ID Federationサービスを利用した vCloud Directorテナントポータルの2要素認証の設定方法

IDプロバイダ機能を使ったvCloud Directorテナントポータル(以下、vCDテナントポータル)のログインを2要素認証化する方法を紹介します。
本ガイドでは、IDプロバイダとして当社が提供するID Federationサービス(以下、IDFサービス)を利用します。
IaaS Powered by VMwaerとは別にIDFサービスを契約いただく必要があります。

本ガイドでは、2要素認証としてパスワード、ワンタイムパスワード(TOTP)を使用します。


事前準備

事前にIDFサービスの申込みを行います。
IDFサービスを申し込みは、SSO方式に"SAML"を、URLに"vCDテナントポータルアクセスリンクのURL"をそれぞれ指定します。

IDFサービス開通後に送付された、設定に必要なメタデータを保管しておきます。

作業手順

1. vCDテナントポータルからメタデータのダウンロード

vCDテナントポータルで、SAMLのエンティティIDを決定し、メタデータをダウンロードします。
Organization Administratorロールを持つユーザーで、vCDテナントポータルへログインします。

Topメニューより[管理]をクリックします。
../_images/guide_8_01.png

左メニューより[IDプロバイダ]->[SAML]をクリックします。
SAMLの設定画面にて、[編集]をクリックします。
../_images/guide_8_02.png

SAML構成の編集画面が、[サービスプロバイダ]タブが選択された状態でポップアップします。

エンティティIDを入力して[保存]をクリックします。

注釈

エンティティIDは任意の文字列で入力します。
ただし、IDプロバイダ側で制約を設けている場合は、それに準拠してください。
../_images/guide_8_05.png

SAMLの設定画面から、メタデータをダウンロードします。(spring_saml_metadata.xmlという名称のXMLファイルがダウンロードされます。)
../_images/guide_8_06.png

2. IDFサービスへのメタデータの送付とアトリビュートの設定依頼

vCDテナントポータルからダウンロードしたメタデータをIDFサービスへ送付します。
また、以下の通り、アトリビュートの設定を依頼します。

アトリビュートの設定1(SAMLsubjectで渡す属性情報)
Name Name Format ID Fedelation対応カラム 備考
NameID urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ユーザーID  

アトリビュートの設定2(SAMLAttributeで渡す属性情報)
AttributeName Name Format ID Fedelation対応カラム 備考
EmailAddress urn:oasis:names:tc:SAML:2.0:attrname-format:basic 連絡先メールアドレス  
UserName urn:oasis:names:tc:SAML:2.0:attrname-format:basic ユーザーID  
FullName urn:oasis:names:tc:SAML:2.0:attrname-format:basic ユーザー名(姓)  
Groups urn:oasis:names:tc:SAML:2.0:attrname-format:basic 拡張ユーザー情報01  
Roles urn:oasis:names:tc:SAML:2.0:attrname-format:basic 拡張ユーザー情報02  

注釈

上記は設定の一例であり、この設定方法を推奨するものではありません。また、同様に設定したとしても動作保証をするものでもありません。
本ガイドの設定例では、vCDテナントポータルのユーザーのロールを、IDFサービス側で設定します。
GroupsおよびRolesにの設定は拡張ユーザー情報フィールドを利用しています。

3. IDFサービスへ、TOTPおよびvCDにログインするユーザーの設定

IDFサービスのIDポータル上での作業を行います。

注釈

本ガイドでは、IDポータル上での作業手順のみ記載します。
設定内容の詳細などはIDFサービスから提供されておりますマニュアルをご参照ください。

企業管理者としてIDFサービスのポータルへログインします。
../_images/guide_8_07.png

3.1. 認証設定

認証設定タブを選択します。
../_images/guide_8_08.png

多要素認証の[Edit]ボタンをクリックします。
../_images/guide_8_09.png

リスク低・リスク高ともに 第一認証:パスワード認証、第二認証:TOTP認証を設定し、[Save]ボタンをクリックします。
../_images/guide_8_10.png

3.2. グループ

次に、認証設定を利用するグループを設定します。
グループタブを選択し、[+]ボタンをクリックします。
../_images/guide_8_11.png

グループ名、所属可能ユーザー数を入力し、利用可能な多要素認証、SSO対象アプリケーションをチェックし、[Save]ボタンをクリックします。
../_images/guide_8_12.png

3.3. ユーザー

最後に、グループに所属するユーザーを設定します。
ユーザータブを選択し、[+]ボタンをクリックします。
../_images/guide_8_13.png

ユーザーID、ユーザー名、連絡先メールアドレス、メール言語を入力します。
所属グループには、先ほど作成したグループを選択します。
また、拡張ユーザー情報01にはvCDテナントポータル上のユーザーのグループを、
拡張ユーザー情報02にはvCDテナントポータル上のユーザーのロールを、それぞれ入力します。
../_images/guide_8_14.png

注釈

vCDテナントポータル上のユーザーのロールは、vCDテナントポータルより確認できます。

4. vCDテナントポータルへ、IDFサービスより受領したメタデータの登録

vCDテナントポータルで、IDFサービスより受領したメタデータを登録します。
Organization Administratorロールを持つユーザーで、vCDテナントポータルへアクセスします。

Topメニューより[管理]をクリックします。
../_images/guide_8_01.png

左メニューより[IDプロバイダ]->[SAML]をクリックします。
SAMLの設定画面にて、[編集]をクリックします。
../_images/guide_8_02.png

SAML構成の編集画面がポップアップします。
[IDプロバイダ]タブを選択します。
[SAMLのIDプロバイダを使用する]を有効にします。
[参照]ボタンをクリックし、IDFサービスより受領したメタデータをアップロードします。
../_images/guide_8_18.png

../_images/guide_8_18-1.png

[保存]をクリックします。

注釈

[SAMLのIDプロバイダを使用する]を有効にしたOrgでは、"vCDテナントポータルアクセスリンクのURL"へアクセスすると、IDFサービスのSSO画面が表示されます。
ローカルユーザーでログインしたい場合は、以下のURLをブラウザで開いて[統合ユーザーとしてログイン]リンクをクリックしてください。


※ $1,$2の内訳は以下の通りです。
$1 : jp7
$2 : Organaization Name

5. vCDテナントポータルへ、ユーザーおよびグループのインポート


5.1. ユーザーのインポート

左メニューより[アクセスコントロール]->[ユーザー]をクリックします。
ユーザー画面にて、[ユーザーのインポート]をクリックします。
../_images/guide_8_22.png

IDFサービス上で設定した[ユーザー名を入力します]へIDFサービスで登録した[ユーザーID]を入力し、ロールに"Defer to Identitiy Provider"を選択して[Save]ボタンをクリックします。
../_images/guide_8_23.png

注釈

今回の設定例では、vCDテナントポータルのユーザー名としてIDFサービスの[ユーザーID]を紐づかせています。
また、ロールはIDFサービスで設定することとしたため、"Defer to Identitiy Provider"を選択しています。

5.2. グループのインポート

左メニューより[アクセスコントロール]->[グループ]をクリックします。
ユーザー画面にて、[グループのインポート]をクリックします。
../_images/guide_8_24.png

注釈

[グループのインポート]が表示されない場合は、画面の再表示を行ってください。

IDFサービス上で設定した[グループ名を入力します]へIDFサービスで登録した[グループ名]を入力し、ロールに"Defer to Identitiy Provider"を選択して[Save]ボタンをクリックします。
../_images/guide_8_26.png

注釈

グループは、IDFサービスのグループではなく、"拡張ユーザー情報01"に設定したグループを入力します。
ユーザのグループ割り当ては、ユーザーがログインする際に自動で行われます。

以上でvCD上での設定が完了しました。
このあと動作確認を行いますが、ログイン出来ない場合に備えてこの段階ではローカルユーザを無効化・削除しません。

動作確認

注釈

動作確認を行う前に、IDFサービスのマニュアルに従い、パスワードの初期化、TOTPの初期設定を実施しておきます。

動作確認をします。vCDテナントポータルへログインしている場合は、ログアウトします。
ログアウト画面の[SINGLE SIGN-ONによるログイン]を選択します。
../_images/guide_8_28.png

IDFサービスの認証画面に遷移します。
[ユーザーID]と[パスワード]を入力して、[ログイン]ボタンをクリックします。
../_images/guide_8_29.png

[TOTP]を入力して、[送信]ボタンをクリックします。
../_images/guide_8_30.png

認証に成功すると、vCDテナントポータルにログインできます。
ログイン後、権限およグループ等が設定通りになっていることを確認します。