シングル サインオン(SSO)のセットアップ

SAML 2.0 に準拠しているアイデンティティ プロバイダ(IdP)を使用する CA Agile Central On-Demand のお客様は、CA Agile Central のサブスクリプションがシングル サインオン(SSO)で CA Agile Central にログインするように設定することができます。安全なインターネット SSO のキーとなるのは、Web ブラウザです。ブラウザはユーザの SAML 2.0 に準拠しているアイデンティティ プロバイダと通信し、ユーザの認証情報を検証し、SAML アサーションを作成して、そのアサーションを CA Agile Central に送信します。

注: CA Agile Central 作業アイテム コネクタと CA Agile Central SCM コネクタはこの機能をサポートしていません。ただし、これらのコネクタは SSO 例外モードで使用することができます(「高度なセキュリティと管理の使用」ページの「例外付きの SSO」を参照)。

仕組み

  1. まず、セットアップ プロセス中にアイデンティティ プロバイダによって作成された URL を使用して CA Agile Central にアクセスし、アイデンティティ管理システムにログインします。
  2. お使いのブラウザに、SAML トークンが提供されます。
  3. SAML トークンは、CA Agile Central の Ping フェデレーション サーバに送信されます。
  4. ユーザが、選択されたサブスクリプションに対して有効な CA Agile Central ユーザである場合、認証トークンが Web ブラウザに送り返されます。
  5. ブラウザが、CA Agile Central に認証トークンを送信します。認証トークンは受諾され、ユーザが対応するサブスクリプションに許可されます。

セットアップ

SSO をセットアップするには、会社に SAML 2.0 に準拠しているアイデンティティ管理システム(CA SiteMinder、Ping Connect、Oracle Access Manager (COREid)、または Tivoli Access Manager など)、およびそれを実行する技術者(通常は IT 管理者)が必要です。アイデンティティ管理システムの管理者は、アイデンティティ管理システムへのログインおよび設定が行える必要があります。テスト目的で、この人物に対して CA Agile Central への一時的なアクセス権を付与することも検討してください。

アイデンティティ管理システムがセットアップされていない場合は、CA SiteMinder をご検討ください。。また、Ping Identity および Symplified は両方とも CA Agile Central パートナーであり、SSO の実装に関する専門知識を備えています。

注: このサービスは、アクティブな実稼働サブスクリプションを持っているお客様のみ利用可能です。無料、サンドボックス、およびトライアルのサブスクリプションではこのサービスを受けることはできません。
  1. 新しいケースを開くには、サポートに問い合わせます。CA Agile Central サポートは、アイデンティティ管理システムの管理者と共同で作業します。
  2. CA Agile Central サポートは、CA Agile Central サービス プロバイダの metadata.xml ファイルを送信します。これには、当社がサポートしているプロトコルを持つ SSO サーバ、および公開署名鍵などの情報が含まれます。この metadata.xml は、SAML 2.0 標準の一部です。
  3. CA Agile Central の metadata.xml を入力値として使用して、ソフトウェア内でアイデンティティ プロバイダ(IdP)を CA Agile Central サービス プロバイダ接続に設定します。
  4. お使いのアイデンティティ プロバイダ(IdP)が SP で始まる SSO セッションを許可するように設定されていることを確認します。
  5. 埋め込まれた公開鍵証明書と IdP metadata.xml ファイルをエクスポートします。このファイルには、SSO サーバ、サポートされているプロトコル、公開鍵など、自分の情報が含まれます。
    • SAML_SUBJECT は自分の CA Agile Central ID の形式である必要があります。例: お客様の名前>@ドメイン>。CA Agile Central はユーザの代わりにこれを変更することはできません。テスト目的で、CA Agile Central サブスクリプション管理者に、IT 管理者を CA Agile Central サブスクリプションに追加してもらうこともできます。
    • マッピングを達成できない場合、これを動作させる前に、CA Agile Central ユーザ ID を SAML_SUBJECT によって提示される形式に一致するように変更する必要があります。
  6. CA Agile Central の製品内の[サポート]リンクから、CA Agile Central サポートにこのファイルを安全に転送します。両者が SSL をサポートしている場合、これは電子メールで行うこともできます。
  7. CA Agile Central サポートは、CA Agile Central 運営部門にこのファイルを提供します。CA Agile Central 運営部門は、この特定の接続に対して当社の SSO ソフトウェアをセットアップします。また、当社は、正しいサブスクリプション ID が接続にマッピングされていること、およびそのサブスクリプションに対して SSO が有効にされることを確実にします。
  8. IdP エンドポイントを介してログインできることを確認します。
  9. 他のユーザが SSO を介して CA Agile Central にログインできるように、他のユーザにリダイレクト URL を提供します。

Active Directory フェデレーション サービス(ADFS) SSO のセットアップ

  1. AD FS 2.0 管理アプリケーションを開きます。
  2. 左のメニュー内の[信頼関係]を展開し、[Relying Party Trusts]を選択します。
  3. [アクション]メニューから、[Add Relying Party Trust]を選択します。
  4. [開始]を選択してウィザードを開始します。
  5. オプション[ファイルから依存しているパーティに関するデータをインポート]を選択します。
  6. システム上で CA Agile Central の metadata.xml ファイルを検索し、[開く]を選択して、ウィザード画面で[次へ]を選択します。
  7. 表示名を入力し、[次へ]を選択します。
  8. 組織の認証ルールを選択します。通常、ほとんどの環境では[すべてのユーザを許可]オプションを使用します。
  9. [次へ]を選択し、[閉じる]を選択します。
  10. [ウィザードを閉じるときにこの依存しているパーティ信頼に関する編集要求ルール ダイアログを開く]フィールドが選択されていることを確認し、[閉じる]を選択します。
  11. [編集要求ルール]ウィンドウで、[ルールの追加]を選択します。
  12. 要求ルール テンプレートを選択し、[次へ]を選択します。
  13. 要求ルールの名前を追加し、必要な属性を選択し、属性を変更します。

    * この例では、Active Directory 属性と、送信用要求のマップ LDAP プロパティ。LDAP 属性は、電子メール アドレスです。送信用要求タイプは名前 ID に設定されます(会社の IdP 設定によっては、名前 ID ではない別のオプションを選択することをお勧めします)。

  14. [終了]を選択します。
  15. [閉じる]を選択します。
  16. ブラウザから metadata.xml ファイルをエクスポートして、SSO インスタンスのセットアップに関するケースを通して CA Agile Central サポートに提供することができます。それにより、CA Agile Central の運営部門はこれを実装してセットアップを完了することができます。URL https:///FederationMetadata/2007-06/FederationMetadata.xml で ADFS メタデータを保存できます。ここで、 はサーバ名または IP アドレスです。これが完了すると CA Agile Central サポートは、SSO URL を確認し、ユーザが正常にログインできるようにします。

 

注:
  • CA Agile Central のログイン ID ([email protected])の名前の部分は、アイデンティティ管理システムで使用するログイン ID と同じである必要があります。これらのログイン ID が異なる場合、そのユーザに対して SSO は機能せず、CA Agile Central のログイン ID を一致するように更新する必要が生じます。
    • アイデンティティ管理ユーザ名を「peter」の形式で使用している場合、多くの IdP システムで @company.com の部分の連結が許可されます。これにより、IdP ユーザ名が「[email protected]」形式に一致するようになります。
  • IdP システム内でユーザを無効にしても、それらのユーザの CA Agile Central でのセッションをすぐに終了することはありません。ログインしているユーザは、CA Agile Central をログアウトするとき、セッションがタイムアウトするとき、またはサブスクリプション管理者によって CA Agile Central でのアカウントが無効化されるときまでアクセス権を持ち続けます。
  • アイデンティティ プロバイダは、信頼性の高い時間ソースにクロックを同期する必要があります。そうしない場合、生成するトークンは無効になり、SSO が失敗します。
  • CA Agile Central On-Premises サブスクリプションに対する SSO は、LDAP (非 SSO)ソリューションとして使用できます。詳細については CA Agile Central サポートにお問い合わせください。

 

よくある質問

  1. 公開鍵証明書を所持するのは誰ですか(Ping Identity のようなサード パーティの情報センターはありますか)、または、CA Agile Central は証明書サーバを提供していますか。
    オンデマンド ユーザの場合、CA Agile Central には Ping フェデレーション サーバがインストールされており、そのサーバがアイデンティティ管理システムの公開鍵のコピーを所持しています。これにより、秘密証明書を格納することなく、トークンを検証することができます。2 つ以上のサブスクリプション ID がある場合は、SSO で認証したい各 CA Agile Central サブスクリプションに対して異なるサービス プロバイダ接続を作成する必要が生じます。

  2. 独自の証明書サーバを使用することはできますか。
    はい、ファイアウォールが適用されている状態で任意の SAML 2.0 に準拠しているアイデンティティ管理システムを使用して、当社の Ping フェデレーション サーバと通信することができます。この証明書は、上記で要求されている形式で用意する必要があります。

  3. これは、認証用です。許可も行っていますか、または行う予定はありますか。
    いいえ、許可を行う予定はありません。

  4. 気付いておく必要のある課題にはどんなものがありますか。
    SSO は、両方の側でいくらか設定時間が必要です。アイデンティティ管理システムは通常、CA Agile Central が常に共同で作業するわけではない IT 部門によって管理されています。新しいサービス プロバイダの接続と、CA Agile Central が SSO を有効にする必要のある公開鍵 XML メタデータ ファイルを作成できる、IT 部門内の連絡先を特定するのに時間がかかる場合があります。CA Agile Central サポートとのコールをセットアップする前にこの人物を特定しておいてください。

  5. 導入のベスト プラクティスはありますか。たとえば、小さなグループおよび規模で開始するとか、とりあえずやってみるとか。
    既存のお客様については、SSO と CA Agile Central 認証の両方を可能にするハイブリッド モードがあります。設定時にこのモードを使用し、すべてのユーザが SSO を使用してログインできるようになった後にのみ、SSO のみの認証に切り替えることをお勧めしています。SSO のみの認証に切り替えると、ユーザは企業のファイアウォールが適用された状態でのみ CA Agile Central にログインすることができるということに注意してください。ユーザが自宅で(またはファイアウォールが適用されていない任意の Web 環境から) CA Agile Central にログインできるようにしたい場合は、CA Agile Central 接続をハイブリッド モードにセットアップする必要があります。

  6. ユーザが自分のパスワードを忘れた場合、どうなりますか。
    その答えは、サブスクリプションがどのような SSO に対して設定されているかによります。
    1. SSO のみのモードを使用しているサブスクリプションでは、CA Agile Central はパスワード レポジトリに対してアクセス権を持たないため、内部の IT 部門と共にリセットする必要が生じます。
    2. SSO ハイブリッド モードを使用しているサブスクリプションでは、CA Agile Central のパスワードをリセットすることも(SSO トークンはまだ機能しません)、SSO パスワードを内部でリセットすることも(CA Agile Central のパスワードはまだ機能しません)できます。

  7. 現在、ユーザは自分のパスワードがまもなく期限切れになることを警告するパスワード有効期限の通知電子メールを受信します。SSO のみ(例外付き)モードに切り替えるとそれらは廃止されますか。
    はい、これらは例外リストにないユーザに対して廃止されます。

  8. SSO のみ(例外付き)モードに切り替えた後、SSO のみのユーザはプロファイル ページのパスワード変更に移動することができますか、または、そのセクションはもう表示されませんか。
    これはもうプロファイル ページに表示されません。

  9. SSO のみのユーザが CA Agile Central ログイン ページに移動して[パスワードを忘れた場合]を選択するとどうなりますか。
    CA Agile Central のシステムによって、サブスクリプションの SSO 情報と共にリンクが送信されます。

  10. 統合およびアプリケーションを使用できますか。
    現在、統合は、SAML ベースの認証をサポートしていません。アイデンティティ プロバイダから SAML トークンを取得できる統合を書くことは可能ですが、まだ誰もこれをやっていません。統合または Web サービス API を使用しているお客様は、SSO (例外付き)モードまたは API キーを使用することをお勧めします。ブラウザのカスタム CA Agile Central アプリケーションを経由する Web サービス API の使用は、ログインのプロセスの一部として cookie を取得できるため、サポートされています。

  11. 正常に動作させるにはどのくらい時間がかかりますか。
    IT 部門内の適切な連絡先を特定していただいた後、SSO の実行まで数日かかります。

  12. CA Agile Central の SSO はすべての CA Agile Central エディションで利用可能ですか。また、追加のコストはかかりますか。
    SSO は、追加のコストなしで Unlimited Edition サブスクリプションに含まれています。Enterprise Edition を使用している場合は、CA Agile Central のアカウント マネージャに連絡し、Unlimited Edition へのアップグレードを検討してください。

  13. これをサンドボックスでテストすることはできますか。
    SSO は、sandbox.rallydev.com では使用できません。実稼働でのハイブリッド モードで、サブスクリプション内の他のユーザに干渉することなく安全にテストすることができます。

  14. ユーザの SSO アカウントを無効にした場合は、そのユーザはすぐに CA Agile Central からログアウトされますか。
    いいえ。SSO アカウントが無効にされたときにそのユーザが CA Agile Central にログインしている場合、ログアウトするまで、またはセッションがタイムアウトして再認証を要求されるまでは CA Agile Central にアクセスできます。

  15. ADFS からメタデータ ファイルをエクスポートするにはどうすればよいですか。
    一般的に、ADFS メタデータは以下にあります: https:///FederationMetadata/2007-06/FederationMetadata.xml。ここで、 はサーバ名または IP アドレスです。ファイルは保存できます。

  16. アイデンティティ プロバイダ(IdP)を使用しない場合も SSO を有効にすることはできますか。
    できる可能性があります。アカウント担当者に連絡し、ディスカバリ プロセスを開始するために当社のテクニカル サービス チームを手配するように依頼してください。

  17. メタデータ ファイルの例はどのようなものですか。
    0jMS2Redw9hkax3mk0gs0zvN92A=
        A8AoyWPlgCZ4vhqDkDylu530TFiv1+374ekc8xzOKMUsn2B2H4IbVfrqou4SdIRK/WU52lkkItc6
        CbznJokbWZSoxfpEe9aAuLMJn4cS6Ln1qDCw0X3BXCPQ6+H16Yy3ZTYq5gSHo18GEOqe9iW9872k
        RfPgcVNAuqszdxTY5BkX7v5g9Grc8ALNYYVWssMaXJUNdm/oiq//WYAZxxFXa7f3kEY2ltQKaaQv
        3n/SLWzDAdBl1NNBaRC4a1QyrInec019AjpoQ2W+h4FER121xUlGyx0AX+M0ZEmY3+7PuusC6sWS
        af1jdUid9E2jNxTJJwvmqSPOKBKIXAnM1okrJA==
        
        MIIDPjCCAiagAwIBAgIGAS2WHAUZMA0GCSqGSIb3DQEBBQUAMGAxCzAJBgNVBAYTAlVTMQswCQYD
        VQQIEwJDTzEQMA4GA1UEBxMHQm91bGRlcjEXMBUGA1UEChMOUmFsbHkgU29mdHdhcmUxGTAXBgNV
        BAMTEHNzby5yYWxseWRldi5jb20wHhcNMTEwMTE3MjIzMjU0WhcNMzgwNjA0MjEzMjU0WjBgMQsw
        CQYDVQQGEwJVUzELMAkGA1UECBMCQ08xEDAOBgNVBAcTB0JvdWxkZXIxFzAVBgNVBAoTDlJhbGx5
        IFNvZnR3YXJlMRkwFwYDVQQDExBzc28ucmFsbHlkZXYuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOC
        AQ8AMIIBCgKCAQEAlfegSpv/FnbkyoZshy3pm5zghS/losCo026l1Li2MO4ZVuWncbaXduMmg36F
        1qFJGxS3OYepXdhgQaLrfk1WqqILwM++xuGLCoeaKfsnXXuDVa2AtzQwBk7TyMCWFyVw1+AOT9wX
        /cX1Pd77nenQ9rq5Cc51PxfciEtD/r0M9XtVv3R2shOH4yKAslRGbEpoepENsy+vSid/vprlEqXL
        c+jQ59WbXffl1qZDf9xB7CeQhdefeklsEzXIpVvYeyYV+J0D7V0GvJRchokEb3IQYRUIefElrAGi
        7f5HEU8rat7bReHzLgzN80OS6UzS0affQZ+LUwXeRN0ACPYspe+72QIDAQABMA0GCSqGSIb3DQEB
        BQUAA4IBAQCUPiGKwasTqvkQxEsqFDFL4FWVJUii6Io5Jh+aBbHhUKqZ7Z6CrnXFVFmQa9avrAmd
        yzE6kkPDWUioYVoENrM2nxjGpsqic7f/uw23cctl2OJxmqLdHUPEapf77VRsiGXQvcnrfevo2Iw7
        6RKho9QLIEU3kOAcM/cZnUxxaK0H3yLsCjuUptiLWqUvqYKuyMheHd4gsZl7t6yGtM0oEyTs8xLS
        smYrHIvQyyXWdJxQar3+lWg9K8qJbxQdbcp4E5ipafKluPmXuG09wujIDgIpyLeu/ALCKiOCvRlp
        BH9qLawXx7oGN4skw4SoQTI8dnZ+mrP6qADWOT79cIc0OHvM
            
        lfegSpv/FnbkyoZshy3pm5zghS/losCo026l1Li2MO4ZVuWncbaXduMmg36F1qFJGxS3OYepXdhg
        QaLrfk1WqqILwM++xuGLCoeaKfsnXXuDVa2AtzQwBk7TyMCWFyVw1+AOT9wX/cX1Pd77nenQ9rq5
        Cc51PxfciEtD/r0M9XtVv3R2shOH4yKAslRGbEpoepENsy+vSid/vprlEqXLc+jQ59WbXffl1qZD
        f9xB7CeQhdefeklsEzXIpVvYeyYV+J0D7V0GvJRchokEb3IQYRUIefElrAGi7f5HEU8rat7bReHz
        LgzN80OS6UzS0affQZ+LUwXeRN0ACPYspe+72Q==
              AQABCA Agile Central Software Development Corp.OperationsTeam[email protected]303-565-2800

フィードバック

ヘルプをお求めですか?CA Agile Central コミュニティは、セルフサービスとサポートのワンストップ ショップです。CA Agile Central サポートにフィードバックを送信したり、答を見つけたり、他のユーザとのコラボレーションには CA Agile Central コミュニティ にご参加ください。