SSO用のKeycloakでのユーザー名の編集
DAI は、ID プロバイダー (Active Directory または Entra ID) と統合することで、シングル サインオン (SSO) 認証をサポートします。既存の DAI インスタンスで SSO を有効にしている場合、DAI は既存の DAI ユーザーアカウントを ID プロバイダーのユーザーにリンクできます。ただし、このオプションは、DAI で使用するユーザー名が ID プロバイダーの user preferred names (UPN) と一致する場合にのみ機能します。
このページでは、SSOを有効にするための前提条件としてDAIのユーザー名を変更する手順について説明します。DAI での SSO 統合の詳細については、「DAI でのシングル サインオン (SSO) のしくみ」を参照してください。(dai-sso-features.md)。
以下は、DAI でユーザー名を変更する必要がある理由の例です。
-
ユーザーはDAIで好きなusernameを選択しましたが、それはIDプロバイダーのアカウントと一致しませんでした。
-
username が UPN と完全に一致しない外れ値がいくつかあります。たとえば、ユーザーの UPN が ID プロバイダーで変更されたが、ユーザー名が DAI で同じままだった場合などです。
-
DAI の username は、UPN ではなくメール アドレスに基づいています。
アプローチ
既存の DAI ユーザー名を ID プロバイダーの関連付けられた UPN にリンクするには、次の手順で説明するように、DAI の組み込みセキュリティ プロバイダー (Keycloak) でユーザー名を編集します。
潜在的なロックの問題
DAI でユーザー名を編集すると、次のシナリオでロックの問題が発生する可能性があります。これらのシナリオは、ロックの有効期間が比較的短く、ユーザーのアクティブ セッションでキャッシュされたユーザー名に依存しているため、発生する可能性は低いことに注意してください。
-
SUT/エージェントのロック - ユーザーがテストを実行すると、DAI はエージェントと SUT を使用してテストを実行する前にロックし、テストの完了時に解放します。テストの実行中にユーザー名でロックの問題が発生する可能性があります。
-
VAMアセットのロック - ユーザーがDAI内部ストレージにスイートの改訂版をアップロードしたり、DAI内部ストレージからスイートを削除したりする場合、DAIはそのユーザーのユーザー名を使用してそれらのロックを取得および解除します。
注意を怠らないように、ユーザーがDAIをアクティブに使用している間は、ユーザー名を更新しないことをお勧めします。
ステップ
-
システム管理者の資格情報を使用して、Keycloak管理コンソール
https://{dai_domain}/auth/admin/master/consoleにログインします。 -
画面の左上にあるレルム選択ドロップダウンからeggplantレルムを選択します。
-
左側のナビゲーションメニューからRealm Settings を選択し、Login タブを選択します。
-
このページの下部にある Edit usernameをOnに設定して有効にします。デフォルトでは無効になっています(Offに設定)。
-
こKeycloak admin console の左側のナビゲーション メニューで Users に移動し、変更するユーザーのユーザー名を修正します。
ユーザーの変換が完了したら、Edit username を無効にすることが重要です。Keysightは、このタスクを実行してユーザを変換する場合を除き、Edit usernameを有効にしたDAIインストールをサポートしていません。