本記事では組織に管理されない 標準エンタープライズワークスペース における設定方法をご案内いたします。SAML連携したドメインのすべてのユーザーは、SAML連携解除時にワークスペースから削除されます。なお、ローカルで登録したユーザーのアカウントは削除されません。
本記事では、OneLogin から HPE GreenLake(Aruba Central)の管理コンソールへのSAML シングルサインオン(SSO)およびJITプロビジョニングの設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- HPE GreenLakeの Workspace Administrator 権限をお持ちであること
SAML連携の設定
1. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
HPE GreenLake と検索し、該当コネクタを選択します
- [Save]をクリックします
- More Actions > SAML Metadata を選択します
-
SSO タブに移動し、 SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択します
- [Save]をクリックします
2. HPE GreenLake側の設定
- Workspace Administrator 権限で HPE GreenLake にログインし、ワークスペースの管理 をクリックします
*SSOを設定するドメインのユーザー自身で設定する必要があります。
-
認証 を選択します
- [SAML接続のセットアップ]をクリックします
- SSO接続を設定するドメイン名を入力し、[続行]をクリックします
-
GreenLake Platformで認可をローカルに管理します。にチェックを入れて、[Next →]をクリックします
*JITプロビジョニングを設定する場合は、セッションベースの認可にはSSO SAML応答を使用します。にチェックを入れて、[Next →]をクリックします。
-
メタデータファイル を選択し、メタデータファイルのアップロード をクリックします
※ 1. OneLogin側の設定 手順11でダウンロードしたxmlファイルを選択します
- メタデータが正常にアップロードできたことを確認し、[Next →]をクリックします
- デフォルト値を変更せずに使用します
-
デフォルト値を変更せず、[Next →]をクリックします
-
以下の表のように設定し、[Next →]をクリックします
*SSOが失敗した場合にアカウントにアクセスするためのリカバリユーザーを作成します。SSOが構成されると、ユーザーは自分のメールアドレスとパスワードでログインできなくなります。
項目 入力値 リカバリユーザーの有効化 有効化する(デフォルト値) リカバリユーザーのパスワード 任意のパスワードを設定する 連絡先メール 任意のメールアドレス(メールエイリアス)を入力する
*このユーザーには、個人に依存しないメールエイリアスを設定することをお勧めします。
-
認可が スタティック/ローカル に設定されていることを確認します
*JITプロビジョニングを設定する場合は、認可が SAML/SSO に設定されていることを確認します。
- [Finish]をクリックします
- [終了]をクリックします
以上でSAML連携の設定は完了です。
シングルサインオンの動作確認
動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、ログイン済みセッションがないブラウザ環境でご確認ください。
- コネクタを割り当てたユーザーにログインし、HPE GreenLake のコネクタをクリックします
- 正しくシングルサインオンされることを確認します
-
HPE Aruba Networking Central の[起動]をクリックします
*最近のサービスにHPE Aruba Networking Centralが表示されない場合は、 マイサービス をクリックしてから、同様の操作を行なってください。
- Aruba Centralの Network Overview が表示されます
以上でシングルサインオンの動作確認は完了です。
Aruba Central URLからの起動確認
起動確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、Aruba Centralへのログイン済みセッションがないブラウザ環境でご確認ください。
*Aruba Centralにアクセスするためには、HPE GreenLakeへの SSO が必要になります。SSOプロファイルで設定しているドメインのユーザーは、SSOでのみワークスペースに入ることができます。
- ブラウザからAruba Centralにアクセスし、HPE GreenLakeのログインページにリダイレクトされます
- [Sign in with SSO]をクリックします
- Emailを入力し、[Next]をクリックします
- OneLoginの ユーザー名 を入力し、[続行する]をクリックします
- OneLoginの パスワード を入力し、[続行する]をクリックします
-
HPE Aruba Networking Central にリダイレクトされます
- Aruba Centralの Network Overview が表示されます
以上でAruba Centralの起動確認は完了です。
JITプロビジョニングの設定
SAML連携の設定が完了している必要があります。
OneLogin側の設定
JITプロビジョニング に必要な SAML 属性値のうち、変数として扱いたい 役割 と ワークスペース ID について、役割に対応するカスタムユーザーフィールドを2個、ワークスペースIDに対応するフィールドを1個作成します。
- OneLoginに管理者でログインし、[管理]をクリックします
- Usersタブ > [Custom User Fields]をクリックします
- [New User Field]をクリックします
- Name と Shortname に任意の名前を付けて[Save]をクリックします
例)Name:RoleNameHPE、Shortname:RoleNameHPE
- [New User Field]をクリックします
- Name と Shortname に任意の名前を付けて[Save]をクリックします
例)Name:WorkspaceIdHPE、Shortname:WorkspaceIdHPE
- [New User Field]をクリックします
- Name と Shortname に任意の名前を付けて[Save]をクリックします
例)Name:SubRoleNameHPE、Shortname:SubRoleNameHPE
-
1. OneLogin側の設定で作成した HPE GreenLake (Aruba Central) のコネクタ管理画面を開きます
-
Parametersタブ を開き、hpe_ccs_attribute をクリックします
複数の役割付与や複数のサービスID指定が不要な場合
-
以下の通りに設定し、[Save]をクリックします
項目 入力値 Value - Macro -(選択) Valueの値 version_1#{custom_attribute_WorkspaceIdHPE}:0:{custom_attribute_RoleNameHPE}:ALL
*上記の 0 はHPE GreenLakeクラウドサービスID00000000-0000-0000-0000-000000000000の省略形です。
*上記の ALL はすべてのスコープを許可するALL_SCOPESの省略形です。
*書式は、{version_1}#{workspace id}:{service id}:{role_name}:{resource_ restriction_policy_name|ALL_SCOPES}となります。任意にカスタマイズすることが可能ですので、詳細な情報はHPE GreenLakeクラウドのセッションベース認証用SAML属性をご確認ください。
- [Save]をクリックします
- Usersタブ > [Users]をクリックします
- シングルサインオンするユーザーの管理画面を開きます
-
以下の通りに設定し、[Save User]をクリックします
項目 入力値 RoleNameHPE
※ OneLogin側の設定 手順4で設定した名前
役割(アクセス許可)
例)Workspace Administrator*HPE GreenLake Platformの役割の中では、Orders Operator, Workspace Administrator, Workspace Observer, Workspace Operatorを与えられます。
*上記以外の役割については、Workspace Memberとしてワークスペースにアクセスできます。
*一度役割を与えてシングルサインオンを行うと一部の権限が残ります。WorkspaceIdHPE
※ OneLogin側の設定 手順6で設定した名前
お使いのHPE GreenLake ワークスペースID
例)e000c000d00000efab0ed0beaab00f0a
複数の役割付与や複数のサービスID指定が必要な場合
HPE GreenLake PlatformとHPE Aruba Networking Centralの役割を付与する設定例をご紹介します。
以下の通りに設定し、[Save]をクリックします
項目 入力値 Value - Macro -(選択) Valueの値 例)
version_1#{custom_attribute_WorkspaceIdHPE}:0:{custom_attribute_RoleNameHPE}:ALL:683da368-66cb-4ee7-90a9-ec1964768092:{custom_attribute_SubRoleNameHPE}:ALL*version_1#{Workspace ID}: に {Service ID}:{role_name}:{resource_ restriction_policy_name|ALL_SCOPES} をコロンで繋げることで、複数の役割やサービスIDのJITプロビジョニングが可能となります。
*HPE Aruba Networking Centralの役割を付与するには、HPE Aruba Networking CentralのサービスID 683da368-66cb-4ee7-90a9-ec1964768092 を設定する必要がございます。
- [Save]をクリックします
- Usersタブ > [Users]をクリックします
- シングルサインオンするユーザーの管理画面を開きます
-
以下の通りに設定し、[Save User]をクリックします
項目 入力値 RoleNameHPE
※ OneLogin側の設定 手順4で設定した名前
役割(アクセス許可)
例)Workspace Administrator*HPE GreenLake Platformの役割の中では、Orders Operator, Workspace Administrator, Workspace Observer, Workspace Operatorを与えられます。
*上記以外の役割については、Workspace Memberとしてワークスペースにアクセスできます。
*一度役割を与えてシングルサインオンを行うと一部の権限が残ります。WorkspaceIdHPE
※ OneLogin側の設定 手順6で設定した名前
お使いのHPE GreenLake ワークスペースID
例)e000c000d00000efab0ed0beaab00f0a
SubRoleNameHPE
※ OneLogin側の設定 手順8で設定した名前
役割(アクセス許可)
例)Aruba Central Administrator
以上でJITプロビジョニングの設定は完了です。
SAML連携の解除手順
SSOプロファイルを削除すると、SSOユーザーのHPE GreenLakeクラウドへのアクセスが中断されるため、続行する前に、以下の影響を必ず確認してください。
*SSO接続に関連付けられたドメイン内のすべてのユーザーがワークスペースから削除されます。
*ローカルで作成したユーザーのHPE GreenLakeのアカウントは削除されません。ユーザー管理からワークスペースに再度追加することで、メールアドレスとパスワードを使ったログインが可能です。
*JITプロビジョニングで作成したユーザーについては、HPE GreenLakeのアカウントが作成されていないため、完全に削除されます。新たにローカルでユーザーを作成することで、メールアドレスとパスワードを使ったログインが可能です。
- Workspace Administrator 権限で HPE GreenLake にログインし、ワークスペースの管理 をクリックします
-
認証 をクリックします
- SAML連携を解除したいドメインの[⋯]をクリックします
- [削除]をクリックします
- 確認に DELETE と入力し、[削除]をクリックします
以上でSAML連携解除の手順は完了です。