シングルサインオンでアクセスする対象のSAMLプロバイダーの登録を実施します。さらにユーザーのアクセス権限やプロファイルにも変更を加えなければなりません。ここではそれぞれの詳細な手順を紹介します。
サービスの登録
まずは、シングルサインオンで連携するSAMLサービスを登録する手順を説明します。
① SeciossLinkの管理コンソールへログインし、左メニューの「シングルサインオン」-「SAML」を開きます。
② 「SAMLサービス一覧」が表示されるので、右上タブの左から2番目にある「登録」を選択します。
③ SAMLサービス登録画面に、サービスIDやサービス名、エンティティID、Assertion Consumer Serviceなどを入力し、画面中央下部の「保存」ボタンを押します。
④ 「シングルサインオン」-「SAML」の「SAMLサービスプロバイダー一覧」に、登録したサービスが表示されます。
SAMLサービスの登録画面で設定できる項目
以下がSAMLサービスの登録画面で設定できる項目とその内容の一覧です。
| 項目名 | 説明 |
|---|---|
| サービスID(※) | SeciossLinkがサービスプロバイダーを識別するためのID(半角英数字) ※末尾に「テナントID」が⾃動的に付加されます。 |
| サービス名(※) | サービスプロバイダーの名称(日本語) この設定はサービスの表示名として扱い、ユーザー情報画面の、ユーザーの「許可するサービス」項目などに表示されます。 ※ほかの許可するサービスとして設定可能なサービス設定と重複する名称は使用できません。 |
| サービス名(英語) | サービスプロバイダーの名称(英語) |
| サービス名(中国語) | サービスプロバイダーの名称(中国語) |
| エンティティID(※) | サービスプロバイダーを識別するための一意のID(発行者) 本設定値とサービスプロバイダーからのSAML認証要求に含まれる識別子を照らし合わせ、要求元のサービスプロバイダーを識別・検証します。 |
| Assertion Consumer Service(※) | サービスプロバイダーへのSAML認証応答の送信先URL ※Assertion Consumer ServiceにはHTTP POST BindingでSAMLレスポンスを送信します。 |
| ログアウトURL | サービスプロバイダーへのシングルログアウトURL ※ログアウトURLにはHTTP Redirect Bindingでレスポンスを送信します。 |
| デフォルトRelayState | SAML認証応答を行う際に利用する、RelayStateとしてリダイレクトするURL 本設定はIdP-Initiated SAMLで認証した場合または、SP-Initiated SAMLでSPからRelayStateの値が含まれない場合に初期値として利用します。 |
| IDの属性 | サービスプロバイダーへSAML認証応答として渡すName IDのフォーマットをドロップダウンリストから選択 |
| ユーザーIDの属性 | サービスプロバイダーへSAML認証応答として渡すName IDの値をSeciossLink側の属性からドロップダウンリストで選択 ※「IDの属性」項目で選択した値によって、選択可能な項目に以下の制限があります。
|
| 送信する属性 | サービスプロバイダーへSAML認証応答として渡すsaml:Attributeの値を設定します。 サービスへ送信する、SeciossLinkのユーザー項目にチェックを行い、属性名にサービスが要求する、属性名を入力してください。 ※送信する属性にチェックが一つもない場合はNameIDの属性を送信属性として送信されます。 ※送信するNameID以外の属性にチェックが入っている場合、送信属性にNameIDの属性は含まれません。 |
| 送信する属性(固定値) | サービスプロバイダーへSAML認証応答として渡すsaml:Attributeの値を設定します。ユーザー情報に存在しない値をサービスへ送信したい場合に設定します。 1行目の属性名にサービスが要求する属性名を入力し、対応する値を入力します。また対応する値には、固定文字列を指定ほかにシングルサインオンユーザー自身の属性を送信できるよう、特殊変数の指定が可能です。 書式:${<属性名>} 例:${sn}、${givenName} 2 2行目の条件指定欄はこの属性送信設定に条件を設けることができます。 条件指定項目に設定がある場合、ユーザーが持つ属性名に値が一致した場合にのみ、この設定を適応します。 値の設定には、正規表現 (PCREに準拠したもの)を使用することができます。 |
| SP証明書 | サービスプロバイダーへのSAML認証にて、SAMLリクエストの署名検証、SAMLアサーションの暗号化に利用する証明書を「ファイルを選択」より登録します。 小項目ごとに設定が異なり、設定した証明書に応じてSAML認証時の挙動が次のようになります。
|
| リクエストの署名検証 | サービスプロバイダーからのSAML認証要求に設定された署名をSeciossLinkで検証する場合に設定します。 設定が有効な場合、「SP証明書」の項目の内容に沿って、SAML認証要求が改ざんされていないかの検証・確認を行います。 |
| レスポンスの署名 | サービスプロバイダーへのSAML認証応答にて、IdPからSPへ送信する内容に対し、署名を行う場合に設定します。 設定が有効な場合、IdPの証明書を用いてSAML認証応答の内容に、署名した文字列を設定しサービスへ認証情報を送信します。 |
| アサーションの暗号化 | サービスプロバイダーへのSAML認証応答にて、SAMLアサーションを暗号化する場合に設定します。 設定が有効な場合、「SP証明書」の項目の内容に沿って、SAMLアサーションの暗号化が行われます。 |
| 署名アルゴリズム | サービスプロバイダーからのSAML認証要求にて、リクエストの署名検証に使用するアルゴリズムをドロップダウンリストから選択します。 「リクエストの署名検証」が有効な場合に利用可能です。 |
| アサーションの暗号化に使用するアルゴリズム | サービスプロバイダーへのSAML認証応答にて、SAMLアサーションを暗号化する際に使用するアルゴリズムをドロップダウンリストから選択します。 「アサーションの暗号化」が有効な場合に利用可能です。 |
| メタデータ | 本画面のサービスプロバイダーへのSAML設定の入力項目を自動補完する設定です。br サービスプロバイダーが提供するXML形式のメタデータファイルをアップロードするか、そのメタデータがWebで公開されている場合はURLを入力し、設定します。 設定されたメタデータを読み取り、エンティティIDやAssertion Consumer Service、ユーザーIDの属性(NameIDFormatがemailAddressの場合)やSP証明書などの値が自動的に補完されます。 URLを指定した場合は、登録時の設定補助に加え、定期的にURLからメタデータを取得して、証明書など現状の設定と差分があれば、情報を自動的に最新化します。 |
| ポータルに表示するリンクURL | ユーザーポータル画面に表示されるリンクURLを入力します。 |
| ポータルに表示するロゴ画像 | ユーザーポータル画面に表示される、リンクのロゴ画像URLを設定します。 |
| ユーザー同意取得 | サービスプロバイダーへのSAML認証応答時、ユーザーが持つ情報をSAMLSPへレスポンス送信する前に、属性情報をユーザーに提示し、同意を求める場合は「有効」にチェックを入れます。
|
※は必須項目です。
アクセス権限の設定
サービスを登録しただけでは、ユーザーがシングルサインオンでアクセスしようとしても、拒否されてしまいます。シングルサインオンを実行するには、ユーザーのアクセス権限やプロファイルの設定にも変更を加える必要があります。以下に詳しい手順を説明します。
① 左メニューから「アクセス権限」-「一覧」を開きます。
② 「アクセス権限 一覧」から該当するIDを選択し、ボタンを押します。
③ アクセス権限編集ページの「アクセス先のサービス」に、先ほど登録したSAMLサービスが追加されているのでチェックを入れて、画面中央下部の「更新」ボタンを押します。