Linuxコマンドラインによる設定
LinuxでのGUIを使用しない設定
コマンドラインでSSO Connectを設定したい場合は、以下のセクションをご参照ください。 SSO Connectをすでに設定済みの場合は、IDプロバイダの設定(Identity Provider Setup)セクションにお進みください。
対話モードを使用したLinuxの設定
Keeper SSO Connectは、コンフィギュレーションモードで起動でき、この場合、必要なパラメータの入力を求められます。
実行中のSSOConnectプロセスがある場合は、CTRL-Cを押すか、プロセスを強制終了して停止します。
SSL証明書をSSO Connectサーバーにコピーします。証明書は、PKCS#12形式またはJavaキーストア形式、つまり
.pfx
、.p12
、.jks
で終わるファイルである必要があります。IdPのSAML XMLメタデータファイルをサーバーにコピーします。
これは、IDPの管理者サイト(Active Directory、Azure、F5、Google、Oktaなど)から取得します。
これは通常、.xmlファイルです。
SSO Connectディレクトリで、SSO Connectをコンフィギュレーションモードで起動します:
$ java -jar SSOConnect.jar -config
以下のパラメータを指定するよう求められます。
Keeper管理者のメールアドレス(会社のKeeper管理コンソールにログインするため)
Keeper管理者のマスターパスワード
二要素認証コード(アカウントで有効な場合)
SSOドメイン名(この属性はKeeper管理コンソールのSSO Connectのプロビジョニング画面で定義します)
Keeperで設定したドメインごとに、SSO Connectを個別にインストールする必要があることにご注意ください。
次で、個々のパラメータを設定できるようになります。設定を空白のままにする(を押す)と、デフォルトの設定が適用されます。
SSO Connect外部ホスト名またはIPアドレス
外部SSLポート(デフォルトは8443)
ローカル(プライベート)IP
ローカル(プライベート)ポート
証明書を使用してSAMLレスポンス/リクエストを復号および署名する(True/False)
「ファーストネーム(First Name)」のSAML属性マッピング
「ラストネーム(Last Name)」のSAML属性マッピング
「メール(Email)」のSAML属性マッピング
IdPタイプ(Google、Okta、Azureなど...)
キーストアのパスワード(Javaキーストアを使用する場合)
PKCS#12パスフレーズ(SSL鍵を使用する場合)
鍵ファイルのフルパスと名前
IdP SAMLメタデータファイルのフルパスと名前
以下の質問は、HSM(ハードウェアセキュリティモジュール)を使用した、鍵の安全な保管に関するものです。HSMを利用していない場合、またはSSO ConnectでHSMを利用したくない場合は、このセクションは省略できます。
セキュアキーストレージを設定します(y/N):
セキュアキーストレージのタイプ(Gemalto SafeNet Luna HSM):
Enter
(AWS Cavium CloudHsmV2もサポートされています)セキュアストレージデバイスのアクセスパラメータ(スロット、パスワード):
Enter
スロット:
<自スロット番号(your slot)>
(Gemaltoでは必須、多くの場合0または1)パスワード:
********
(Gemaltoでは必須、これはHSMのクリプトオフィサーのパスワードです)証明書チェーンファイル(/home/ubuntu/keeperSSO/data/sso_keystore.jks):
Enter
(必須)証明書チェーンファイルのパスワード(なし):
セキュアキーストレージを有効化します(Y/n):
設定が正常に実行されると、各インスタンスのサービスを再起動したときに、他のすべてのSSO Connectサービスに同期されます。SSO Connectが起動してKeeperサーバーと通信できるだけの設定が完了すると、設定は再起動時に同じドメイン上の他のすべてのSSO Connectインスタンスに同期されます。
注意:JKSキーストアタイプでは、キーストアとパスフレーズの両方を同じにすることが必要な場合があります
SSO Connectは、コンフィグレーションセッションの終了後に自動的に開始されないため、以下のように開始する必要があります。
豊富なコマンドラインパラメータを使用したSSHによるLinux設定
SSO Connectは、多くのコマンドラインオプションをサポートしており、スクリプトに利用して、SSL鍵のローテーションなどの操作を自動化できます。
コマンドラインパラメータオプションの完全なリストを表示するには、「-h」フラグをご使用ください。
SSOConnectは、以下のコマンドラインスイッチを使用して設定することもできます。
注意: インスタンスが初期化済みの場合、データディレクトリ内のコンテンツを削除しないと再初期化できません
コマンドラインオプションには、ユーザー名、パスワード、および二要素認証値(2FAが有効な場合)が必要です。オプションとして設定するか、または入力を求めるプロンプトが表示されます。
たとえば、実行環境のSSL鍵をローテーションするには、コマンドは以下のようになります。
未設定のままにすると、対話型シェルを使用してパスワードを入力するように求められます。
インスタンスを設定すると、変更はHA環境内の他のすべてのSSO Connectインスタンスに即座に反映されます。
SSOConnectは標準のlog4j2ライブラリをロガーとして使用します。SSOConnectは、以下の順序で設定ファイルを検索します。
システム環境変数「logging.config」の値
現在の作業ディレクトリのlog4j2.xml
SSOConnect.jarファイルがあるディレクトリのlog4j2.xml
log4j2の標準的な検索基準に従ったlog4j2設定ファイル
SSOConnect.jarファイル内に含まれるデフォルトのlog4j2.xml
log4j2.xmlファイルの変更は、サービスの再起動後に、そのlog4j2設定ファイルが最初に見つかった場合にのみ反映されます。
Last updated