OpenAM との連携

OpenAM との連携機能について説明します。

SAML 連携

UCIDM では OpenAM と SAML 連携をすることができます。この際、UCIDM は SAML SP、OpenAM は SAML IdP として動作します。

OpenAM を SAML IdP として構築した際、UCIDM を SAML SP として設定する手順は以下になります。

  • OpenAM の SAML IdP の設定を行います。OpenAM の SAML 設定については OpenAM のドキュメントをご参照ください。
  • UCIDM の SAML SP の設定を行います。設定については UCIDM API のページをご参照ください。
    • OpenAM の SAML IdP メタデータを UCIDM SAML SP の設定にて指定する必要があります。
  • UCIDM の SAML SP メタデータを OpenAM にリモートサービスプロバイダーとして登録します。
    • UCIDM の SAML SP メタデータは以下 URL にアクセスすることで取得可能です。
      • <プロトコル>://<ユーザープロファイル画面の HOST >:< PORT >/ui/user/api/saml/metadata
  • OpenAM の UCIDM SAML SP 設定画面の「NameID 値マップ」で以下を設定します。
    • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent=<UCIDM のユーザーの一意な識別子の値>
    • 例として uid の値を連携したい場合は以下のようになります。
      • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent=uid

ステータス属性の設定

UCIDM ではユーザーの有効/無効のステータスでログイン可否などを制御する機能があります。

UCIDM のユーザーの有効/無効の判定設定はユーザープロファイルのユーザーステータス設定画面で行うことができます。

OpenAM ではデフォルトで UCIDM とは別の属性が有効/無効の判定として使われる設定になっています。

UCIDM でのユーザーの有効/無効と OpenAM でのユーザーの有効/無効設定を統一したい場合は、UCIDM または OpenAM においてステータスの設定を行う必要があります。

以下は UCIDM にて OpenAM にて利用される inetUserStatus の属性の値(Active/Inactive)をそのまま UCIDM の有効/無効の設定として使うユーザーステータス設定例となります。

  • ステータス機能を有効にする:on
  • ステータス属性名:inetUserStatus
  • ステータス属性のスクリプトを利用する:on
  • スクリプト:以下を設定
function view(values) {
  return values[0] === "Active";
}

function modify(values, enabled) {
  return [enabled ? "Active" : "Inactive"];
}

デバイス管理設定

TOTP デバイス情報の管理

UCIDM では OpenAM のログインで利用される TOTP デバイス情報を閲覧、削除することができます。TOTP デバイスの登録は OpenAM の画面にて行う必要があります。

TOTP の操作を許可するためには、ユーザープロファイル(管理者用)の属性権限設定詳細画面で oathDeviceProfiles 属性に参照と編集と削除権限が許可されている必要があります。

TOTP デバイス管理画面は PUBLIC_TOTP_REGISTER_URL において URL を指定している場合のみ表示されます。

デバイス設定画面の登録ボタンを押下すると、上記 PUBLIC_TOTP_REGISTER_URL で指定した URL に遷移します。この URL には OpenAM の TOTP デバイス登録 URL を指定してください。

Passkey デバイス情報の管理

UCIDM では OpenAM のログインで利用される Passkey デバイス情報を閲覧、削除することができます。Passkey デバイスの登録は OpenAM の画面にて行う必要があります。

Passkey の操作を許可するためには、ユーザープロファイル(管理者用)の属性権限設定詳細で fido2Credential 属性に参照と編集と削除権限が許可されている必要があります。

Passkey デバイス管理画面は PUBLIC_PASSKEY_REGISTER_URL において URL を指定している場合のみ表示されます。

デバイス設定画面の登録ボタンを押下すると、上記 PUBLIC_PASSKEY_REGISTER_URL で指定した URL に遷移します。この URL には OpenAM の Passkey デバイス登録 URL を指定してください。

認証用 LDAP のパスワードを忘れた場合の対応

OpenAM 認証用 LDAP のパスワードを忘れてしまった際のパスワードリセットは UCIDM のユーザープロファイルにて行うことができます。OpenAM のログイン画面に、UCIDM のパスワードリセット用の URL へのリンクを用意しておきたい場合は、以下 URL をリンクとして指定してください。OpenAM のログイン画面のカスタマイズ方法については OpenAM のドキュメントをご参照ください。

  • <プロトコル>://<ユーザープロファイル画面の HOST >:< PORT >/ui/user/unknownpassword