Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

シングル サインオン サーバーの構成

このページを使用して、ユーザーの認証に使用するシングル・サインオン・サーバー (SSO) を構成します。CSOリリース6.2.0以降、テナントは独自のSSOサーバーを設定してユーザーを認証できます。

SSO の構成中に関係するエンティティは 2 つあります。

  • SSO サーバーまたは ID プロバイダー - CSO と統合された外部サーバー。

  • OpCoまたはテナント:サービスプロバイダとして機能し、ログインリクエストへの応答としてSSOサーバーから送信されたSAMLアサーションを受信します。

ID プロバイダーと OpCo またはテナントの両方が相互に信頼し、両方のエンティティの構成が必要です。以下の2つのユースケースが考えられます。

  • Identity provider is configured first before SSO server is added in CSO- アイデンティティプロバイダが最初に設定されます。次に、OpCo レベルで、テナント ユーザーの CSO に SSO サーバーを追加し、サーバー名とメタデータ URL を入力できます。

  • IdP is configured after SSO server is added in CSO- SSO サーバー名を入力し、[ 次へ ] ボタンをクリックします。CSO は、ID プロバイダーで構成する URL の一覧を提供します。ID プロバイダーを URL で構成したら、SSO サーバー名を編集し、メタデータ URL を入力できます。

メモ:

どちらのユース ケースでも、SSO サーバーを使用する前にメタデータ URL が必要です。

SSO サーバーを構成するには:

  1. [管理] > [認証] を選択します。

    [認証] ページが表示されます。

  2. [シングル サインオン サーバー] セクションのプラス アイコン (+) をクリックします。

    [シングル サインオン サーバーの追加] ページが表示されます。

  3. 表 1 のガイドラインに従って設定を完了します。
  4. [OK] をクリックして変更を保存します。変更を破棄する場合は、代わりに [キャンセル] をクリックします。
  5. SSO サーバーと CSO の両方を構成したら、[認証] ページの [ログインのテスト] ボタンをクリックします。

    SSO ログイン ページが表示されます。

    メモ:

    メタデータ URL を指定してから、[ ログインのテスト] ボタンをクリックする必要があります。メタデータ URL を入力せずに [ ログインのテスト] ボタンをクリックすると、メタデータ URL を指定する必要があることを示すエラー メッセージが表示されます。

    SAML 設定を表示するには、[SAML 設定の表示] ボタンをクリックします。表 2 を参照してください。

表 1: [シングル サインオン サーバーの追加] ページのフィールド

フィールド

説明

基本情報

SSO サーバー名

SSO サーバーの名前を指定します。英数字の文字列、アンダースコア (_) やピリオド (.) などの特殊文字、およびスペースを使用できます。最大長は 40 文字です。

説明

SSO サーバーのわかりやすい説明を入力します。

メタデータ ファイル

[ 参照 ] をクリックしてローカル システム内のファイルの場所に移動し、アップロードする SSO サーバー メタデータ XML ファイルを選択します。

メモ:

CSO リリース 6.3.0 以降では、SSO サーバーのメタデータ XML ファイルを CSO に直接インポートするか、メタデータ URL を指定できます。

メタデータ URL

SSO サーバーのメタデータをダウンロードする必要がある URL を入力します。メタデータ ファイルをアップロードした場合は、URL が自動的に生成されます。

ユーザー識別

SAML アサーションからユーザーを識別する方法を指定します。

  • 名前 ID: ユーザーは、SAML アサーションのサブジェクトに存在する「名前 ID」フィールドから識別されます。

  • SAML 属性: ユーザーは固定値属性から識別されます。

    • SAML属性名: ユーザー識別に使用する必要があるSAML属性の名前(ユーザー名、電子メール、またはその他のパラメーターなど)を入力します。特殊文字は使用しないでください。ID プロバイダーの構成で同じ属性名を使用するようにしてください。
メモ:

Microsoft Azure を IdP として使用している場合は、ユーザー識別に SAML 属性 を使用することをお勧めします。ユーザー ID 属性として [名前 ID ] を構成すると、テナント ユーザーが認証の問題が発生する可能性があります。

表 2: SAML 設定
フィールド の説明

SAML URL

CSO に SAML URL 設定が表示されます。管理者はこの情報を使用して IdP を設定します。

シングル サインオン URL

アプリケーションの SAML アサーション コンシューマー サービス (ACS) URL を表示します。

例: https://aaa-example.com/ssol//SAML2/sso server namePOST

対象ユーザー URI (SP エンティティ ID)

アプリケーションのサービス プロバイダー エンティティ ID を表示します。

例: https://aaa-example.com/シボレス

メタデータ URL

アプリケーションのメタデータ URL を表示します。

例: https://aaa-example.com/saml/metadata/64000

シングルログアウトURL

アプリケーションのシングルログアウト URL を表示します。

例: https://aaa-example.com/スプログアウト

メタデータのダウンロード

このオプションをクリックして、アプリケーションからメタデータをダウンロードします。

管理者は、CSOメタデータをダウンロードし、メタデータを使用してIDプロバイダを設定する代わりに、個々のIDプロバイダフィールドを一度に設定できます。

証明書のダウンロード

このオプションをクリックして、アプリケーションから SAML 証明書をダウンロードします。管理者は、この証明書を使用して、ID プロバイダーの証明書を更新できます。