Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
RHTN - 5分でわかるAnsible TowerのSSO
Search
hiyokotaisa
November 15, 2019
Technology
0
240
RHTN - 5分でわかるAnsible TowerのSSO
「第3回 Red Hat Tech Night 2019.11.15」で発表したスライドです
hiyokotaisa
November 15, 2019
Tweet
Share
More Decks by hiyokotaisa
See All by hiyokotaisa
JTF2020 C1: テクニカルサポートエンジニアという働き方
hiyokotaisa
2
15k
Interact 2019 -OP01: ひよこでもわかるAnsible AnsibleによるAzure構成管理
hiyokotaisa
3
2.8k
RHTN: Ansible 2.8 x Windows
hiyokotaisa
1
3.9k
Twitter転職でなってみたグローバルサポートエンジニア
hiyokotaisa
1
2.1k
インフラ勉強会にみるコミュニティへの「貢献」
hiyokotaisa
2
2.9k
Red Hat Tech Night 2018: Ansible x Network Ansibleで実践するネットワーク自動化
hiyokotaisa
1
1.3k
AnsibleではじめるWindows自動化
hiyokotaisa
7
6.4k
Other Decks in Technology
See All in Technology
終了の危機にあった15年続くWebサービスを全力で存続させる - phpcon2024
yositosi
16
13k
【re:Invent 2024 アプデ】 Prompt Routing の紹介
champ
0
150
普通のエンジニアがLaravelコアチームメンバーになるまで
avosalmon
0
100
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
160
KubeCon NA 2024 Recap: How to Move from Ingress to Gateway API with Minimal Hassle
ysakotch
0
200
ゼロから創る横断SREチーム 挑戦と進化の軌跡
rvirus0817
2
270
TSKaigi 2024 の登壇から広がったコミュニティ活動について
tsukuha
0
160
PHPerのための計算量入門/Complexity101 for PHPer
hanhan1978
5
150
ブラックフライデーで購入したPixel9で、Gemini Nanoを動かしてみた
marchin1989
1
540
Turing × atmaCup #18 - 1st Place Solution
hakubishin3
0
490
1等無人航空機操縦士一発試験 合格までの道のり ドローンミートアップ@大阪 2024/12/18
excdinc
0
160
マイクロサービスにおける容易なトランザクション管理に向けて
scalar
0
130
Featured
See All Featured
Gamification - CAS2011
davidbonilla
80
5.1k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
810
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.5k
The Pragmatic Product Professional
lauravandoore
32
6.3k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
26
1.9k
Side Projects
sachag
452
42k
The Cult of Friendly URLs
andyhume
78
6.1k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Faster Mobile Websites
deanohume
305
30k
Designing Experiences People Love
moore
138
23k
Transcript
2019.11.15 SAMLを理解してシングルサインオンを活用しよう 5分でわかる Ansible Tower の SSO 八木澤 健人 (@
hiyoko_taisa) Technical Support Engineer 1
2019.11.15 Red Hat Tech Night Ansible Towerのユーザーの種類 2 内部ユーザー ▸
Local 外部ユーザー ▸ LDAP/LDAPS ▸ SAML ▸ OAuth … AD DS / IPA Server … Onelogin / AD FS … Azure AD / Google / GitHub
2019.11.15 Red Hat Tech Night Ansible Towerのユーザーの種類 3 内部ユーザー ▸
Local 外部ユーザー ▸ LDAP/LDAPS ▸ SAML ▸ OAuth … AD DS / IPA Server … Onelogin / AD FS … Azure AD / Google / GitHub
2019.11.15 Red Hat Tech Night 4 ▸ 異なるインターネットドメイン間でユーザーの認証情報をやりとりするた めの規格 ▸
標準化団体「OASIS」により標準化 ▸ Ansible Tower では、AD FSやOneloginといったサービス(IdP)を利用し てSSOを実現するために利用 SAMLとは?
2019.11.15 Red Hat Tech Night 5 ▸ 個別にユーザーを作成する必要がない ▸ LDAPと異なり、ドメインに属さないユーザーでも利用できる
▸ ユーザーの所属するチームや定義されている要素に応じて、Tower内の TeamやOrganizationにシームレスに所属させることができる = SAML Attribute Mapping Ansible Tower でSSOを利用するメリット
2019.11.15 Red Hat Tech Night 6 Attribute Mappingとは <saml:AttributeStatement> (中略)
FriendlyName="eduPersonAffiliation"> <saml:AttributeValue xsi:type="xs:string">member</saml:AttributeValue> <saml:AttributeValue xsi:type="xs:string">staff</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> { "saml_attr": "eduPersonAffiliation", "remove": true, "team_org_map": [ { "team": "member", "organization": "Default1" }, { "team": "staff", "organization": "Default2" } ] } IdP側から送られてくるAttribute Tower側のAttribute Mapping
2019.11.15 Red Hat Tech Night 7 TowerにおけるSSOの動き ユーザー ADFS /
Onelogin Identity Provider (IdP) 1. SPにログイン要求 Service Provider (SP) 2. IdPに認証要求メッセージを 付与しリダイレクト 3. リダイレクトされたIdPで認証 4. 認証したユーザーの属性情報など の情報(Assertion)を付与し SPにリダイレクト 5. IdPで付与された 認証応答メッセージを SPに送信 <saml2p:AuthnRequest> <saml2p:Response> ※ SP-Initiated
2019.11.15 Red Hat Tech Night 8 認証要求メッセージ (AuthnRequest) の中身 <samlp:AuthnRequest
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="ONELOGIN_f3bfff4946bab4d44ffcc92981f70ded63a7d88c" Version="2.0" ProviderName="Example" IssueInstant="2019-11-14T17:56:47Z" Destination="https://example.onelogin.com/trust/saml2/http-post/sso/123456" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" AssertionConsumerServiceURL="https://xx.xxx.xx.xxx/sso/complete/saml/"> <saml:Issuer>https://hiyoko-test.ap-northeast-1.compute.amazonaws.com/</saml:Issuer> <samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" /> <samlp:RequestedAuthnContext Comparison="exact"> <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnCon textClassRef> </samlp:RequestedAuthnContext> </samlp:AuthnRequest>
2019.11.15 Red Hat Tech Night 9 => SAML Attribute Mapping
Ansible Tower でのSAML設定
2019.11.15 Red Hat Tech Night 10 Ansible Tower でのSAML設定
2019.11.15 linkedin.com/company/red-hat youtube.com/user/RedHatVideos facebook.com/redhatinc twitter.com/RedHat Red Hat is the world’s
leading provider of enterprise open source software solutions. Award-winning support, training, and consulting services make Red Hat a trusted adviser to the Fortune 500. Thank you 11