NetBackup ™ セキュリティおよび暗号化ガイド

SAML キーストアを構成し、IDP 構成を追加および有効化するには

1. プライマリサーバーにルートまたは管理者としてログオンします。
2. 次のコマンドを実行します。

   IDP と NetBackup CA SAML キーストアの構成の場合:

   nbidpcmd -ac -n IDP configuration name -mxp IDP XML metadata file [-t SAML2] [-e true | false] [-u IDP user field] [-g IDP user group field] [-cCert] [-f] [-M primary server]

   または、IDP と ECA SAML キーストアの構成の場合:

   構成済みの NetBackup ECA キーストアを使用して SAML ECA キーストアを構成するか、ECA 証明書チェーンと秘密鍵を指定するかに応じて、次のコマンドを実行します。

   • NetBackup ECA 構成のキーストアを使用する:

     nbidpcmd -ac -n IDP configuration name -mxp IDP XML metadata file[-t SAML2] [-e true | false] [-u IDP user field] [-g IDP user group field] -cECACert -uECA existing ECA configuration [-f] [-M Primary Server]

   • ユーザーが指定した ECA 証明書チェーンと秘密鍵を使用する:

     nbidpcmd -ac -n IDP configuration name -mxp IDP XML metadata file[-t SAML2] [-e true | false] [-u IDP user field] [-g IDP user group field] -cECACert -certPEM certificate chain file -privKeyPath private key file [-ksPassPath KeyStore passkey file] [-f] [-M primary server]

   変数は次のように置き換えます。

   • IDP configuration name は、IDP 構成に指定された一意の名前です。

   • IDP XML metadata file は、XML メタデータファイルへのパスです。これには、IDP の構成の詳細が Base64URL エンコードされた形式で含まれます。

   • -e true | false は、IDP 構成を有効または無効にします。IDP 構成が追加されて有効になっている必要があります。そうでない場合、ユーザーは SSO (シングルサインオン) オプションを使ってサインインできません。NetBackup プライマリサーバーに複数の IDP 構成を追加することもできますが、一度に 1 つの IDP 構成のみを有効にできます。

   • SAML 属性名 IDP ユーザーフィールドと IDP ユーザーグループフィールドは、ID プロバイダのユーザー ID 情報とグループ情報のマッピングに使用されます。これらのフィールドは省略可能であり、指定されない場合はデフォルトで userPrincipalName および memberOf の各 SAML 属性にマップされます。

     たとえば、電子メールやグループなどの属性を使用するように ID プロバイダの属性マッピングをカスタマイズする場合、SAML 構成を構成するときに、電子メールに対して -u オプション、グループに対して -g オプションを指定する必要があります。

     構成中にこれらの属性の値を指定しなかった場合は、ID プロバイダは userPrincipalName 属性と memberOf 属性に対して値が返されることを保証します。

     次に例を示します。

     SAML 応答が次の場合:

     saml:AttributeStatement <saml:Attribute Name="userPrincipalName"> <saml:AttributeValue>username@domainname</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="memberOf"> <saml:AttributeValue>CN=group name, DC=domainname</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>

     フィールド「saml:Attribute Name」に対して -u オプションと -g オプションをマッピングする必要があることを意味します。

     メモ:

     デフォルトが userPrincipalName の -u オプションにマッピングされているフィールドに対して、SAML 属性値が username@domainname の形式で返されることを確認します。グループ情報を返すときにドメイン名を含める場合は、「(CN=group name, DC=domainname)」または「(domainname\groupname)」の形式に従う必要があります。

     ただし、ドメイン情報なしでプレーンテキストとしてグループ名を返す場合は、SAML RBAC グループ内のドメイン名なしでマッピングする必要があります。

   • primary Server は、IDP 構成を追加または変更するプライマリサーバーのホスト名または IP アドレスです。コマンドを実行する NetBackup プライマリサーバーがデフォルトで選択されます。

   • Certificate Chain File は証明書チェーンファイルのパスです。このファイルは PEM 形式である必要があります。また、構成を実行するプライマリサーバーからアクセス可能である必要があります。

     Private Key File は秘密鍵ファイルのパスです。このファイルは PEM 形式である必要があります。また、構成を実行するプライマリサーバーからアクセス可能である必要があります。

     KeyStore Passkey File はキーストアパスキーファイルのパスです。構成を実行するプライマリサーバーからこのファイルにアクセス可能である必要があります。

   ID プロバイダに SAML 属性名が userPrincipalName と memberOf としてすでに構成されている場合、構成時に -u と -g オプションを指定する必要はありません。他のカスタム属性名を使用している場合は、次に示すように、-u と -g に対して名前を指定します。

   例:

   ID プロバイダの SAML 属性名が「email」と「groups」としてマッピングされている場合は、次のコマンドを使用して構成します。

   nbidpcmd -ac -n veritas_configuration -mxp file.xml -t SAML2 -e true -u email -g groups -cCert -Mprimary_server.abc.com

   -u と -g は省略可能であり、ID プロバイダの構成によって異なります。構成時に指定したパラメータ値と同じ値を指定してください。