---|
| Administrators | adminlogin |
| Users |
browseractivateまたはオプションで、空白のままにすることができます。 ADFSをIdPとして使用している場合は、druva-cloudを指定します。 |
IdPで設定する必要があるサービスプロバイダー側で必要なパラメーターは何ですか?
この場合、inSyncがサービスプロバイダーであり、もう一方はIdPです。IdPで必要なパラメーターは次のとおりです。
- RelayStateまたはEntity ID (エンティティID)
- Claim Rules (クレームルール)
- EndPoint URL
- inSync_auth_token
IdPで設定する必要があるデフォルトのクレームルールは何ですか?
| LDAP属性 | 送信Claim Type |
|---|---|
| E-mail addresses | Name ID |
| E-mail addresses | E-mail address |
| User-Principal-Name | Name |
inSyncはSSOで二要素認証をサポートしていますか?
はい。inSyncは二要素認証をサポートしています。サービスプロバイダーからIdPにリクエストがリダイレクトされるときに、最初の認証が行われます。
- 2番目の認証は、inSync管理コンソールから生成された「inSync_auth_token」パラメータを使用して行われます。SSOトークンを生成するには、inSync管理コンソールを使用します。SSOトークンを生成するには、
- Manage > Settings > Single Sign-Onに移動し、Generate SSO Tokenをクリックします。
- トークンをコピーしてIdPコンソールに入力します。
注:Druvaでは、SSOトークンを1回だけ生成することが推奨されます。SSOトークンを再度生成すると、IdPと共有した古いSSOトークンが非アクティブになります。それ以降は、新しく生成されたSSOトークンをIdPと再度共有する必要があります。
inSyncはメタデータファイルとログアウトURLをサポートしていますか?
いいえ。現在、inSyncはIdPおよびログアウトURL (Logout URL) によって提供されるメタデータファイルをサポートしていません。詳細については、Druvaサポートにお問い合わせください。
inSync SSOのエンドポイントURLは何ですか?
シングルサインオンをすでに設定している既存 inSync顧客向けのエンドポイントURLは以下です。https://cloud.druva.com/wrsaml/consume
2018年7月14日までシングルサインオンを設定していなかった既存 inSync顧客向けのエンドポイントURLは以下です。
https://login.druva.com/api/commonlogin/samlconsume
2018年7月14日以降にinSyncを契約した新規顧客向けのエンドポイントURLは以下です。
https://login.druva.com/api/commonlogin/samlconsume
2019年7月20日以降にinSync GovCloudを契約した新規顧客向けのエンドポイントURLは以下です。
https://loginfederal.druva.com/api/commonlogin/samlconsume
inSyncで設定する必要があるADFSの証明書はどれですか?
inSyncはADFSからトークン署名証明書またはIDプロバイダー証明書を必要とします。inSync管理コンソールで設定する必要があります。
IDプロバイダー証明書を取得するには、以下を行います。
- ADFS 2.0コンソールで、Service > Certificates をクリックします。
- [ Certificates ] ウィンドウで、[ Token-signing ] カテゴリの下にあるトークン署名証明書 (token signing certificate) を選択します。
証明書のプロパティウィンドウが表示されます。 - [ Details ] タブをクリックし、[ Copy to File ] をクリックします。
証明書のエクスポートウィザードが表示されます。[ Next ] をクリックします。 - Base-64エンコードX.509(.CER)を選択し、[ Next ] をクリックします。IDプロバイダー証明書がエクスポートされます。
inSyncクライアントのアクティベーション時やユーザーのWeb UIへのログオン時に以前のパスワード認証がまだ機能しているために表示されるInvalid Password (無効なパスワード) エラーを解決するにはどうすればよいですか?
inSyncでは、IdPリダイレクトが失敗した場合のフォールバックメカニズムとしてinSyncパスワードが使用できます。このフォールバックは無効なIdP URLまたはIdP証明書などさまざまな理由が考えられます。この問題が発生した場合は、Druvaサポートまでお問い合わせください。