概要
Imperva CloudWAFでは、SSOによりCloudWAFのコンソールにログインが可能です
(現在、SAML2.0のみ対応)。
本稿では、AWSのIAM Identity Centerをアイデンティティプロバイダとし、
Identity Center内のユーザでログイン可能とする連携方法について説明します。
IdP: アイデンティティプロバイダ。本事例ではAWS。
SP: サービスプロバイダ。CloudWAFのコンソールが相当。
Idp-initiated SSO: UserからIdpにアクセスして認証を行い、SPにログインするSSO。
SP-initiated SSO: SPへのログイン試行をトリガとするSSO。UserはSPによってIdpにリダイレクトされたのち、認証を行う。
設定
Idpに設定するSPの情報は、CloudWAFでIdP情報を入力後に取得可能となります。
そのためCloudWAFでのSSO連携には、通常
①CloudWAF側の設定を行ったうえで、②Idp側の設定が必要となります。
a. 事前設定(Idp)
予めIdP側に、SSO連携でCloudWAFにログインしたいユーザおよび所属グループを
ご用意ください。
b. CloudWAF(SP)側設定
Account Adminまたは"Edit SSO settings"Permissionを含むRoleのユーザで、
Account Mangement > User Management > SSOから設定を行ってください。
IdpのEntity ID(Issuer)URL、Identity provider login URLおよびX.509証明書が必要です
(メタデータで一括入力可)。
c. AWS(Idp)側設定
Idp側では連携するアプリケーション(SP)の設定を行います。
CloudWAFのコンソールから取得したSPのメタデータ、またはURL情報を入力し、
併せて属性を設定します。
併せて属性を設定します。
なお、属性のSubject NameID(ユーザの識別子)にはEmail形式を指定する必要がございます。
また、CloudWAFに事前に登録のないユーザがSSOでログインする場合は
コンソールでjust-in-time (JIT) プロビジョニング オプションを有効にし、
Idp側に属性マッピングを追加することで、初回ログイン時に自動でSP側にユーザが作成される必要がございます。