BigFix と SAML V2.0 との統合の仕組み

SAML V2.0 との統合では、passport-saml 認証プロバイダーを使用して、ID プロバイダー (IdP) が開始した認証とサービス・プロバイダー (SP) が開始した認証の両方に対応します。

SAML をサポートするどの BigFix ユーザー・インターフェースについても、SAML の使用および要求は WebUI コンポーネントによって管理されます。

SAML との統合を構成する方法は、以下のように計画している使用法によって異なります。
  • SAML 認証を Web レポートおよび BigFix コンソールでのみ使用して、どの WebUI アプリケーションでも使用する必要がない場合は、WebUI を SAML 専用モードで開始できます。この SAML 構成では、リソース消費量を最小限に抑えることができます。この構成のセットアップ方法について詳しくは、「SAML 専用モードでの WebUI の有効化」を参照してください。

  • WebUI コンポーネントの完全なセットまたは WebUI ETL 処理を含む、すべてのBigFix ユーザー・インターフェースで SAML 認証を使用するには、BigFix バージョン 9.5.5 以降を使用している場合は WebUI のインストールに記載されている手順に従います。

BigFix 環境で 1 つの LDAP サーバーをユーザー・リポジトリーとして使用している場合、ユーザー・プロビジョニングはこの統合による影響を受けません。管理者は引き続き、BigFix サービスを使用する権限を与えるために、オペレーターおよび役割を定義します。ご使用の BigFix 環境のオペレーターが複数の LDAP サーバーで定義されている場合は、前提事項と要件に記載されている情報をよくお読みください。

SAML 2.0 と統合した場合、既存の監査シナリオは維持され、server_audit.log ファイルに SAML 認証のユーザー・エントリーが含まれます。

以下のサンプル・ユース・ケースを確認してください。

  1. ユーザーが BigFix にサービスを要求します。例えば、Web UI、Web レポート、または BigFix コンソールを使用して、ページにアクセスしたり、ログインを試行したりします。
  2. BigFix は、LDAP を基盤とした SAML ID プロバイダーに ID アサーションを要求します。
  3. ID アサーションを配信する前に、LDAP を基盤とした SAML ID プロバイダーは、何らかのユーザー認証情報、例えば、ユーザー名とパスワードや、別の形式の認証 (多要素認証 を含む) を要求する可能性があります。ディレクトリー・サービス (LDAPActive Directory など) は、ID プロバイダーでの代表的な認証トークンのソースです。
  4. ID プロバイダーが提供するID アサーションに基づいて、BigFix は、そのユーザーによって要求されたサービスを実行するかどうかを決定します。
  5. 認証情報は維持され、割り当てられた許可に応じて、ユーザーが BigFix によって提供されるサービスに自動でアクセスできるようにするために使用されます。