SAML用のキーと証明書の作成

SAMLには、IdPとサイン、認証メッセージに署名するキーが必要です。キーは暗号化されなければなりません。暗号化されていないキーは受け付けられません。

  • キーの作成
    openssl genrsa -aes128 -out saml_key.pem 2048
  • 証明書の作成
    openssl req -new -x509 -key saml_key.pem -out saml_cert.pem -days 365
  • 単一のPEMに格納
    cat saml_key.pem saml_cert.pem > saml_key_cert.pem

安全な場所にsaml_key.pemを保存してください。

settings.hclの変更

Instanaオンプレミスボックスにsaml_key_cert.pemをコピーし、instana-butlerユーザーがファイルを読めることを確認してください。settings.hclにcert.crtとcert.keyのファイルパスを設定し、instana updateコマンドを実行します。

base_urlはデフォルトで/authに設定されています。必要に応じて変更してください。

saml {
  base_url = "/auth"
  cert {
    crt   = "<Enter-full-path-to-saml_key_cert.pem>"
    key   = "<Enter-password-for-the-key>"
  }
}

Instanaにログインし、「Management Portal」→「Tenant Authentication」と選択肢、表示される手順に従ってください。

証明書の置き換え

上記で作成した証明書は期限が365日になっています。その後は新しいものと置き換える必要があります。

更新方法

  • 以前に作成したsaml_key.pemを取得する
  • 証明書を作成する
    openssl req -new -x509 -key saml_key.pem -out saml_cert.pem -days 365
  • 単一のPEMに格納
    cat saml_key.pem saml_cert.pem > saml_key_cert.pem

できたsaml_key_cert.pempathToKeyCertPemフォルダにコピーしてbutlerをリスタートします。

詳細については、当社のドキュメント「SAML認証とオーソライズ」を参照してください。

https://docs.instana.io/quick_start/on_prem_containers/on_prem_saml/ から取得したコンテンツ