管理コンソール左メニュー「シングルサインオン」内の「SAML」を選択し、表示されたSAMLサービスプロバイダー一覧画面で右上の「登録」ボタンをクリックすると、SAMLサービスプロバイダーを登録できます。
SAMLサービスプロバイダーと連携する際は、SAML IDプロバイダー(SeciossLink)のメタデータが必要です。メタデータは、同じく画面右上の「設定」ボタンをクリックして、表示されるSAML設定画面内の「IdPメタデータ」からダウンロードすれば、サービス側に適用されます。
必須項目と、SAML認証に必要な項目を入力したら、画面最下部の「保存」ボタンをクリックしてください。
ユーザーの登録項目※は必須項目です。
| 項目名 | 説明 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| サービスID(※) | SeciossLinkがサービスプロバイダーを識別するためのID(半角英数字)を設定します。 ※末尾に「テナントID」が⾃動的に付加されます。 |
||||||||
| サービス名(※) | サービスプロバイダーの名称(日本語)を設定します。 この設定はサービスの表示名として扱い、ユーザー情報画面の、ユーザーの「許可するサービス」項目などに表示されます。 ※ほかの許可するサービスとして設定可能なサービス設定と重複する名称は使用できません。 |
||||||||
| サービス名(英語) | サービスプロバイダーの名称(英語)を設定します。 サービスの表示名として各種画面で表示され、ユーザーの言語に応じて英語表記が行われる場合に表示されます。 |
||||||||
| サービス名(中国語) | サービスプロバイダーの名称(中国語)を設定します。 サービスの表示名として各種画面で表示され、ユーザーの言語に応じて中国語(簡体)表記が行われる場合に表示されます。 |
||||||||
| エンティティID(※) | サービスプロバイダーを識別するための一意のIDで、「発行者」と呼ばれることもあります。 本設定値とサービスプロバイダーからのSAML認証要求に含まれる識別子を照らし合わせ、要求元のサービスプロバイダーを識別・検証します。 |
||||||||
| Assertion Consumer Service(※) | サービスプロバイダーへのSAML認証応答の送信先URLを設定します。 ※Assertion Consumer ServiceにはHTTP POST BindingでSAMLレスポンスを送信します。 |
||||||||
| ログアウトURL | サービスプロバイダーへのシングルログアウトURLを設定します。 シングルログアウトが利用可能かどうかはサービスプロバイダーに依存します。 ※ログアウトURLにはHTTP Redirect Bindingでレスポンスを送信します。 |
||||||||
| デフォルトRelayState | SAML認証応答を行う際に利用する、RelayStateとしてリダイレクトするURLの値を設定します。 本設定はIdP-Initiated SAMLで認証した場合または、SP-Initiated SAMLでSPからRelayStateの値が含まれない場合に初期値として利用します。 |
||||||||
| IDの属性 |
サービスプロバイダーへSAML認証応答として渡すName IDのフォーマットを以下から選択します。
|
||||||||
| ユーザーIDの属性 |
サービスプロバイダーへSAML認証応答として渡すName IDの値をSeciossLink側の属性から選択します。 ※「IDの属性」項目で選択した値によって、選択可能な項目に以下の制限があります。
また、「システム」-「追加属性」よりユーザーの属性に |
||||||||
| 送信する属性 |
サービスプロバイダーへSAML認証応答として渡すsaml:Attributeの値を設定します。 ※送信する属性にチェックが一つもない場合はNameIDの属性を送信属性として送信されます。 また、「会社」以降の属性名は「すべてを表示」をクリックすることで展開して表示されます。 |
||||||||
| 送信する属性(固定値) |
サービスプロバイダーへSAML認証応答として渡すsaml:Attributeの値を設定します。ユーザー情報に存在しない値をサービスへ送信したい場合に設定します。 書式:${<属性名>} 「追加」ボタンは入力項目を最大10個まで追加できます。 例:ユーザーIDが「tanaka.taro」「tanaka.jiro」であるユーザーの場合、サービスへ 属性「organizationName 」をユーザーが持たない情報「Secioss INC.」を値として送信する設定
|
||||||||
| SP証明書 |
サービスプロバイダーへのSAML認証にて、SAMLリクエストの署名検証、SAMLアサーションの暗号化に利用する証明書を「ファイルを選択」より登録します。
|
||||||||
| リクエストの署名検証 | サービスプロバイダーからのSAML認証要求に設定された署名をSeciossLinkで検証する場合に設定します。 設定が有効な場合、「SP証明書」の項目の内容に沿って、SAML認証要求が改ざんされていないかの検証・確認を行います。 |
||||||||
| 署名の適用範囲 |
SAML認証応答では、署名付きの認証情報をサービスプロバイダー(SP)に送信します。 初期設定値には「アサーションに適用」が設定されます。 |
||||||||
| アサーションの暗号化 | サービスプロバイダーへのSAML認証応答にて、SAMLアサーションを暗号化する場合に設定します。 設定が有効な場合、「SP証明書」の項目の内容に沿って、SAMLアサーションの暗号化が行われます。 |
||||||||
| 署名アルゴリズム |
サービスプロバイダーからのSAML認証要求にて、リクエストの署名検証に使用するアルゴリズムを設定します。
|
||||||||
| アサーションの暗号化に 使用するアルゴリズム |
サービスプロバイダーへのSAML認証応答にて、SAMLアサーションを暗号化する際に使用するアルゴリズムを以下から選択・設定します。
|
||||||||
| メタデータ | 本画面のサービスプロバイダーへのSAML設定の入力項目を自動補完する設定です。 サービスプロバイダーが提供するXML形式のメタデータファイルをアップロードするか、そのメタデータがWebで公開されている場合はURLを入力し、設定します。 設定されたメタデータを読み取り、エンティティIDやAssertion Consumer Service、ユーザーIDの属性(NameIDFormatがemailAddressの場合)やSP証明書などの値が自動的に補完されます。 URLを指定した場合は、登録時の設定補助に加え、定期的にURLからメタデータを取得して、証明書など現状の設定と差分があれば、情報を自動的に最新化します。 |
||||||||
| ポータルに表示する リンクURL |
ユーザーポータル画面に表示されるリンクURLを入力します。 本設定が未指定の場合は、ユーザーポータルにサービスのリンクは表示されません。 |
||||||||
| ポータルに表示する ロゴ画像 |
ユーザーポータル画面に表示される、リンクのロゴ画像URLを設定します。 デフォルトのリンクアイコンから、変更したい場合に設定します。ロゴ画像がWebで公開されているURLを⼊⼒してください。 |
||||||||
| ユーザー同意取得 |
サービスプロバイダーへのSAML認証応答時、SSOユーザーが持つ情報をSAMLSPへレスポンス送信する前に、属性情報をユーザーに提示し、同意を求める場合は「有効」にチェックを入れます。
※本設定は、Educationライセンスをご契約いただいているテナントに限定して表示されます。 |
「ユーザー同意取得:ユーザー同意にて必須とする属性」の設定が有効な場合、シングルサインオン利用者へ表示される同意画面において、対象の属性は送信許可のチェック操作ができなくなり、必ず属性が送信されるようになります。
証明書の更新について
SAML連携を行っているサービスプロバイダーの証明書が更新され、「リクエストの署名検証」や「アサーションの暗号化」が「有効」になっている場合は、登録している証明書を更新する必要があります。
また、サービスプロバイダー側でSP(サービスプロバイダー)証明書を2枚保持できる※場合、2枚目の署名検証用証明書は「SP証明書」で、「署名検証用のセカンダリ証明書を登録する」を「有効」にすれば、セカンダリとして登録できます。
※証明書の複数保持が可能かについては、サービスプロバイダーにご確認ください。
IdP-Initiated SAMLについて
IDP initiated SAML でSAML認証する場合、下記のURLから行うことができます。
https://slink.secioss.com/saml/saml2/idp/SSOService.php?tenant=<テナントID>&spentityid=<spのentityid>
クエリパラメータの「<テナントID>」にはテナントID、「<spのentityid>」には、エンティティIDをURLエンコードしたものを設定してください。
例:テナントIDが「demo.test.com」、エンティティIDが「https://testsp.demo.com」の場合
https://slink.secioss.com/saml/saml2/idp/SSOService.php?tenant=demo.test.com&spentityid=https%3A%2F%2Ftestsp.demo.com