Upgrade to Pro — share decks privately, control downloads, hide ads and more …

RHTN - 5分でわかるAnsible TowerのSSO

Ca7f3070b0edb9ec3e1b5b5109920a8a?s=47 hiyokotaisa
November 15, 2019
Technology
0
100

RHTN - 5分でわかるAnsible TowerのSSO

「第3回 Red Hat Tech Night 2019.11.15」で発表したスライドです

Ca7f3070b0edb9ec3e1b5b5109920a8a?s=128

hiyokotaisa

November 15, 2019
Tweet

More Decks by hiyokotaisa

See All by hiyokotaisa
Ca7f3070b0edb9ec3e1b5b5109920a8a?s=48 hiyokotaisa
2
7.4k
Ca7f3070b0edb9ec3e1b5b5109920a8a?s=48 hiyokotaisa
3
1.8k
Ca7f3070b0edb9ec3e1b5b5109920a8a?s=48 hiyokotaisa
1
2.7k
Ca7f3070b0edb9ec3e1b5b5109920a8a?s=48 hiyokotaisa
1
1.2k
Ca7f3070b0edb9ec3e1b5b5109920a8a?s=48 hiyokotaisa
2
2.1k
Ca7f3070b0edb9ec3e1b5b5109920a8a?s=48 hiyokotaisa
1
1.1k
Ca7f3070b0edb9ec3e1b5b5109920a8a?s=48 hiyokotaisa
7
5.3k

Other Decks in Technology

See All in Technology
97d180294474e9df01503148f3b11f39?s=48 lambda
0
350
9b2600a82821673d9d0f03cc6f7bc56e?s=48 kloudleinc
0
130
8989dfee7c4a1360817fccb657d695bc?s=48 nobuakikikuchi
0
120
0d29d155ce5c5a93ed46363626da3ea7?s=48 ocise
0
170
3e8f61263f14a620f21d5f3f89c4b846?s=48 gamella
1
5k
Aa2271fde3c839f2ab82d1d27dbbc650?s=48 takayukihayashi
1
270
428a01206a4fc4073b2cd6a0cc4edaef?s=48 arihh
1
320
9fdb6e5b532d7fa8687faebc4e70a865?s=48 ryysud
0
120
6bb0559d2066b868dab09e435f488c6c?s=48 tomoyuki
0
500
Cb88f765dd38cd942c39aacb5abbea06?s=48 ufoo68
0
220
E4159c65ac8decc882bfaf10088bd07e?s=48 daikimiura
5
1.7k
E53046bb9794560f541fcf2cf0b9d526?s=48 sayokomiura
0
520

Featured

See All Featured
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
93
3.1k
F383c6a4dc55e331bbe2987b622cee6b?s=48 stephaniewalter
262
11k
48c098b6579220a67a6ba949be6e4b5a?s=48 revolveconf
201
9.8k
282d599b414022eba5096510f675b6e2?s=48 chrislema
231
16k
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
73
1.5k
Aebc2d07a50011e2a30d38435fde564a?s=48 jrom
116
7.2k
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
233
18k
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
28
1.1k
B83d5b590577969ee79a5ad845411a7d?s=48 ammeep
657
54k
Dafc4723e9a1c067796c0fec6f509774?s=48 lemiorhan
629
48k
B6a8f005f39d23ffc930508ac9da68b9?s=48 vanstee
118
4.9k
39488f9d172ab92fd352f2cd7b73258d?s=48 mza
81
4.2k

Transcript

  1. 2019.11.15 SAMLを理解してシングルサインオンを活用しよう 5分でわかる Ansible Tower の SSO 八木澤 健人 (@

    hiyoko_taisa) Technical Support Engineer 1

  2. 2019.11.15 Red Hat Tech Night Ansible Towerのユーザーの種類 2 内部ユーザー ▸

    Local 外部ユーザー ▸ LDAP/LDAPS ▸ SAML ▸ OAuth … AD DS / IPA Server … Onelogin / AD FS … Azure AD / Google / GitHub

  3. 2019.11.15 Red Hat Tech Night Ansible Towerのユーザーの種類 3 内部ユーザー ▸

    Local 外部ユーザー ▸ LDAP/LDAPS ▸ SAML ▸ OAuth … AD DS / IPA Server … Onelogin / AD FS … Azure AD / Google / GitHub

  4. 2019.11.15 Red Hat Tech Night 4 ▸ 異なるインターネットドメイン間でユーザーの認証情報をやりとりするた めの規格 ▸

    標準化団体「OASIS」により標準化 ▸ Ansible Tower では、AD FSやOneloginといったサービス(IdP)を利用し てSSOを実現するために利用 SAMLとは?

  5. 2019.11.15 Red Hat Tech Night 5 ▸ 個別にユーザーを作成する必要がない ▸ LDAPと異なり、ドメインに属さないユーザーでも利用できる

    ▸ ユーザーの所属するチームや定義されている要素に応じて、Tower内の TeamやOrganizationにシームレスに所属させることができる = SAML Attribute Mapping Ansible Tower でSSOを利用するメリット

  6. 2019.11.15 Red Hat Tech Night 6 Attribute Mappingとは <saml:AttributeStatement> (中略)

    FriendlyName="eduPersonAffiliation"> <saml:AttributeValue xsi:type="xs:string">member</saml:AttributeValue> <saml:AttributeValue xsi:type="xs:string">staff</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> { "saml_attr": "eduPersonAffiliation", "remove": true, "team_org_map": [ { "team": "member", "organization": "Default1" }, { "team": "staff", "organization": "Default2" } ] } IdP側から送られてくるAttribute Tower側のAttribute Mapping

  7. 2019.11.15 Red Hat Tech Night 7 TowerにおけるSSOの動き ユーザー ADFS /

    Onelogin Identity Provider (IdP) 1. SPにログイン要求 Service Provider (SP) 2. IdPに認証要求メッセージを 付与しリダイレクト 3. リダイレクトされたIdPで認証 4. 認証したユーザーの属性情報など の情報(Assertion)を付与し SPにリダイレクト 5. IdPで付与された 認証応答メッセージを SPに送信 <saml2p:AuthnRequest> <saml2p:Response> ※ SP-Initiated

  8. 2019.11.15 Red Hat Tech Night 8 認証要求メッセージ (AuthnRequest) の中身 <samlp:AuthnRequest

    xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="ONELOGIN_f3bfff4946bab4d44ffcc92981f70ded63a7d88c" Version="2.0" ProviderName="Example" IssueInstant="2019-11-14T17:56:47Z" Destination="https://example.onelogin.com/trust/saml2/http-post/sso/123456" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" AssertionConsumerServiceURL="https://xx.xxx.xx.xxx/sso/complete/saml/"> <saml:Issuer>https://hiyoko-test.ap-northeast-1.compute.amazonaws.com/</saml:Issuer> <samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" /> <samlp:RequestedAuthnContext Comparison="exact"> <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnCon textClassRef> </samlp:RequestedAuthnContext> </samlp:AuthnRequest>

  9. 2019.11.15 Red Hat Tech Night 9 => SAML Attribute Mapping

    Ansible Tower でのSAML設定

  10. 2019.11.15 Red Hat Tech Night 10 Ansible Tower でのSAML設定

  11. 2019.11.15 linkedin.com/company/red-hat youtube.com/user/RedHatVideos facebook.com/redhatinc twitter.com/RedHat Red Hat is the world’s

    leading provider of enterprise open source software solutions. Award-winning support, training, and consulting services make Red Hat a trusted adviser to the Fortune 500. Thank you 11