管理コンソール左メニュー「シングルサインオン」内の「SAML」を選択し、表示されたSAMLサービスプロバイダー一覧画面で右上の「登録」ボタンをクリックすると、SAMLサービスプロバイダーを登録できます。
SAMLサービスプロバイダーと連携する際は、SAML IDプロバイダー(SeciossLink)のメタデータが必要です。メタデータは、同じく画面右上の「設定」ボタンをクリックして、表示されるSAML設定画面内の「IdPメタデータ」からダウンロードすれば、サービス側に適用されます。
必須項目と、SAML認証に必要な項目を入力したら、画面最下部の「保存」ボタンをクリックしてください。
ユーザーの登録項目※は必須項目です。
項目名 | 説明 | ||||||||
---|---|---|---|---|---|---|---|---|---|
サービスID(※) | SeciossLinkがサービスプロバイダーを識別するためのID(半角英数字)を設定します。 ※末尾に「テナントID」が⾃動的に付加されます。 |
||||||||
サービス名(※) |
サービスプロバイダーの名称(日本語)を設定します。 |
||||||||
サービス名(英語) |
サービスプロバイダーの名称(英語)を設定します。 |
||||||||
サービス名(中国語) |
サービスプロバイダーの名称(中国語)を設定します。 |
||||||||
エンティティID(※) | サービスプロバイダーを識別するための一意のIDで、「発行者」と呼ばれることもあります。 本設定値とサービスプロバイダーからのSAML認証要求に含まれる識別子を照らし合わせ、要求元のサービスプロバイダーを識別・検証します。 |
||||||||
Assertion Consumer Service(※) | サービスプロバイダーへのSAML認証応答の送信先URLを設定します。 ※Assertion Consumer ServiceにはHTTP POST BindingでSAMLレスポンスを送信します。 |
||||||||
ログアウトURL | サービスプロバイダーへのシングルログアウトURLを設定します。 シングルログアウトが利用可能かどうかはサービスプロバイダーに依存します。 ※ログアウトURLにはHTTP Redirect Bindingでレスポンスを送信します。 |
||||||||
デフォルトRelayState |
SAML認証応答を行う際に利用する、RelayStateとしてリダイレクトするURLの値を設定します。 |
||||||||
IDの属性 | サービスプロバイダーへSAML認証応答として渡すName IDのフォーマットを以下から選択します。
|
||||||||
ユーザーIDの属性 |
サービスプロバイダーへSAML認証応答として渡すName IDの値をSeciossLink側の属性から選択します。 ※「IDの属性」項目で選択した値によって、選択可能な項目に以下の制限があります。
また、「システム」-「追加属性」よりユーザーの属性に |
||||||||
送信する属性 |
サービスプロバイダーへSAML認証応答として渡すsaml:Attributeの値を設定します。 ※送信する属性にチェックが一つもない場合はNameIDの属性を送信属性として送信されます。 |
||||||||
送信する属性(固定値) |
サービスプロバイダーへSAML認証応答として渡すsaml:Attributeの値を設定します。ユーザー情報に存在しない値をサービスへ送信したい場合に設定します。 書式:${<属性名>} 「追加」ボタンは入力項目を最大10個まで追加できます。 例:ユーザーIDが「tanaka.taro」「tanaka.jiro」であるユーザーの場合、サービスへ 属性「organizationName 」をユーザーが持たない情報「Secioss INC.」を値として送信する設定
|
||||||||
SP証明書 |
サービスプロバイダーへのSAML認証にて、SAMLリクエストの署名検証、SAMLアサーションの暗号化に利用する証明書を「ファイルを選択」より登録します。
|
||||||||
リクエストの署名検証 |
サービスプロバイダーからのSAML認証要求に設定された署名をSeciossLinkで検証する場合に設定します。 |
||||||||
レスポンスの署名 | サービスプロバイダーへのSAML認証応答にて、IdPからSPへ送信する内容に対し、署名を行う場合に設定します。 設定が有効な場合、IdPの証明書を用いてSAML認証応答の内容に、署名した文字列を設定しサービスへ認証情報を送信します。 |
||||||||
アサーションの暗号化 |
サービスプロバイダーへのSAML認証応答にて、SAMLアサーションを暗号化する場合に設定します。 |
||||||||
署名アルゴリズム |
サービスプロバイダーからのSAML認証要求にて、リクエストの署名検証に使用するアルゴリズムを設定します。
|
||||||||
アサーションの暗号化に |
サービスプロバイダーへのSAML認証応答にて、SAMLアサーションを暗号化する際に使用するアルゴリズムを以下から選択・設定します。
|
||||||||
メタデータ |
本画面のサービスプロバイダーへのSAML設定の入力項目を自動補完する設定です。 |
||||||||
ポータルに表示する リンクURL |
ユーザーポータル画面に表示されるリンクURLを入力します。 |
||||||||
ポータルに表示する ロゴ画像 |
ユーザーポータル画面に表示される、リンクのロゴ画像URLを設定します。 デフォルトのリンクアイコンから、変更したい場合に設定します。ロゴ画像がWebで公開されているURLを⼊⼒してください。 |
||||||||
ユーザー同意取得 |
サービスプロバイダーへのSAML認証応答時、SSOユーザーが持つ情報をSAMLSPへレスポンス送信する前に、属性情報をユーザーに提示し、同意を求める場合は「有効」にチェックを入れます。
|
「ユーザー同意取得:ユーザー同意にて必須とする属性」の設定が有効な場合、シングルサインオン利用者へ表示される同意画面において、対象の属性は送信許可のチェック操作ができなくなり、必ず属性が送信されるようになります。
証明書の更新について
SAML連携を行っているサービスプロバイダーの証明書が更新され、「リクエストの署名検証」や「アサーションの暗号化」が「有効」になっている場合は、登録している証明書を更新する必要があります。
また、サービスプロバイダー側でSP(サービスプロバイダー)証明書を2枚保持できる※場合、2枚目の署名検証用証明書は「SP証明書」で、「署名検証用のセカンダリ証明書を登録する」を「有効」にすれば、セカンダリとして登録できます。
※証明書の複数保持が可能かについては、サービスプロバイダーにご確認ください。
IdP-Initiated SAMLについて
IDP initiated SAML でSAML認証する場合、下記のURLから行うことができます。
https://slink.secioss.com/saml/saml2/idp/SSOService.php?spentityid=<spのentityid>
クエリパラメータの「spのentityid」には、エンティティIDをURLエンコードしたものを設定してください。
例:エンティティIDが、https://testsp.demo.com の場合
https://slink.secioss.com/saml/saml2/idp/SSOService.php?spentityid=https%3A%2F%2Ftestsp.demo.com