シングル サインオン サーバーの構成
このページを使用して、ユーザーの認証に使用するシングル・サインオン・サーバー (SSO) を構成します。CSOリリース6.2.0以降、テナントは独自のSSOサーバーを設定してユーザーを認証できます。
SSO の構成中に関係するエンティティは 2 つあります。
-
SSO サーバーまたは ID プロバイダー - CSO と統合された外部サーバー。
-
OpCoまたはテナント:サービスプロバイダとして機能し、ログインリクエストへの応答としてSSOサーバーから送信されたSAMLアサーションを受信します。
ID プロバイダーと OpCo またはテナントの両方が相互に信頼し、両方のエンティティの構成が必要です。以下の2つのユースケースが考えられます。
-
Identity provider is configured first before SSO server is added in CSO- アイデンティティプロバイダが最初に設定されます。次に、OpCo レベルで、テナント ユーザーの CSO に SSO サーバーを追加し、サーバー名とメタデータ URL を入力できます。
-
IdP is configured after SSO server is added in CSO- SSO サーバー名を入力し、[ 次へ ] ボタンをクリックします。CSO は、ID プロバイダーで構成する URL の一覧を提供します。ID プロバイダーを URL で構成したら、SSO サーバー名を編集し、メタデータ URL を入力できます。
どちらのユース ケースでも、SSO サーバーを使用する前にメタデータ URL が必要です。
SSO サーバーを構成するには:
フィールド |
説明 |
---|---|
基本情報 | |
SSO サーバー名 |
SSO サーバーの名前を指定します。英数字の文字列、アンダースコア (_) やピリオド (.) などの特殊文字、およびスペースを使用できます。最大長は 40 文字です。 |
説明 |
SSO サーバーのわかりやすい説明を入力します。 |
メタデータ ファイル | [ 参照 ] をクリックしてローカル システム内のファイルの場所に移動し、アップロードする SSO サーバー メタデータ XML ファイルを選択します。
メモ:
CSO リリース 6.3.0 以降では、SSO サーバーのメタデータ XML ファイルを CSO に直接インポートするか、メタデータ URL を指定できます。 |
メタデータ URL |
SSO サーバーのメタデータをダウンロードする必要がある URL を入力します。メタデータ ファイルをアップロードした場合は、URL が自動的に生成されます。 |
ユーザー識別 |
SAML アサーションからユーザーを識別する方法を指定します。
メモ:
Microsoft Azure を IdP として使用している場合は、ユーザー識別に SAML 属性 を使用することをお勧めします。ユーザー ID 属性として [名前 ID ] を構成すると、テナント ユーザーが認証の問題が発生する可能性があります。 |
フィールド | の説明 |
---|---|
SAML URL |
CSO に SAML URL 設定が表示されます。管理者はこの情報を使用して IdP を設定します。 |
シングル サインオン URL |
アプリケーションの SAML アサーション コンシューマー サービス (ACS) URL を表示します。 例: https://aaa-example.com/ssol//SAML2/sso server namePOST |
対象ユーザー URI (SP エンティティ ID) |
アプリケーションのサービス プロバイダー エンティティ ID を表示します。 例: https://aaa-example.com/シボレス |
メタデータ URL |
アプリケーションのメタデータ URL を表示します。 例: https://aaa-example.com/saml/metadata/64000 |
シングルログアウトURL |
アプリケーションのシングルログアウト URL を表示します。 例: https://aaa-example.com/スプログアウト |
メタデータのダウンロード |
このオプションをクリックして、アプリケーションからメタデータをダウンロードします。 管理者は、CSOメタデータをダウンロードし、メタデータを使用してIDプロバイダを設定する代わりに、個々のIDプロバイダフィールドを一度に設定できます。 |
証明書のダウンロード |
このオプションをクリックして、アプリケーションから SAML 証明書をダウンロードします。管理者は、この証明書を使用して、ID プロバイダーの証明書を更新できます。 |