SAML Management (v8.4.1 to 8.4.2) (jp_SAMLの管理(v8.4.1から8.4.2))
SAML(Security Assertion Markup Language)は、XMLベースの書式を用いて、アイデンティティプロバイダ(IdP)とサービスプロバイダ(SP)間で、認証および権限に関するデータ交換を行います。[YK1] Checkmarxの静的解析セキュリティソリューション(CxSAST)は、現在、SAML 2.0に対応しており、SAML 2.0のサービスプロバイダとして動作するよう、構成することができるようになりました。SAMLでは、アイデンティティプロバイダ(IdP)からユーザ情報を取得し、CxSASTでユーザを定義することで、ユーザのライフサイクルをサポートします。これにより、ユーザの一元管理を一段と強化することが可能となります。
CxSASTにおけるSAMLの設定
CxSASTでSAMLの設定を行う前に、CxSASTサーバにおけるHTTPSの有効化とSAML IdPの設定を行う必要があります。
CxSASTで、Management > Connection Settings > SAMLの順に選択して、SAML Configuration画面を表示します。
Enable SAMLを選択して、SAML Configuration画面を有効にしてください。
SAMLシングルサインオンのオプションは、SAMLが有効にならないと、CxSASTログイン画面で利用することができません。
Authenticationセクションにある、次のパラメータフィールドを設定してください。
パラメータ | 説明 |
Identity | SAMLアイデンティティプロバイダに送信される名前(例: CxSAML) |
Issuer | SAML IdPの一意の識別子を含む要素。通常は、IdPのURLとハッシュ値で構成される。このパラメータは、アイデンティティプロバイダのセットアップ情報から取得(詳しくは、こちらを参照) |
SAML Version | 現在サポートされているSAMLのバージョン |
Login URL | SAMLリクエストの送信先となる、アイデンティティプロバイダのログイン場所。このパラメータは、アイデンティティプロバイダのセットアップ情報から取得(詳しくは、こちらを参照) |
Logout URL | ログアウトインスタンスのリダイレクト先 |
Error URL | エラーインスタンスのリダイレクト先 |
Issuer (Audience) | デフォルトで、ローカルサーバ名がIssuerに指定される デフォルト設定の変更は、データベースで実施 |
CxSAST | デフォルトで、ローカルサーバ名はホスト名が指定される デフォルト設定の変更は、データベースで実施 |
適切なユーザ管理オプションを選択してください。
オプション | 説明 |
Manual User Management | ユーザの作成は、SAMLアイデンティティプロバイダで管理され、権限はCxSASTのユーザ管理を使い手動で設定
デフォルトで、SAMLユーザは1つ以上のチームに所属し、ログイン時にScannerあるいはReviewerのいずれかとして定義されます。ログインしているユーザのチームやロールは手動でCxSASTから変更可能です(詳しくは、こちらを参照)。 |
Automatic User Authentication | SAMLアイデンティティプロバイダが管理するチームやロールは、CxSASTのログイン時に自動的に更新される。更新に関する設定は、SAML IdPでユーザ属性の作成やマッピングを行う際に定義(詳しくは、こちらを参照) |
Download Metadata | メタデータファイルは、IdP管理者がトラブルシューティングを行うときや、欠如している属性を定義する際に、必要になることがある(詳しくは、こちらを参照) メタデータを取得するには、Export Metadataをクリック。メタデータファイルは、デフォルトのダウンロード先ディレクトリに保存される(詳しくは、こちらを参照) ダウンロードしたメタデータファイルの情報は、選択するオプション、すなわちManual User ManagementあるいはAutomatic User Authenticationによって異なります。 |
CxSASTにおけるSAML証明書のインポート
CxSASTが認証トークンを検証するには、CxSAST(CxManagerのインストール先)に、IdPの証明書(.cert)をインポートする必要があります。
IDP Certificateから、Choose Fileをクリックして、アイデンティティプロバイダの設定時に、デフォルトのダウンロード先ディレクトリに保存した、同じIdP証明書ファイル(.cert)を選択してください(詳しくは、こちらを参照)。
例えば、CxSASTサーバの信頼されたルート証明機関に、IdPの証明書ファイルを手動でインストールする以外に選択の余地がない場合(詳しくは、こちらを参照)。
Saveをクリックして、変更を保存してください。SAMLのセットアップに関する確認メッセージが表示されます。
設定を保存できない場合には(確認メッセージは表示されません)、ログファイル<Checkmarxマネージャのインストール先ディレクトリ>\Logs\WebAPI\WebAPI.logをチェックしてください。
CxSASTにおけるメタデータファイルのエクスポート
メタデータファイルは、IdP管理者がトラブルシューティングを行うときや、欠如している属性を定義する際に、必要になることがあります(アイデンティティプロバイダの設定については、こちらを参照)。
メタデータを取得するには、Export Metadataをクリックしてください。メタデータファイルは、デフォルトのダウンロード先ディレクトリに保存されます。
ダウンロードしたメタデータファイルの情報は、選択するオプション、すなわちManual User ManagementあるいはAutomatic User Authenticationによって異なります(CxSASTにおけるSAMLの設定については、こちらを参照)。