Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
RHTN - 5分でわかるAnsible TowerのSSO
Search
hiyokotaisa
November 15, 2019
Technology
0
240
RHTN - 5分でわかるAnsible TowerのSSO
「第3回 Red Hat Tech Night 2019.11.15」で発表したスライドです
hiyokotaisa
November 15, 2019
Tweet
Share
More Decks by hiyokotaisa
See All by hiyokotaisa
JTF2020 C1: テクニカルサポートエンジニアという働き方
hiyokotaisa
2
15k
Interact 2019 -OP01: ひよこでもわかるAnsible AnsibleによるAzure構成管理
hiyokotaisa
3
2.7k
RHTN: Ansible 2.8 x Windows
hiyokotaisa
1
3.8k
Twitter転職でなってみたグローバルサポートエンジニア
hiyokotaisa
1
2.1k
インフラ勉強会にみるコミュニティへの「貢献」
hiyokotaisa
2
2.9k
Red Hat Tech Night 2018: Ansible x Network Ansibleで実践するネットワーク自動化
hiyokotaisa
1
1.3k
AnsibleではじめるWindows自動化
hiyokotaisa
7
6.4k
Other Decks in Technology
See All in Technology
Platform Engineering for Software Developers and Architects
syntasso
1
520
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
600
TypeScript、上達の瞬間
sadnessojisan
46
13k
Taming you application's environments
salaboy
0
190
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
いざ、BSC討伐の旅
nikinusu
2
780
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
370
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
Featured
See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Visualization
eitanlees
145
15k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
28
2k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Ruby is Unlike a Banana
tanoku
97
11k
What's new in Ruby 2.0
geeforr
343
31k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
A Tale of Four Properties
chriscoyier
156
23k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Fireside Chat
paigeccino
34
3k
Transcript
2019.11.15 SAMLを理解してシングルサインオンを活用しよう 5分でわかる Ansible Tower の SSO 八木澤 健人 (@
hiyoko_taisa) Technical Support Engineer 1
2019.11.15 Red Hat Tech Night Ansible Towerのユーザーの種類 2 内部ユーザー ▸
Local 外部ユーザー ▸ LDAP/LDAPS ▸ SAML ▸ OAuth … AD DS / IPA Server … Onelogin / AD FS … Azure AD / Google / GitHub
2019.11.15 Red Hat Tech Night Ansible Towerのユーザーの種類 3 内部ユーザー ▸
Local 外部ユーザー ▸ LDAP/LDAPS ▸ SAML ▸ OAuth … AD DS / IPA Server … Onelogin / AD FS … Azure AD / Google / GitHub
2019.11.15 Red Hat Tech Night 4 ▸ 異なるインターネットドメイン間でユーザーの認証情報をやりとりするた めの規格 ▸
標準化団体「OASIS」により標準化 ▸ Ansible Tower では、AD FSやOneloginといったサービス(IdP)を利用し てSSOを実現するために利用 SAMLとは?
2019.11.15 Red Hat Tech Night 5 ▸ 個別にユーザーを作成する必要がない ▸ LDAPと異なり、ドメインに属さないユーザーでも利用できる
▸ ユーザーの所属するチームや定義されている要素に応じて、Tower内の TeamやOrganizationにシームレスに所属させることができる = SAML Attribute Mapping Ansible Tower でSSOを利用するメリット
2019.11.15 Red Hat Tech Night 6 Attribute Mappingとは <saml:AttributeStatement> (中略)
FriendlyName="eduPersonAffiliation"> <saml:AttributeValue xsi:type="xs:string">member</saml:AttributeValue> <saml:AttributeValue xsi:type="xs:string">staff</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> { "saml_attr": "eduPersonAffiliation", "remove": true, "team_org_map": [ { "team": "member", "organization": "Default1" }, { "team": "staff", "organization": "Default2" } ] } IdP側から送られてくるAttribute Tower側のAttribute Mapping
2019.11.15 Red Hat Tech Night 7 TowerにおけるSSOの動き ユーザー ADFS /
Onelogin Identity Provider (IdP) 1. SPにログイン要求 Service Provider (SP) 2. IdPに認証要求メッセージを 付与しリダイレクト 3. リダイレクトされたIdPで認証 4. 認証したユーザーの属性情報など の情報(Assertion)を付与し SPにリダイレクト 5. IdPで付与された 認証応答メッセージを SPに送信 <saml2p:AuthnRequest> <saml2p:Response> ※ SP-Initiated
2019.11.15 Red Hat Tech Night 8 認証要求メッセージ (AuthnRequest) の中身 <samlp:AuthnRequest
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="ONELOGIN_f3bfff4946bab4d44ffcc92981f70ded63a7d88c" Version="2.0" ProviderName="Example" IssueInstant="2019-11-14T17:56:47Z" Destination="https://example.onelogin.com/trust/saml2/http-post/sso/123456" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" AssertionConsumerServiceURL="https://xx.xxx.xx.xxx/sso/complete/saml/"> <saml:Issuer>https://hiyoko-test.ap-northeast-1.compute.amazonaws.com/</saml:Issuer> <samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" /> <samlp:RequestedAuthnContext Comparison="exact"> <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnCon textClassRef> </samlp:RequestedAuthnContext> </samlp:AuthnRequest>
2019.11.15 Red Hat Tech Night 9 => SAML Attribute Mapping
Ansible Tower でのSAML設定
2019.11.15 Red Hat Tech Night 10 Ansible Tower でのSAML設定
2019.11.15 linkedin.com/company/red-hat youtube.com/user/RedHatVideos facebook.com/redhatinc twitter.com/RedHat Red Hat is the world’s
leading provider of enterprise open source software solutions. Award-winning support, training, and consulting services make Red Hat a trusted adviser to the Fortune 500. Thank you 11