本記事では組織によって管理を行う 拡張IAMを使用する標準エンタープライズワークスペース における設定方法をご案内いたします。SAML連携したドメインのすべてのユーザーは、SAML連携解除時にワークスペースから削除されます。なお、ローカルで登録したユーザーのアカウントは削除されません。
本記事では、OneLogin から HPE GreenLake(Aruba Central)の管理コンソールへのSAML シングルサインオン(SSO)およびJITプロビジョニングの設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- HPE GreenLakeの Workspace Administrator 権限をお持ちであること
- HPE GreenLakeの ワークスペース に紐づく 組織 を作成済みであること*
- HPE GreenLakeの Organization Administrator 権限をお持ちであること*
*ワークスペース に紐づく 組織 を作成したHPE GreenLake管理者には、自動的にOrganization Administrator 権限が割り当てられます。
SAML連携の設定
1. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
HPE GreenLake と検索し、該当コネクタを選択します
- [Save]をクリックします
- More Actions > SAML Metadata を選択します
-
SSO タブに移動し、 SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択します
- [Save]をクリックします
2. HPE GreenLake側の設定
- HPE GreenLakeにWorkspace Administrator 権限を持つアカウントでログインし、ワークスペースの管理 をクリックします
-
組織ガバナンス を選択します
-
ドメイン を選択します
- [ドメインの追加]をクリックします
- 任意のドメイン名を入力し、[ドメインの要求 →]をクリックします
-
ドメイン検証TXTレコード をクリップボードへコピーし、お使いのDNSサービスに登録します
- [閉じる]をクリックします
- ドメインの[⋯]>[今すぐドメインを検証]を選択します
- 要求に 確認済み と表示されていることを確認します
-
組織ガバナンス をクリックします
-
SSOプロファイル を選択します
- [SSOプロファイルの作成]をクリックします
-
以下の通りに設定し、[次へ →]をクリックします
項目 入力値 SSOプロファイル名 任意の名前
例)Demo Pentio Dev SSO Profileドメイン 2. HPE GreenLake側の設定 手順5で設定した任意のドメイン(選択) 認可方法 ☑︎ GreenLake Platformで認可をローカルに設定します。(チェックを入れる)
*JITプロビジョニングの設定 を利用する場合は以下の通りに設定し、[次へ →]をクリックします。項目 入力値 SSOプロファイル名 任意の名前
例)Demo Pentio Dev SSO Profileドメイン 2. HPE GreenLake側の設定 手順5で設定した任意のドメイン(選択) 認可方法 ☑︎ セッションベースの認可にはSSO SAML応答を使用します。(チェックを入れる) 認可属性のSAML属性名 hpe_ccs_attribute(デフォルト値)
- [次へ →]をクリックします
[次へ →]をクリックします
- メタデータXMLファイルのアップロード を選択し、ファイルの選択 をクリック後、
onelogin_metadata_xxxxxxx.xml-
します
- メタデータが正常にアップロードできたことを確認します
- [次へ →]をクリックします
-
以下の通りに設定し、[次へ →]をクリックします
設定項目 内容 リカバリアカウントの作成 ☑︎(チェックを入れる,デフォルト値)
*SSOの設定に不備があった場合、再度ログインするためのリカバリアカウントを作成します。リカバリアカウントのユーザー名 値をコピーして保存する リカバリアカウントの連絡先メールアドレス 任意のメールアドレス(メールエイリアス)を入力する
*このユーザーには、個人に依存しないメールエイリアスを設定することをお勧めします。リカバリアカウントのパスワード 任意のパスワードを設定する
- セッションタイムアウトの分数を任意で設定し、[次へ →]をクリックします
例)30
- 認可が Local に設定されていることを確認します
*JITプロビジョニングの設定 を利用する場合、認可が SAML に設定されていることを確認します。
- 下の方にスクロールして[作成]をクリックします
SAML連携の設定は以上です。
SAML SSOの動作確認
動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、ログイン済みセッションがないブラウザ環境でご確認ください。
- OneLoginに対象ユーザーでログインし、設定した HPE GreenLake を選択します
- SAML認証が完了し、HPE GreenLakeにSSOされることを確認します
-
HPE Aruba Networking Central の[起動]をクリックします
*最近のサービスにHPE Aruba Networking Centralが表示されない場合は、 マイサービス をクリックしてから、同様の操作を行なってください。
- Aruba Centralの Network Overview が表示されます
SAML SSOの動作確認は以上です。
Aruba Central URLからの起動確認
動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、Aruba Centralへのログイン済みセッションがないブラウザ環境でご確認ください。
*Aruba Centralにアクセスするためには、HPE GreenLakeへの SSO が必要になります。SSOプロファイルで設定しているドメインのユーザーは、SSOでのみワークスペースに入ることができます。
- ブラウザからAruba Centralにアクセスし、HPE GreenLakeのログインページにリダイレクトされます
- [Sign in with SSO]をクリックします
- Emailを入力し、[Next]をクリックします
- OneLoginの ユーザー名 を入力し、[続行する]をクリックします
- OneLoginの パスワード を入力し、[続行する]をクリックします
-
HPE Aruba Networking Central にリダイレクトされます
- Aruba Centralの Network Overview が表示されます
Aruba Centralの起動確認は以上です。
JITプロビジョニングの設定
SAML連携の設定の設定が完了している必要があります。
OneLogin側の設定
JIT Provisioning に必要な SAML 属性値のうち、変数として扱いたい 役割 と ワークスペース ID について、役割に対応するカスタムユーザーフィールドを2個、ワークスペースIDに対応するフィールドを1個作成します。
- OneLoginに管理者でログインし、[管理]をクリックします
-
Users メニューから[Custom User Fields]を選択します
- [New User Field]をクリックします
- 任意の Name と Shortname を入力し、[Save]をクリックします
例)Name:RoleNameHPE、Shortname:RoleNameHPE
- [New User Field]をクリックします
- 任意の Name と Shortname を入力し、[Save]をクリックします
例)Name:WorkspaceIdHPE、Shortname:WorkspaceIdHPE
- [New User Field]をクリックします
- 任意の Name と Shortname を入力し、[Save]をクリックしますあ
例)Name:SubRoleNameHPE、Shortname:SubRoleNameHPE
-
1. OneLogin側の設定 で作成した HPE GreenLake (Aruba Central) のコネクタ管理画面を開きます
-
Parameters タブに移動し、hpe_ccs_attribute フィールドを選択します
複数の役割付与や複数のサービスID指定が不要な場合
-
以下の通りに設定し、[Save]をクリックします
項目 入力値 Value - Macro -(選択) Valueの値 version_1#{custom_attribute_WorkspaceIdHPE}:0:{custom_attribute_RoleNameHPE}:ALL
*上記の 0 はHPE GreenLakeクラウドサービスID00000000-0000-0000-0000-000000000000の省略形です。
*上記の ALL はすべてのスコープを許可するALL_SCOPESの省略形です。
*書式は、{version_1}#{workspace id}:{service id}:{role_name}:{resource_ restriction_policy_name|ALL_SCOPES}となります。任意にカスタマイズすることが可能です。
- [Save]をクリックします
-
Users メニューから[Users]を選択します
- シングルサインオンするユーザーの管理画面を開きます
-
以下の通りに設定し、[Save User]をクリックします
項目 入力値 RoleNameHPE
※ OneLogin側の設定 手順4で設定した名前
役割(アクセス許可)
例)Workspace Administrator*HPE GreenLake Platformの役割の中では、Orders Operator, Workspace Administrator, Workspace Observer, Workspace Operatorを与えられます
*上記以外の役割については、Workspace Memberとしてワークスペースにアクセスできます
*一度役割を与えてシングルサインオンを行うと一部の権限が残りますWorkspaceIdHPE
※ OneLogin側の設定 手順6で設定した名前
お使いのHPE GreenLake ワークスペースID
例)e000c000d00000efab0ed0beaab00f0a
複数の役割付与や複数のサービスID指定が必要な場合
HPE GreenLake PlatformとHPE Aruba Networking Centralの役割を付与する設定例をご紹介します。
以下の通りに設定し、[Save]をクリックします
項目 入力値 Value - Macro -(選択) Valueの値 例)
version_1#{custom_attribute_WorkspaceIdHPE}:0:{custom_attribute_RoleNameHPE}:ALL:683da368-66cb-4ee7-90a9-ec1964768092:{custom_attribute_SubRoleNameHPE}:ALL*version_1#{Workspace ID}: に {Service ID}:{role_name}:{resource_ restriction_policy_name|ALL_SCOPES} をコロンで繋げることで、複数の役割やサービスIDのJITプロビジョニングが可能となります
*HPE Aruba Networking Centralの役割を付与するには、HPE Aruba Networking CentralのサービスID 683da368-66cb-4ee7-90a9-ec1964768092 を設定する必要がございます。
- [Save]をクリックします
-
Users メニューから[Users]を選択します
- シングルサインオンするユーザーの管理画面を開きます
-
以下通りに設定し、[Save User]をクリックします
設定項目 値 RoleNameHPE
※ OneLogin側の設定 手順4で設定した名前
役割(アクセス許可)
例)Workspace Administrator*HPE GreenLake Platformの役割の中では、Orders Operator, Workspace Administrator, Workspace Observer, Workspace Operatorを与えられます
*上記以外の役割については、Workspace Memberとしてワークスペースにアクセスできます
*一度役割を与えてシングルサインオンを行うと一部の権限が残りますWorkspaceIdHPE
※ OneLogin側の設定 手順6で設定した名前
お使いのHPE GreenLake ワークスペースID
例)e000c000d00000efab0ed0beaab00f0a
SubRoleNameHPE
※ OneLogin側の設定 手順8で設定した名前
役割(アクセス許可)
例)Aruba Central Administrator
JITプロビジョニングの設定は以上です。
SAML SSOの無効化
SSOプロファイルを削除すると、SSOユーザーのHPE GreenLakeクラウドへのアクセスが中断されるため、続行する前に、以下の影響を必ず確認してください。
*組織からSSOプロファイルを削除すると、SSOプロファイルに関連付けられたドメインのユーザーは、HPE GreenLakeクラウド上の組織に紐づくワークスペースから削除されます。ローカルで作成したユーザーのHPE GreenLakeのアカウントは削除されません。ユーザー管理からワークスペースに再度追加することで、メールアドレスとパスワードを使ったログインが可能です。JITプロビジョニングで作成したユーザーについては、HPE GreenLakeのアカウントが作成されていないため、完全に削除されます。新たにローカルでユーザーを作成することで、メールアドレスとパスワードを使ったログインが可能です。
-
Organization Administrator 権限をもつHPE GreenLakeに管理者でログインし、ワークスペースの管理 をクリックします
-
組織ガバナンス を選択します
-
SSOプロファイル を選択します
- SAML連携を解除したいSSOプロファイルを選択します
- アクション > 削除 を選択します
- 確認に DELETE と入力し、[削除]をクリックします
SAML SOOの無効化は以上です。