外部ユーザー認証を処理し、ID サービスを管理するように、Control Room を設定できます。 このセクションでは、ID プロバイダー (IdP) のサービス プロバイダーとして Control Room を構成する方法について説明します。

前提条件

  • このアクションは、必要な IdP の権限を持つ管理者が実行します。
  • ネットワークチームに確認して、Control Room と IdP の間の通信を有効にしてください。

手順

  1. IdPにアプリケーションを作成して、Control Roomをサービスプロバイダーとして構成します。
    一般的に使用される認証については、「Automation 360 - Change control room authentication to SAML based SSO」を参照してください。
  2. SAML Assertion Consumer Service またはサービス プロバイダーの URL を <Enterprise Control Room URL>/v1/authentication/saml/assertion に設定します。
    注: 単一ログアウト (SLO) に対して SAML アサーションを設定しないでください。
  3. 作成したアプリケーションを構成し、Control Room 用に IdP で定義された主要なユーザー属性にマッピングします。
    主な属性は以下の通りです。 [UserID]、[FirstName]、[LastName]、[EmailAddress]。

    これらの値は認証ワークフローの一部として必要です。

    重要: 構成が適切に機能するように、Control Room の主要な属性が正しく定義されていることを確認してください。 IdP の構成例については、「例: Control Room 用の IdP アプリケーションを構成する」を参照してください。
  4. IdP で作成されたアプリケーションのユーザーにアクセス権を付与します。
    注:
    • IdP メタデータをダウンロードして、Control Room を設定できるように Control Room 管理者と共有します。
    • SAML アサーションに含まれている認証ステートメントには、SessionIndex 属性が含まれている必要があります。 SAML 仕様に従って、アサーション ID がセッション インデックスとして使用されます。 SessionIndex 属性の目的は、SAML ログアウト中にログアウトするセッションを特定することです。
      <saml2:AuthnStatement AuthnInstant="authenticated_instance" SessionIndex="index_value_required">
    • いずれかの Control Room 管理者ユーザーと一致するユーザーを IdP に作成します。 このユーザーは、構成の最後のステップとして、Control Room の構成をテストします。 管理者以外の Control Room ユーザー アクセスでは SAML ログインをテストしないことをお勧めします。管理者ユーザーがいない Control Room になるリスクがあります。

次のステップ

Control Room で SAML 認証を設定する