ID プロバイダー(SSO)の追加
概要
概要この記事では、Flosum テナントに Identity Provider を追加してアプリケーションのシングルサインオン (SSO) を有効にする方法を説明します。Identity Provider を追加すると、ログイン画面にカスタム SSO ボタンが表示されます。このボタンはユーザーを Identity Provider のログインページにリダイレクトします。ユーザーが認証すると、Flosum アプリに戻されます。SSO ログイン手順については、次の記事を参照してください。
Identity Provider の設定
Flosum Cloud Apps は、次のいずれかのプロトコルを使用する Identity Provider からの SSO をサポートします:
OIDC (OpenID Connect)
SAML (Security Assertion Markup Language)
この記事では、Identity Provider を構成するための一般的な手順を説明します。以下のプロバイダー別の記事に進む前にこれらを確認してください。該当記事には最も一般的な Identity Provider に関する手順と詳細が記載されています。
リージョン別 URL
Flosum Cloud Apps と SSO を構成するには、リージョン固有の次の情報が必要です リダイレクト, コールバック、および サインアウト URL。SSO を必要とする各アプリについて該当する URL を追加してください。
リダイレクト URL
コールバック URL
サインアウト URL
Identity Provider の追加
Global Settings では、柔軟な構成のためにテナントに複数のプロバイダーを追加できます。たとえば、組織がテスト用と本番用で別々の Identity Provider を使用している場合、両方を追加できます。
Identity Provider を作成
クリックして 種類 ドロップダウンメニュー。
選択 OPEN_ID または SAML 接続する Identity Provider の種類に応じて。
該当する手順にスキップして、必須フィールドを入力してください。
OPEN_ID: ID プロバイダー(SSO)の追加
SAML: ID プロバイダー(SSO)の追加
OpenID Connect (OIDC) 情報を入力
を選択した場合は OPEN_ID、次のフィールドを OpenId 情報 セクションに入力してください。詳細は下のスクリーンショットと表を参照してください。
Issuer URL が無効または到達不能な場合、ログインページに SSO ボタンは表示されません。
クライアント ID
OIDC アプリケーションのクライアント ID を入力してください。
クライアント シークレット
OIDC アプリケーションのクライアント シークレットを入力してください。
Issuer
OIDC Identity Provider 上のインスタンスの URL を入力してください。
SAML 情報を入力
を選択した場合は SAML、次のフィールドを SAML 2.0 情報 セクションに入力してください。詳細は下のスクリーンショットと表を参照してください。
オプション フィールドは空白のままにできます。
Issuer
Identity Provider の ID を入力します。この値は Identity Provider のメタデータ XML の entityID 属性からコピーできます。 EntityDescriptor 要素。
エンティティ ID
Service Provider の ID を入力してください。これは文字列でも構いませんが、Service Provider と Identity Provider の両方の設定で一致している必要があります。
Identity Provider 署名証明書
Identity Provider が SAML レスポンスおよびアサーションに署名するために使用する証明書をアップロードするにはクリックしてください。Service Provider はこの証明書を使用して受信した SAML メッセージの真正性と完全性を検証します。
Name ID フォーマット (オプション)
このフィールドは Identity Provider ユーザーを Global Settings のユーザーにマッピングします。すべての Identity Provider が SSO ログイン用に Name ID フォーマットを設定できるわけではないため、Global Settings は Name ID フォーマットの代わりに SAML アサーション内の uniqueUserId 属性を使用します。
Identity Provider が Name ID フォーマットをサポートしていることを確認し、その値を入力してください。標準の形式は次のとおりです:
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Identity Provider ログイン URL
Identity Provider のサインオン(ログイン)URL を入力してください。この値は Identity Provider のメタデータ XML の Location 属性からコピーできます。 SingleSignOnService 要素の下の IDPSSODescriptor.
SAML 署名リクエストが有効か
チェックボックスは、Service Provider から Identity Provider に送信される認証リクエストがデジタル署名されているかどうかを示します。この値は Identity Provider のメタデータ XML の SAML 署名リクエストが有効か からコピーできます。 WantAuthnRequestsSigned 属性からコピーできます。 EntityDescriptor 要素の下の IDPSSODescriptor.
チェックされている場合は、次のスクリーンショットと表のフィールドを入力してください。
Auth 署名証明書
Service Provider が SAML リクエストに署名するために使用する証明書をアップロードするにはクリックしてください。Identity Provider はこの証明書を使用してリクエストの真正性を検証します。この証明書は Identity Provider と Service Provider の両方にアップロードする必要があります。
Auth プライベートキー
Service Provider が SAML リクエストに署名するために使用する秘密鍵をアップロードするにはクリックしてください。Identity Provider はこの鍵を使用してリクエストの真正性を検証します。この鍵は Auth 署名証明書.
Auth プライベートキーのパスワード (オプション)
の復号に使用されるパスフレーズを入力してください。秘密鍵がパスワード保護されていない場合、このフィールドは空にできます。 Auth プライベートキー 署名付き SAML リクエスト用の Auth プライベートキーを復号するために使用されるパスフレーズを入力してください。このフィールドは秘密鍵がパスワード保護されていない場合は空にできます。
Auth 署名アルゴリズム
Auth プライベートキーで SAML リクエストに署名するために使用されるアルゴリズムを入力してください。Identity Provider がこのアルゴリズムをサポートしていることを確認してください。デフォルトは次のとおりです: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256.
アサーション暗号化が有効か
チェックボックスは、Service Provider から Identity Provider に送信される認証リクエストがデジタル署名されているかどうかを示します。この値は Identity Provider のメタデータ XML の アサーション暗号化が有効か チェックボックスは Identity Provider による SAML アサーションの暗号化を有効にします。有効にすると、対応する秘密鍵を持つ Service Provider のみがアサーションを復号できます。
チェックされている場合は、次のスクリーンショットと表のフィールドを入力してください。
暗号化証明書
Identity Provider が SAML アサーションを暗号化するために使用する証明書をアップロードするにはクリックしてください。これにより、対応する秘密鍵を持つ Service Provider のみがアサーションを復号できます。この証明書は Identity Provider と Service Provider の両方にアップロードする必要があります。
暗号化プライベートキー
Identity Provider からの SAML アサーションを復号するために Service Provider が使用する秘密鍵をアップロードするにはクリックしてください。この鍵は 暗号化証明書.
暗号化プライベートキーパスワード (オプション)
の復号に使用されるパスフレーズを入力してください。秘密鍵がパスワード保護されていない場合、このフィールドは空にできます。 暗号化プライベートキーです。秘密鍵がパスワード保護されていない場合、このフィールドは空にできます。
ボタンとグループ情報を入力
入力が必須なのは ボタンテキスト フィールドのみです。
ログインページの SSO ボタン のラベルをテキストボックスに入力してください。 ボタンテキスト テキストボックス。
チェックボックスは、Service Provider から Identity Provider に送信される認証リクエストがデジタル署名されているかどうかを示します。この値は Identity Provider のメタデータ XML の SSO ボタン はログインページの LOGIN ボタンの下に表示されます。複数の Identity Provider を使用する場合、混乱を避けるために各ボタンに異なるラベルを割り当てると便利です。
(オプション)クリックして ボタン画像 テキストボックスをクリックしてファイルダイアログを開き、ログインページのボタンに表示する SVG 画像を選択します。
最適な結果を得るには、高さ 24px の SVG 画像を使用してください。
(オプション)クリックして グループ ドロップダウンメニュー。
(オプション)この Identity Provider で作成されたユーザーに自動的に割り当てるグループを選択します。
最終更新
役に立ちましたか?