SAMLとコンソール
IBM Aspera Console は、Security Assertion Markup Language (SAML) 2.0 をサポートしています。これは、安全な Web ドメインがユーザー認証および承認データを交換できるようにする XML ベースの標準です。 SAML モデルでは、Console を SAML オンラインサービスプロバイダ (SP) として構成し、別のオンライン アイデンティティプロバイダ (IdP) に連絡してユーザを認証することができます。 認証されたユーザーは、Consoleを使って安全なコンテンツにアクセスできる。
SAML が有効になっている場合、コンソールはユーザーを IdP URLにリダイレクトします。 ユーザー IdPにサインインし、 IdPは SAMLアサーションをコンソールに送信します。 SAML ユーザーが Console に初めてログインすると、Console は SAML レスポンスによって提供された情報に基づいて、新しいユーザーアカウントを自動的に作成します。 その後、DSサーバー上のアカウントに加えられた変更は、Consoleには自動的に反映されません。 SAML ユーザのユーザ・プロビジョニングの詳細については、JIT プロビジョニングによってプロビジョニングされるユーザ・アカウントを参照してください。
IdP 要件
Console で SAML を使用するには、以下の要件を満たす ID プロバイダ (IdP) を既に持っている必要があります:
- SAML 2.0 をサポートする
- HTTP POSTバインディングを使用できる。
- コンソールが使用しているのと同じディレクトリサービスに接続できる。
- ペンネームを使用するように設定されていない。
- 署名証明書の全内容を含むアサーションを Console に返すことができる。
- プロンプトが表示されたら、SAML 応答に署名するように設定する。 (SAML アサーションへの署名はオプションである)
SAML IdP を構成する
Console で SAML を構成する前に、IdP が正しい SAML 応答を Console に送信するように構成していることを確認する。 詳細については、IDプロバイダの設定(IdP)を参照。SAMLとディレクトリサービス
コンソールは、SAML とディレクトリ・サービスの両方の使用をサポートしている。 両方のサービスを Console に構成する場合は、サービスが異なる Active Directory ドメインを使用していることを確認してください。 Aspera は、SAML IdP が同じ Active Directory ドメインのフロントエンドとして動作する場合、LDAP を Console に直接構成しないように助言している。デフォルトの SAML IdP を回避する
Console は、ユーザが SAML リダイレクトをバイパスして、ローカルのユーザ名とパスワードを使用してログインするためのメカニズムを提供する。 この機能により、管理者は、SAML からログインすることなく、誤った SAML 設定を含むサーバ設定を修正することができる。
SAML ログインをバイパスするには、以下を追加するlogin?local=trueURL の末尾に追加します。 例:https://IP/aspera/console/login?local=true