SAML Management (v8.4.1 to 8.4.2) (jp_SAMLの管理(v8.4.1から8.4.2))

Owned by David P (Deactivated)
Last updated: Nov 29, 2018
1 min read

SAML(Security Assertion Markup Language)は、XMLベースの書式を用いて、アイデンティティプロバイダ(IdP)とサービスプロバイダ(SP)間で、認証および権限に関するデータ交換を行います。[YK1] Checkmarxの静的解析セキュリティソリューション(CxSAST)は、現在、SAML 2.0に対応しており、SAML 2.0のサービスプロバイダとして動作するよう、構成することができるようになりました。SAMLでは、アイデンティティプロバイダ(IdP)からユーザ情報を取得し、CxSASTでユーザを定義することで、ユーザのライフサイクルをサポートします。これにより、ユーザの一元管理を一段と強化することが可能となります。

CxSASTにおけるSAMLの設定

CxSASTでSAMLの設定を行う前に、CxSASTサーバにおけるHTTPSの有効化SAML IdPの設定を行う必要があります。

CxSASTで、Management > Connection Settings > SAMLの順に選択して、SAML Configuration画面を表示します。

Enable SAMLを選択して、SAML Configuration画面を有効にしてください。

SAMLシングルサインオンのオプションは、SAMLが有効にならないと、CxSASTログイン画面で利用することができません。

Authenticationセクションにある、次のパラメータフィールドを設定してください。

パラメータ

説明

Identity
Provider Name

SAMLアイデンティティプロバイダに送信される名前(例: CxSAML)

Issuer
(Identity Provider)

SAML IdPの一意の識別子を含む要素。通常は、IdPのURLとハッシュ値で構成される。このパラメータは、アイデンティティプロバイダのセットアップ情報から取得(詳しくは、こちらを参照)

SAML Version

現在サポートされているSAMLのバージョン

Login URL

SAMLリクエストの送信先となる、アイデンティティプロバイダのログイン場所。このパラメータは、アイデンティティプロバイダのセットアップ情報から取得(詳しくは、こちらを参照)

Logout URL

ログアウトインスタンスのリダイレクト先
(例: https://checkmarx.corp.net/CxWebClient )

Error URL

エラーインスタンスのリダイレクト先
(例: https://checkmarx.corp.net/CxWebClient/ErrorPages/Default_Error.aspx )

Issuer (Audience)

デフォルトで、ローカルサーバ名がIssuerに指定される

デフォルト設定の変更は、データベースで実施
例: [CxDB].[dbo].[CxComponentConfiguration], [Key] = 'SamlServiceProviderIssuer', [Value]= '<SP Issuer>'

CxSAST
Login URL

デフォルトで、ローカルサーバ名はホスト名が指定される

デフォルト設定の変更は、データベースで実施
例: [CxDB].[dbo].[CxComponentConfiguration], [Key] = 'WebServer', [Value]= '<Host name>'

 適切なユーザ管理オプションを選択してください。

オプション

説明

Manual User Management

ユーザの作成は、SAMLアイデンティティプロバイダで管理され、権限はCxSASTのユーザ管理を使い手動で設定

  • Default Team: 新しいユーザはすべて、選択されているデフォルトのチームへ追加
  • Default Role: 新しいユーザはすべて、選択されているデフォルトのロールへ追加(ScannerまたはReviewer)
    • Scanner: 「Allow to delete Projects\Scans」にチェクを付けるとprojects\scansの削除が可能。「Allow to apply not exploitable state」にチェクを付けると、インスタンスに対してnot exploitableステータスを適用するための権限が付与
    • Reviewer: チェックボックスにチェックを付けると、検出されたインスタンスのステータスや重要度の変更が可能

デフォルトで、SAMLユーザは1つ以上のチームに所属し、ログイン時にScannerあるいはReviewerのいずれかとして定義されます。ログインしているユーザのチームやロールは手動でCxSASTから変更可能です(詳しくは、こちらを参照)。

Automatic User Authentication

SAMLアイデンティティプロバイダが管理するチームやロールは、CxSASTのログイン時に自動的に更新される。更新に関する設定は、SAML IdPでユーザ属性の作成やマッピングを行う際に定義(詳しくは、こちらを参照)

Download Metadata

メタデータファイルは、IdP管理者がトラブルシューティングを行うときや、欠如している属性を定義する際に、必要になることがある(詳しくは、こちらを参照)

メタデータを取得するには、Export Metadataをクリック。メタデータファイルは、デフォルトのダウンロード先ディレクトリに保存される(詳しくは、こちらを参照)

ダウンロードしたメタデータファイルの情報は、選択するオプション、すなわちManual User ManagementあるいはAutomatic User Authenticationによって異なります。

CxSASTにおけるSAML証明書のインポート

CxSASTが認証トークンを検証するには、CxSAST(CxManagerのインストール先)に、IdPの証明書(.cert)をインポートする必要があります。

IDP Certificateから、Choose Fileをクリックして、アイデンティティプロバイダの設定時に、デフォルトのダウンロード先ディレクトリに保存した、同じIdP証明書ファイル(.cert)を選択してください(詳しくは、こちらを参照)。

例えば、CxSASTサーバの信頼されたルート証明機関に、IdPの証明書ファイルを手動でインストールする以外に選択の余地がない場合(詳しくは、こちらを参照)。

Saveをクリックして、変更を保存してください。SAMLのセットアップに関する確認メッセージが表示されます。

設定を保存できない場合には(確認メッセージは表示されません)、ログファイル<Checkmarxマネージャのインストール先ディレクトリ>\Logs\WebAPI\WebAPI.logをチェックしてください。

CxSASTにおけるメタデータファイルのエクスポート

メタデータファイルは、IdP管理者がトラブルシューティングを行うときや、欠如している属性を定義する際に、必要になることがあります(アイデンティティプロバイダの設定については、こちらを参照)。

メタデータを取得するには、Export Metadataをクリックしてください。メタデータファイルは、デフォルトのダウンロード先ディレクトリに保存されます。

ダウンロードしたメタデータファイルの情報は、選択するオプション、すなわちManual User ManagementあるいはAutomatic User Authenticationによって異なります(CxSASTにおけるSAMLの設定については、こちらを参照)。



Read more: