Bastionhostは、Identity as a Service (IDaaS)に接続できます。 IDaaS Employee Identity and Access Management (EIAM)インスタンスのユーザーをBastionhostユーザーとしてBastionhostに同期できます。 このトピックでは、IDaaS EIAMインスタンスを関連付ける方法、IDaaS EIAMインスタンスの構成をクリアする方法、およびIDaaS EIAMインスタンスを変更する方法について説明します。
背景情報
IDaaSは、企業ユーザーに適したクラウドネイティブで費用対効果が高く、便利で標準的なIDおよび権限管理システムです。 詳細については、「IDaaS EIAMとは」をご参照ください。
前提条件
IDaaS EIAMインスタンスが作成されています。 詳細については、「インスタンスの管理」トピックの「インスタンスの作成」セクションをご参照ください。
制限事項
Bastionhost Enterprise EditionのみがIDaaS認証をサポートしています。 Bastionhostの購入とアップグレード方法の詳細については、「Bastionhostの購入」および「Bastionhostのアップグレード」をご参照ください。
IDaaSユーザーは、クライアントでパスワードベースの認証を渡すことによって、Bastionhostにログオンできません。 アセットO&MにBastionhostを使用するには、IDaaSユーザーはクライアントでO&Mトークンベースの認証を渡すか、O&Mポータルを使用する必要があります。 詳細については、「O&Mマニュアル (V3.2)」をご参照ください。
IDaaS認証の構成
[Bastionhostコンソール] にログオンします。 上部のナビゲーションバーで、Bastionhostが存在するリージョンを選択します。
Bastionhostリストで、管理するBastionhostを見つけて、管理 をクリックします。
左側のナビゲーションペインで、System Settings をクリックします。
IDaaS 認証 タブで、IDaaS インスタンスの関連付け をクリックします。
IDaaS インスタンスの関連付け ダイアログボックスで、管理するIDaaS EIAMインスタンスを選択し、次へ をクリックします。 表示されるメッセージで、OK をクリックします。
アプリケーション名 の値は、指定した後は変更できません。 デフォルトでは、アプリケーション名を指定しない場合、BastionhostのIDがIDaaSアプリケーション名として使用されます。
別のIDaaS EIAMインスタンスを作成するには、[IDaaSコンソール] にログオンします。 詳細については、「インスタンスの管理」トピックの「インスタンスの作成」セクションをご参照ください。
Completed ステップで、表示されるメッセージを確認し、OK をクリックします。
次のいずれかの方法を使用して、IDaaSユーザーを初めてインポートできます。 IDaaS EIAMインスタンスをBastionhostに関連付けると、IDaaS EIAMインスタンスで作成したユーザーはBastionhostに自動的に同期されます。 Bastionhostのコンソールの左側のナビゲーションペインで、 を選択して、ユーザーを表示できます。
方法 1:[IDaaSコンソール] にログオンして、数回クリックするだけで既存のIDaaSユーザーをBastionhostに同期します。 詳細については、「アカウントのプロビジョニング - IDaaSイベントコールバック」をご参照ください。
方法 2:[ユーザー] ページで既存のIDaaSユーザーをインポートします。 詳細については、「ユーザーの作成」をご参照ください。
パラメーター
説明
出口 IP アドレス
Bastionhostでアクセス制御を実装する場合は、IDaaSのエグレスIPアドレスをBastionhostのホワイトリストに追加します。
同期の範囲
ユーザーがBastionhostに同期されるIDaaS組織。
SSO 起動者
IDaaS実装のシングルサインオン (SSO) は、IDaaSサインインページで実装されたSSOを示します。 Bastionhost実装のSSOは、BastionhostのO&Mポータルで実装されたSSOを示します。 有効な値:
IDaaS と Bastionhost による起動をサポートします
Bastionhost による起動だけを許可する
起動アドレスのログイン
IDaaS実装のSSO後にユーザーがリダイレクトされるBastionhost O&Mポータルのアドレス。 SSOの実装者パラメーターがIDaaSとBastionhostに設定されている場合は、このパラメーターを構成する必要があります。 有効な値:
インターネット O&M ポータルアドレス
プライベートネットワーク O&M ポータルアドレス
ユーザースナップショットの同期間隔を手動でインポートする
IDaaSユーザーをBastionhostにインポートすると、認証サーバーで選択したIDaaSユーザーのユーザースナップショットは、指定した間隔でBastionhostに自動的に同期されます。 有効な値: 0 および 4 ~ 168 。 単位:時間。 デフォルト値: 0 。 値 0 は、選択したIDaaSユーザーのユーザースナップショットが自動的に同期されないことを示します。 詳細については、「ユーザーの管理」トピックの「ユーザーの作成」セクションをご参照ください。
IDaaS EIAMインスタンスの変更
BastionhostのIDaaSユーザーをクリアした後、IDaaSユーザーを使用してBastionhostにログオンできなくなり、ユーザーデータを復元できなくなります。 慎重に行ってください。
[Bastionhostコンソール] にログオンします。 上部のナビゲーションバーで、Bastionhostが存在するリージョンを選択します。
Bastionhostリストで、管理するBastionhostを見つけて、管理 をクリックします。
左側のナビゲーションペインで、System Settings をクリックします。
IDaaS 認証 タブで、IDaaS インスタンスの関連付けの変更 をクリックします。
IDaaS インスタンスの関連付けの変更 ダイアログボックスで、IDaaS ユーザーを消去し、次のステップに進む をクリックします。 表示されるメッセージで、IDaaS ユーザーの消去 をクリックします。
インスタンスの関連付け ステップで、新しいIDaaS EIAMインスタンスを選択し、次へ をクリックします。 表示されるメッセージで、OK をクリックします。
IDaaS認証の構成のクリア
IDaaS認証の構成をクリアすると、IDaaS認証は無効になります。 慎重に行ってください。
[Bastionhostコンソール] にログオンします。 上部のナビゲーションバーで、Bastionhostが存在するリージョンを選択します。
Bastionhostリストで、管理するBastionhostを見つけて、管理 をクリックします。
左側のナビゲーションペインで、System Settings をクリックします。
IDaaS 認証 タブで、設定のクリア をクリックします。
表示されるメッセージで、IDaaS ユーザーの消去 をクリックし、次に Clear をクリックします。
[idaas認証済みユーザーの削除] をクリックすると、BastionhostにインポートされたすべてのIDaaSユーザーはクリアされますが、IDaaS EIAMインスタンスの関連付けは解除されません。 [クリア] をクリックすると、IDaaS EIAMインスタンスの関連付けが解除されます。