SiteMinderでSAML2 IDプロバイダーを設定する - 6.5

Talend Real-Time Big Data Platform インストールガイド Windows

EnrichVersion
6.5
EnrichProdName
Talend Real-Time Big Data Platform
task
インストールとアップグレード
EnrichPlatform
Talend Activity Monitoring Console
Talend Administration Center
Talend Artifact Repository
Talend CommandLine
Talend Data Preparation
Talend Data Stewardship
Talend DQ Portal
Talend ESB
Talend Identity and Access Management
Talend Installer
Talend JobServer
Talend Log Server
Talend Repository Manager
Talend Runtime
Talend SAP RFC Server
Talend Studio

始める前に

SiteMinder管理者アカウントが存在し、WebエージェントおよびWebエージェントOptionPackがインストールされ、設定されています。

手順

  1. [SiteMinder Administrative UI](SiteMinder管理UI)から[User Directory](ユーザーディレクトリ)を作成します。
  2. [LDAP Settings](LDAP設定)エリアで、メールアドレス属性を[LDAP user DN lookup](LDAPユーザーDNルックアップ)として設定します。
  3. SiteMinderドキュメントで説明されているように、認証URLを保護してユーザーセッションを確立します。
    • Webエージェントを選択します(SiteMinderドキュメントで説明されているように、Webエージェントを作成および設定します)。
    • 以前作成したユーザーディレクトリを選択します。
    • Basic(基本)認証方式を選択します(詳細は、SiteMinderドキュメントを参照して下さい)。
    • セッション情報を保存しないようにするには、[Session](セッション)セクションの[Persistent](パーシステント)チェックボックスをオフにします。
  4. キー/証明書のペアをインポートして署名証明書を作成します([Infrastructure](インフラストラクチャ) > [X509 Certificate Management](X509証明書管理) > [Trusted Certificates and Private Keys](信頼できる証明書と秘密鍵))。
  5. ローカルIDプロバイダーエンティティを作成します([Federation](フェデレーション) > [Partnership Federation](パートナーシップフェデレーション) > [Entities](エンティティ))。
    • [Entity Type](エンティティタイプ)ステップで、[Local](ローカル)および[SAML2 IDP]を選択します。
    • [Entity configuration](エンティティ設定)ステップで、[Unspecified](未指定)および[Email Address](メールアドレス)チェックボックスをオンにします。
  6. パートナーシップを作成します([Federation](フェデレーション) > [Partnership Federation](パートナーシップフェデレーション) > [Partnerships](パートナーシップ))。
    • [Configure Partnership](パートナーシップの設定)ステップで、[SAML2 IDP]および[tac]を選択します。
    • [Federation Users](フェデレーションユーザー)ステップで、[All Users in Directory](ディレクトリ内のすべてのユーザー)を選択します。
    • [Assertion Configuration](アサーション設定)ステップで、必要な情報を入力し、カスタムLDAPユーザー属性 (この例では[tacRole]および[projectType])と一致する[tac.role]および[tac.projectType]を追加します。これらの属性の値は、後でTalend Administration CenterでSSOを設定するときに取得されます。
    • [SSO and SLO](SSOおよびSLO)のステップで、redirect.jspへのWebサービスのURLを[Authentication URL](認証URL)に入力し、urn:oasis:names:tc:SAML:2.0:classes:Password[Authentication Class](認証クラス)で選択し、[HTTP-Redirect]および[HTTP-POST]バインディングを選択して、Talend Administration CenterSSO ServletへのURL (http:// <TACapplicationURL>/<TACapplicationName>/ssologin)をRemote Assertion Consumer Service URLs(リモートアサーションコンシューマーサービスURL)エリアに入力します。次に、他のパラメーターはそのままにして、作成プロセスを終了します。
  7. 作成したパートナーシップを有効化し、そのメタデータをエクスポートします。後でTalend Administration CenterSSO設定ページでメタデータをアップロードする必要があります。
  8. LDAPサーバーで、Talend Administration CenterアプリケーションへのSSOログインをテストします。
    • 必要なカスタムロールとプロジェクトタイプの属性(たとえば、tacRole= tac_admin、tac_viewerおよびprojectType=DIなど)を使用してLDAPユーザーを作成し、ユーザー認証情報のバインドが成功していることを確認します。

      次の点に注意して下さい。
      • プロジェクトタイプの値は次のいずれかになります: DI (データ統合)、DQ (データ管理)、MDM (マスターデータ管理)またはNPA (プロジェクトへのアクセス権なし)。
      • ユーザーに複数のロールを追加する場合は、ロールをカンマで区切る必要があります。
    • 以前に定義した認証URL(http://<host>/affwebservices/public/saml2sso?SPID=<SPEntityName>)に移動し、uid/userPasswordの値を入力してTalend Administration Centerにログインします。

タスクの結果

アプリケーションとユーザーをSiteMinderおよびLDAPに設定した後、定義したユーザー情報を取得するために、アイデンティティプロバイダーをTalend Administration Centerにリンクする必要があります。

シングルサインオンがTalend Administration Centerで利用可能ですが、関連アプリケーションのユーザー情報はSiteMinderで一元管理することが可能です。Talendでは、IDプロバイダーからTalend Administration Centerの外部で、Talend Administration CenterTalend Data PreparationおよびTalend Data Stewardshipユーザーのロールを含む、アプリケーションユーザーロールおよびユーザープロジェクトタイプを管理できます。

詳細は、Talend Help CenterのSiteMinder設定に関する記事を参照して下さい。