前提事項と要件
SAML V2.0 を使用できるよう BigFix を構成する前に、以下の前提事項および要件のリストをよくお読みください。
- BigFix は、SAML V2.0 準拠の ID プロバイダー (Active Directory フェデレーション・サービス (ADFS) など) による SAML V2.0 認証をサポートします。
- SAML V2.0 認証は、以下のように制限されています。
- 1 つ以上の LDAP ディレクトリーによって、1 つの SAML IdP のみがサポートされます。ご使用の BigFix 環境で複数の LDAP サーバーをユーザー・リポジトリーとして既に定義している場合、SAML 認証を有効にした後は、選択した IdP によって管理されるユーザーおよびグループのみが BigFix 環境に引き続き認識されることに注意してください。この場合、ユーザー・リポジトリーとして使用する別の LDAP 環境のユーザーを SAML IdP (ADFS または ISAM) が認証できるように、IdP 環境が正しく構成されていることを確認してください。
- ID プロバイダーは、セキュア・ハッシュ・アルゴリズムとして SHA256 を使用します。
- Web レポート・サーバーは、1 つのデータ・ソース (ルート・サーバー) のみに接続し、SSL を使用するように構成されます。
- SAML 認証を構成して使用するには、WebUI がインストールされている必要があります。Web レポートおよび BigFix コンソール用の SAML 認証を提供するためにのみ WebUI を使用する場合、Web UI を SAML 専用モードで開始してリソース消費量を削減できます。Web UI を SAML 専用モードで開始する方法について詳しくは、「 WebUI ユーザーズ・ガイド」を参照してください。
- DSA アーキテクチャーでは、構成がレプリカの DSA サーバーに複製されます。ただし、レプリカはプライマリーでない DSA での SAML 用の WebUI を有効にしません。複数 WebUI 構成はサポートされていないためです。
- パッチ 1 以降、サーバーの署名キーとして使用される X.509 証明書は、ルート・サーバーの DNS 名と IP を含む subjectAltName フィールドとともに生成されます。これにより、認証プロセス中に「セキュリティ証明書の名前が無効であるか、サイト名と一致しない」セキュリティー警告が現れるのを防ぎます。
- フレッシュ・インストールの場合は、プロセス中に新しい証明書が作成されます。
- アップグレードの場合は、古い証明書が所定の位置に残されます。セキュリティー警告を防ぐには、以下のステップを実行します。
- 接続しているサーバーのサーバー署名キーをローテーションします。パラメーターについて詳しくは、「 追加の管理コマンド」を参照してください。DSA アーキテクチャーでは、すべてのサーバーのキーをローテーションする必要はありません。重要: この操作により、すべての既存のコンテンツを再署名します。非常に大規模なデプロイメントでは、数時間かかることがあります。日々のデプロイメント操作への影響を最小限にするには、メンテナンス期間を計画します。
- 代替方法として、「BigFix ユーザーの観点から見た変更内容」で説明されている回避策を適用します。
- 接続しているサーバーのサーバー署名キーをローテーションします。パラメーターについて詳しくは、「 追加の管理コマンド」を参照してください。DSA アーキテクチャーでは、すべてのサーバーのキーをローテーションする必要はありません。
- Web レポートを実行時、SAML が有効な場合は、参照者に関するチェックは実行されません。設定
_HTTPServer_Referrer_CheckEnabledを使用して、参照者チェックを有効または無効にできます。参照者は、HTTP プロトコルのオプションのヘッダーです。これは、要求されているリソースへのリンク元である Web ページのアドレス (URI または IRI) を識別します。BigFix がどのように参照者チェックを管理するかについては、設定のリストと詳細な説明を参照してください。