IBM Security Verify BridgeでIBM Security VerifyとActivity Directoryを連携してみる
投稿者:山﨑 敦史
目次
◆はじめに
◆構成ステップ
◆動作確認
◆さいごに
◆はじめに
こんにちは。セキュリティ担当の山﨑です。
アクセス管理製品 IBM Security Verify(以下Verify)は、様々なクラウドサービスに対してシングル・サイン・オン(以下SSO)認証をすることができます。
また、Activity Directory(以下AD)のようなオンプレミスのID管理アプリケーションと連携することで、社内で使用しているアカウントを使用して様々なクラウドサービスへSSO認証することが可能となります。
今回は、 IBM Security Verifyを利用すると無償で使用することができるIBM Security Verify Bridge(以下Verify Bridge)を使用して、VerifyとオンプレミスのADを連携し、ADのアカウントでIBM Security Verifyへログインしてみたいと思います。
今回の構成は図のように、オンプレ環境にADとVerify Bridgeが存在します。
ADとは別のWindowsサーバにVerify Bridgeをインストールします。
◆構成ステップ
以下のステップ構成にします。
※【Verify】= IBM Security Verify画面で実施する手順
※【Bridge】= IBM Security Verify Bridge画面で実施する手順
※【AD】=Activity Directory画面で実施する手順
Verify Bridge側の設定は、IBM Docを参考にしました。
1.【AD】LDAP情報の取得
2.【Verify】IDエージェントの構成
3.【Bridge】IBM Security Verify Bridgeのインストールモジュールのダウンロード
4.【Bridge】IBM Security Verify Bridgeのインストール
1.【AD】LDAP情報の取得
ADをLDAP接続する際に必要な情報を取得します。
取得する情報
- LDAPホストのURI:ADのURI
- 使用ポート
- LDAP ベース DN:使用するOU
- LDAP バインド DN:AD接続ユーザー(LDAP形式)
- LDAP バインド・パスワード:AD接続ユーザーのパスワード
- LDAP 認証局証明書(オプション):TLS接続に使用する証明書
2.【Verify】IDエージェントの構成
Verifyに管理ユーザーでログインします。
「統合」>「IDエージェント」をクリックします。
「エージェント構成の作成」をクリックします。
用途の選択で「認証」を選択し、構成タイプで「LDAP」を選択します。
選択したら、「次へ」をクリックします。
各項目に、1.で取得した情報を入力します。
接続数の制限などを設定します。
今回は、全てデフォルトの設定値にしますので、何も編集しません。
「次へ」をクリックします。
ADからVerifyへ連携する属性やログイン時に使用するユーザー名属性を入力します。
ログイン時に「アカウント名@ドメイン名」を使用してログインしたいため、ユーザー名属性を「userPrincipalName」にします。
設定後に「次へ」をクリックします。
前の画面で入力した属性をVerifyの属性へ適切にマッピングするために設定します。
マッピングしたら、「次へ」をクリックします。
「エージェント名」、「アイデンティティー・プロバイダーの表示名」、「レルム」を入力します。
「保存して続行」をクリックします。
「クライアントID」と「クライアント秘密鍵」をメモして、「終了」をクリックします。
3.【Bridge】IBM Security Verify Bridgeのインストールモジュールのダウンロード
IBM X-force App Exchange
上記のIBMサイトからIBM Security Verify Bridgeのインストールモジュールのダウンロード
します。(要 IBMid)
4.【Bridge】IBM Security Verify Bridgeのインストール
Verify BridgeをインストールするWindowsサーバーへ管理ユーザーでログインします。
Verify BridgeのインストールモジュールをWindowsサーバーへ配置し、zipファイルを展開(解凍)します。
展開(解凍)したフォルダを開き、「setup_bridge.exe」を実行します。
設定言語を選択して、「次へ(N)」をクリックします。
Install Wizard画面で「次へ(N)」をクリックします。
使用許諾画面で使用許諾に同意して、「次へ(N)」をクリックします。
インストールディレクトリを選択して、「次へ(N)」をクリックします。
「インストール」をクリックします。
テナント構成画面で、必要な情報を入力します。
入力項目
- テナント:VerifyのURL
- APIクライアントID:2.で取得したクライアントID
- APIクライアント秘密鍵:2.で取得したクライアントIDの秘密鍵
「次へ(N)」をクリックします。
トレースを有効にして、「次へ(N)」をクリックします。
Install Wizardの完了画面で「完了」をクリックして、インストールを完了します。
「サービス」を起動し、Bridgeのプロセスが起動しているか確認します。
「IBM Security Verify Bridge (ibm_bridge_agent)」がBridgeのサービスです。
◆動作確認
動作確認として、ADのアカウントでVerifyへログインしてみます。
VerifyのログインURLへアクセスします。
「別の方法でサインイン」を展開し、2.で入力した「アイデンティティー・プロバイダーの表示名」をクリックします。
今回は、「VerifyBridge_AD」をクリックします。
ADのアカウントとパスワードでログインします。
今回は、「Verify 太郎」のアカウント(taro_verify@testad.co.jp)でログインしてみます。
Verifyへログインすることができました。
この後は、Verifyを経由することでクラウドサービスへSSO認証することができます。
◆さいごに
IBM Security Verify Bridgeを使用して、オンプレミスのADとクラウドサービスのVerifyを連携することができました。
Bridgeを使用することで、社内のアプリケーションとクラウドサービスのIDアカウントを一貫して既存のADで管理することができます。
また、Verifyを経由してクラウドサービスを利用することで、多要素認証やAdaptive Access(A2)を使用することもできます。クラウドサービスごとに設定することなく、同じセキュリティレベルの多要素認証を設定することができるので、クラウドサービスごとにセキュリティレベルが異なるといったこともなくなり、より強固なアクセス制御を行うことができます。
製品についてはこちらをご参照ください。
IBM Security Verify
記事及び、この製品(IBM Security Verify関連製品)に関するお問い合わせは、下記お問合せフォームよりお願いいたします。
最後までお読み頂き、ありがとうございました。
