1.概要
IBM Security Verify は、様々なIDシステムと連携する機能を持っています。
この記事では、オンプレミスやお客様の管理しているクラウド環境にある Active Directory を利用して、ユーザーの認証を行います。インターネットに繋がっていない Active Directory であっても、IBM Security Verify (SaaS)の認証に利用することができることを確認しました。
2.構成イメージ
IBM Security Verify は、オンプレミスやお客様の管理しているクラウド環境にある Active Directory に登録されたユーザーの情報を利用して認証することができます。インターネットに接続していないドメイン・コントローラーに登録されたユーザー情報を利用して、認証することもできます。
ドメイン・コントローラ: ユーザーのID・パスワードが登録されている。インターネットへの接続不可のネットワーク上に構成。
Bridge for Authentication: 2つのネットワーク(青: ドメイン・コントローラへの接続可能でインターネットへの直接接続不可のネットワークと、緑:インターネットにHTTPプロキシー経由での接続が可能なネットワーク)に接続。
HTTPプロキシー: Squid で構成。Bridge for Authentication への接続可能。インターネットへの接続可能。
3. 構成
3.1ドメインコントローラでの作業
「Active Directory ユーザーとコンピュータ」を開きます。
Bridge for Authentication で認証するユーザーやグループの所属するツリーを確認します。
バインドするためのユーザーを作成します。ユーザーを作成した後、「表示」>「拡張表示」を有効にし、作成したバインドユーザーのDN (DistinguishedName) を確認します。
3.2 IBM Security Verify の管理コンソールでの作業。
「統合」>「IDエージェント」から「エージェント構成の作成」を選択します。
用途は「認証」、構成タイプは「LDAP」を選択し、次へをクリックします。
Bridge for Authentication サーバーから接続するドメインコントローラーのLDAPとしての接続先を指定します。
| 項目 |
例 |
説明 |
| 外部LDAP ホストURI |
ldap://ドメインコントローラー:389 |
Bridge for Authentication のサーバーから見た、(インターネットにつながっていない)ドメインコントローラの接続先です。 |
| ベース |
cn=users,dc=example,dc=com |
ユーザーが登録されているツリーを指定。
対象とするユーザーのいるツリーを、「Active Directory ユーザーとコンピュータ」で確認します。
|
| LDAPバインドDN |
cn=bridge,CN=Users,DC=example,DC=com |
「Active Directory ユーザーとコンピュータ」で「表示」>「拡張機能」を設定した後、Bridge for Authentication で管理者としてBINDするユーザーを開き、「属性エディタ」から、DN(DistinguishedName)の値を確認して入力します。 |
| LDAPバインドのパスワード |
|
上記ユーザーのパスワードです。 |
その他の項目は特に変更をせずに、登録します。
作成したエージェントのクライアントID、クライアントシークレットは、後の手順で必要になります。
3.3 Bridge for Authentication の構成
ダウンロードしたBridge for Authentication をインストールします。
テナントURLには、接続したいIBM Security Verify のテナントURLを指定します。
APIクライアントID、クライアントシークレットは、エンドポイントを作成した際にメモした値を入力します。
プロキシーはオプション設定ですが、ここではHTTPプロキシーサーバーを指定します。
接続が上手くいかないとき等、トレースがあると原因調査に便利です。
3.4 接続確認
正しく接続ができると、IBM Security Verify上に構成したIDエージェントの「アクティブ」の項目が1増えます。
3.5 動作確認
動作確認を行います。3.4で接続がアクティブになっていれば、IBM Security Verify へのログインの際に、ドメインコントローラ上のユーザーID・パスワードを使って IBM Security Verify にログインができます。
4. まとめ
上記のような構成の場合でも、ドメイン・コントローラに登録したユーザー情報を利用して、SaaSの IBM Security Verify へのログイン認証ができました。直接インターネットに接続させられないドメイン・コントローラに登録されたユーザーのIDとパスワードを利用して、IBM Security Verifyへログインすることができるので、オンプレミスのActiveDirectoryを有効活用して、各種SaaSサービスへのログイン認証を実現することができます。
Bridge for Authentication もOSレベルでのHTTPプロキシー経由でのインターネット接続はできなくても構いません。この検証では、OSレベルではHTTPプロキシーの設定をせず、Bridge for Authentication の設定にHTTPプロキシー経由でインターネットに接続する設定をしています。
このようにインターネットへの接続要件が厳しく、ドメイン・コントローラがインターネットへの接続ができない構成であっても、Bridge for Authentication がドメイン・コントローラと、HTTPプロキシー経由で IBM Security Verify への接続ができれば、オンプレミスのドメイン・コントローラーを利用してSaaSサービスへのログイン認証ができることを確認しました。