SAML 2.0 サポートのセットアップ › SAML 認証のセットアップ方法 › Single Sign-On での SAML 2.0 サポートの設定

Single Sign-On での SAML 2.0 サポートの設定

CA Performance Center 管理者は、Single Sign-On 設定ツールを使用して、SAML 認証用のパラメータを設定する必要があります。 データ ソースがインストールされ、かつ SAML 2.0 でユーザが認証されるすべてのサーバで以下の手順を実行します。

注： 複数の認証スキームは同時に使用できます。 たとえば、CA Network Flow Analysis データ ソースのユーザはログインに LDAP を使用できますが、一方 CA Infrastructure Management のユーザは SAML 2.0 を使用します。

次の手順に従ってください：

1. CA Performance Center または CA データ ソース製品がインストールされているサーバにログインします。

   ルートとしてログインするか、または「sudo」コマンドでログインします。

2. 以下のディレクトリで「./SsoConfig」コマンドを実行し、Single Sign-On 設定ツールを起動します。

   [InstallationDirectory]/CA/PerformanceCenter
   

   オプションを選択するように促されます。 利用可能なオプションは、ローカル サーバ上で実行される CA アプリケーションに対応します。

3. 設定を選択している間、必要に応じて以下のコマンドを使用します。
   • q （終了）
   • b （前のメニューに戻る）
   • u （更新）
   • r （リセット）
4. 設定するデータ ソースに対応する値を入力します。 たとえば、CA Performance Center を設定するには 1 を入力します。

   オプションを選択するように促されます。

5. SAML 認証に 2 を入力します。

   優先度を指定するように促されます。

   ［優先度］パラメータは CA Performance Center のみに適用されます。

6. 以下のオプションのいずれかを入力します。

   1. リモート値

   管理者のみが変更できる設定を参照します。 そのような設定は、CA Performance Center のこのインスタンスに登録された他のすべての CA 製品に継承されます。 対応する［ローカル上書き］値が存在しない場合、［リモート値］設定のみが使用されます。

   2. ローカル上書き

   すべての製品に対して変更できる設定を参照します。 ［ローカル上書き］値が存在する場合、［リモート値］とデフォルト設定のいずれよりも優先されます。

   設定するプロパティを選択するように促されます。

   SAML2 プロパティに対する値を指定するには、値を更新するために u を入力してから、新しい値を入力します。

7. ［SAML2 認証の有効化］パラメータを選択するために 1 を入力します。

   オプションを選択するように促されます。

8. 値を変更するために u を入力し、SAML 2.0 認証を有効にするために 1 を入力します。
9. ［デフォルト ユーザ アカウントのクローン作成］パラメータを設定するために 2 を入力します。

   2. デフォルト ユーザ アカウントのクローン作成

   許可された SAML ユーザがマップされるユーザ アカウントを定義します。 指定するユーザ アカウントに関連付けられる役割および製品の権限は、正常に認証されるすべてのユーザに適用されます。

   デフォルト： 未指定。

   例： すべてのユーザがユーザ レベル権限でログイン可能にするには、「ユーザ」を入力します。

   注： 既存のユーザ アカウントが必要です。

   IdP 上で設定されたユーザ アカウントは、アグリーメントが確立されるときに CA Performance Center に送信されます。 編集可能な場合は、［ユーザの管理］管理ページのユーザ リストに表示されます。

10. セキュリティ パラメータを有効にするために 3 を入力します。

    3. SAML2 シグネチャと暗号化有効

    CA Performance Center と IdP の間の通信のセキュリティおよび暗号化を有効にします。

    デフォルト： 無効

    オプションを選択するように促されます。

11. 値を変更するために u を入力し、それを有効にするために 1 を入力します。

    注： この設定は、IdP 上の設定に一致する必要があります。

12. 自動再認証を有効にするために 4 を入力します。

    4. SAML2 自動再認証

    タイムアウト期間が期限切れになった後に、ユーザが再認証する必要があるかどうかを指定します。 このパラメータを有効にすると、ユーザの介入なしで IdP でパッシブ再認証（「自動再認証」）を実行できるようになります。

    次のパラメータでは、タイムアウト期間を設定できます。

    デフォルト： 無効。

13. 値を変更するために u を入力し、それを有効にするために 1 を入力します。
14. 再認証タイムアウト期間を設定するために 5 を入力します。

    5. 自動再認証期間

    パッシブ再認証が実行される前に経過する時間の長さを設定します。 ［SAML2 自動再認証］パラメータが無効な場合、このパラメータは無視されます。

    値： ［IDP セッション タイムアウト］パラメータの値よりも小さい値にする必要があります。

    デフォルト： なし。

15. 値を変更するために u を入力し、新しい値を入力します。
16. アイデンティティ プロバイダにセッションのタイムアウト期間を設定するために 6 を入力します。

    6. IdP セッション タイムアウト

    CA Performance Center とアイデンティティ プロバイダの間で確立されたセッションが自動的に閉じられるまでに経過する時間の長さを設定します。 たとえば、10 分のタイムアウトを設定するには「10」を入力します。

    ［自動再認証期間］パラメータに対して指定された値よりも大きい値にする必要があります。 そうしないと、再認証を実行するセッションは存在しません。 また、値は［saml.idp.sessionTimeout］パラメータのセキュリティ プロパティ ファイルで設定された値に一致する必要があります。 詳細については、「セキュリティ プロパティ ファイルの準備」を参照してください。

    デフォルト： なし。

17. 値を変更するために u を入力し、新しい値を入力します。
18. 初期プロンプトに戻るために 2 回 b を入力します。
19. IdP とのアグリーメントを確立するメタデータ ファイルをエクスポートするために 6 を入力します。

    メタデータ ファイルでは、ユーザ認証時に使用するパラメータがアイデンティティ プロバイダに提供されます。

    ディレクトリ パスとファイル名を指定するように指示されます。

20. ファイル名を入力します。 たとえば、以下のように入力します。

    /tmp/CAPCMetadata.xml
    

    このファイルは、設定ツールで選択した設定に基づいて自動的に生成されます。

    エクスポート操作が成功すると、XML のプリントアウトが表示されます。 操作が失敗すると、エラー メッセージが表示されます。

21. 終了するために q を入力します。

    設定ツールが閉じます。