DAI から SSO 認証を削除する
このページでは、DAI インストールからシングル サインオン (SSO) 認証を削除する方法について説明します。このプロセスにより、DAI は、ユーザー認証に組み込みの ID およびアクセス管理プロバイダーである Keycloak を使用するスタンドアロン システムに戻ります。
DAI/Keycloakからシングルサインオン(SSO)認証を削除するには、設定時に使用したのと同じ identity_provider プロシージャ(Windowsコマンドラインプロセス)を実行します。設定プロセスの詳細については、DAIでEntra IDとSAML v2を使用してSSOを有効にするまたはDAIでEntra IDとOIDCを使用してSSOを有効にするをご覧ください。
このプロセスでは、ID プロバイダー (Entra ID) から何も削除されません。SSO を完全に削除する場合は、ID プロバイダーから対応する構成も削除する必要があります。
前提条件
| 要件 | 説明 |
|---|---|
| アイデンティティプロバイダエイリアス | KeycloakのIdentity Providerのエイリアスが必要です。これは、Keycloak Admin Consoleで、作成したIdentity Providerの詳細を表示し、エイリアスフィールドの値をコピーすることで確認できます。 |
Keycloak を DAI アクセスおよびアイデンティティ マネージャーとして再構成する
Eggplant Cloud を使用している場合は、上記の入力データの取得についてサポートが必要な場合は、カスタマー サポート にお問い合わせください。
Keycloak で SSO を無効にするには、identity_provider という名前の移行手順を実行します。
この手順では次のことが行われます。
- Keycloak レルムから
Identity Providerを削除します。 - ログイン フローを修正して、ローカル アカウントがログインできるようにします。
- SSO 対応レルムで使用される
eggplant_readonlyレルムではなく、標準のeggplantレルムを使用するようにRealmのThemesを設定します。
ステップバイステップ: スクリプトを実行して Keycloak を再構成する
ステップバイステップ: スクリプトを実行して Keycloak を再構成する
ステップ 1 - 環境変数を設定する
スクリプトを変更して、Keycloak インストールに適切な値で環境変数を設定します。
set KC_ADMIN_USER=<keycloak_admin_user>
set KC_ADMIN_PASSWORD=<keycloak_admin_pwd>
set KEYCLOAK_URL=https://<dai_address>/auth/
set USE_LEGACY_INSTALLER=true
上記のスクリプト内の <...> で囲まれた変数値を、次のように DAI インストールの値に置き換えます。
| 環境変数 | 値 |
|---|---|
<keycloak_admin_user> | DAI をインストールしたときに設定した Keycloak システム管理者のユーザー名。これは Keycloak ユーザー名とも呼ばれます。 |
<keycloak_admin_pwd> | DAI をインストールしたときに設定した Keycloak システム管理者のパスワード。 |
<dai_address> | DAI サーバーのホスト名:ポート (例: example.com:8080)。 |
このようにコマンドラインでパスワードを設定するのは安全ではありません。代わりに、組織が推奨するシークレット マネージャーを使用して機密性の高い環境変数を初期化することをお勧めします。
ステップ 2 - スクリプトの実行
以下の手順では、DAI をデフォルトの場所 (C:\Program Files\Digital Automation Intelligence) にインストールしたことを前提としています。DAI を別の場所にインストールした場合は、以下のスクリプトのデフォルト パスを DAI インストールの場所に置き換えてください。
以下のスクリプトは、Windows コマンド シェル (cmd.exe) 用に記述されています。Powershell から実行するには、キャレット (^) 文字をバックティック (\) 文字に置き換える必要があります。
"C:\Program Files\Digital Automation Intelligence\python\tools\python.exe" ^
-m eggplant.iam.realm_mgmt ^
--init-file "C:\ProgramData\Eggplant\Digital Automation Intelligence\logs\keycloak\keycloak_migration_config" ^
run ^
--procedure identity_provider ^
--realm <realm> ^
--vars IDP_ALIAS=<idp_alias> ^
--vars ENABLE_SSO=false
上記のスクリプト内の <...> で囲まれた変数値を、次のように DAI インストールの値に置き換えます。
| 環境変数 | 値 |
|---|---|
<realm> | 通常はeggplant |
<idp_alias> | このプロバイダーのエイリアス名。これは、インストールで SSO が有効になっているときに、アイデンティティ プロバイダーを構成するために使用されたエイリアスです。これは、Keycloak Admin Console で、作成した Identity Provider の詳細を表示し、alias フィールドの値をコピーすることで確認できます。 |
実行されると、プロシージャは JSON 形式でメッセージを記録します。
- 実行されると、プロシージャは JSON 形式でメッセージを記録します。
- 成功した場合、最後のログ エントリに手順が正常に完了したことが示されます。
エラーが発生した場合は、メッセージと結果のスタック トレースを確認してください。ご質問がある場合は、カスタマー サポート にお問い合わせください。
手順が正常に実行されると、SSO は削除され、Keycloak が DAI インストールの認証を管理するようになります。