サービス プロバイダーとしての Control Room の構成

Control Room を SAML 認証環境に切り替える前に、有効な SAML IdP 設定を構成する必要があります。

前提条件

このタスクは、SAML IdP のネットワーク管理者が実行します。この構成を完了するには、ユーザーの権限が必要な条件を満たしている必要があります。

いずれかの Control Room 管理者ユーザーと一致するユーザーを Active Directory に作成します。このユーザーは、構成の最後のステップとして、Control Room の構成をテストします。管理者以外の Control Room ユーザー アクセスでは SAML ログインをテストしないことをお勧めします。管理者ユーザーがいない Control Room になるリスクがあります。

SAML IDP セットアップでサービス プロバイダーとして機能するように Control Room を切り替えるために必要なネットワーク側の準備を行います。

手順

  1. SAML IdP でアプリケーションを作成します。
    一般的に使用される SAML IdP については、「Automation 360 - Control Room の認証を SAML ベースの SSO に変更する」を参照してください。
  2. ACS またはサービス プロバイダーの URL を <Enterprise Control Room URL>/v1/authentication/saml/assertion に設定します。
    注: 1 つのログアウトに対して SAML アサーションを設定しないでください。
  3. SAML IdP で作成されるアプリケーションを構成して、Control Room で使用する IdP で定義された主要なユーザー属性をマッピングします。
    主な属性は以下の通りです。[UserID]、[FirstName]、[LastName]、[EmailAddress]。
    この値は、SAML IdP を使用するように Control Room を設定するときに必要です。
  4. オプション: SAML IdP で作成されたアプリケーションのユーザーにアクセス権を提供します。
    注:
    • SAML IdP メタデータをダウンロードして、Control Room を設定できるように Control Room 管理者と共有します。
    • SAML アサーションに含まれている認証ステートメントには、SessionIndex 属性が含まれている必要があります。SAML 仕様に従って、アサーション ID がセッション インデックスとして使用されます。SessionIndex 属性の目的は、SAML ログアウト中にログアウトするセッションを特定することです。
<saml2:AuthnStatement AuthnInstant="authenticated_instance" SessionIndex="index_value_required">

次のステップ

Control Room で SAML 認証を設定する