SAML認証

• SAML認証
• サービスプロバイダー（SP）設定
• Identity Provider（IdP）の詳細設定
• 各IdP間とのSAML認証設定方法
  • Okta
  • Microsoft ADFS
  • Azure SSO
  • JumpCloud
  • OneLogin
• よくある質問（FAQ）

SAML認証

ユーザーはSAML認証でApplications Managerにログインすることができます。

サインイン中にリクエストがIdPに送信され、ユーザーの認証情報がチェックされます。
その後、SP（=Applications Manager）に応答を返し、ユーザーはログインできるようになります。

例として、SAML認証を有効にすると、IdP側のSSOログインページに接続するオプションを利用できるようになります。
サインインすると、ユーザーは、Applications Managerにリダイレクトされ、製品にログインできるようになります。
ユーザーを認証できない（サインインできない）場合には、アクセスが拒否されます。

サービスプロバイダー（SP）設定

Applications ManagerとIdPを連携するために設定します。
［SAML認証］画面を表示すると、以下の各情報のリンクが表示されます。

• エンティティID
• Assertion Consumer URL
• SSOログアウトURL
• SP証明書ファイルのダウンロード
• SPメタデータファイル
  メタデータファイルをダウンロードして、IdP側にインポートすることもできます。

Identity Provider（IdP）の詳細設定

SAML IdPから提供される各情報を設定します。設定方法には以下の2つがあります。

• IdPメタデータファイルをアップロードする
• IdP情報を手動で設定する

IdPメタデータファイルをアップロードする

メタデータファイルがある場合は、IdPからApplications Managerにメタデータファイルを直接アップロードできます。

1. ［設定］→［ユーザー管理］→［SAML認証］タブに移動
2. ［Configure Identity Provider (IdP) 詳細］で、［IdPメタデータファイルのアップロード］を選択し、IdP名を入力
3. IdPから取得したメタデータファイルを選択し、［アップロード］をクリック

IdP情報を手動で設定する

Applications ManagerでIdPの詳細を手動で入力するには、次の詳細が必要です。

• IdP名
• NameIDフォーマット
• IdPログインURL
• IdPログアウトURL
• IdP証明書のインポート

［設定］→［ユーザー管理］→［SAML認証］タブ→［IdP情報を手動で設定］をクリックし、上記の詳細を入力してください。

新規ユーザーの役割

IdPの詳細を設定する際、［新規ユーザーの役割］を設定することが可能です。
これは、Applications Managerのユーザーではない者がSAML認証でログインをした際、ここで設定されたユーザーの役割に基づいて新規ユーザーのプロファイルが作成される機能です。

各IdP間とのSAML認証設定方法

Okta

1. 「www.okta.com」にアクセスし、Oktaにログイン
   Adminタブをクリックし、「Applications」に移動
   
   
2. 「Create a new app integration」をクリックし、「SAML2.0」を選択後、［Next］
   
   
3. 「App Name」でサービスプロバイダー（SP）名を入力し、［Next］
   
   
4. Applications Managerの［SAML認証］画面を開き、エンティティIDとAssertion Consumer URLをコピー
5. Okta画面で、「Name ID format」に"Persistent"または"Transient"を選択し、手順4でコピーした情報を入力し、「Next」
   ※Oktaでは、シングルログアウトはオプションです。必要に応じて、設定してください。
   
   
6. 「I’m a software vendor. I’d like to integrate my app with Okta」を選択し、「Finish」をクリック
   
   
7. 「Applications」→「Applications」画面で、「View Setup Instructions」をクリックし、以下の各内容をコピー
   ・Identity Provider Single Sign-on URL
   ・Identity Provider Single Logout URL
   ・Identity provider Issuer
   ・X.509 Certificate
   
   
8. コピーした内容をApplications Managerの［Identity Provider（IdP）の詳細設定］の各項目にペースト
9. 「Applications」→「Applications」画面で、「Assign」→「Assign to People」をクリックし、ユーザーを作成したサービスプロバイダー（SP）も割り当て、「Save and Go Back」をクリック

上記設定後、Applications ManagerのIdP設定を保存してください。両サイドの設定が完了し、SAML認証を有効化すると、Okta経由の認証ができるようになります。
Applications Managerのログイン画面で、「Login with Okta（Oktaを使用してログイン）」を選択し、ログインを行います。

Okta（本社ナレッジ）

Microsoft ADFS

1. 「AD FS management」を開き、「Add Relying Party Trust」をクリック
   
   
2. Applications Managerの［SAML認証］画面で、SP証明書とSPメタデータファイルをダウンロードし、エンティティIDとAssertion Consumer URLをコピー
3. ADFS画面で、「Start」をクリックし、「Import data about the relying party from a file」を選択し、メタデータファイルをアップロード
   その後「Next」をクリック
   
   

手動で設定する場合には以下の手順を実施します。

1. ADFS画面で、「Start」をクリックし、「Enter data about the relying party manually」を選択し、メタデータファイルをアップロード
   その後「Next」をクリック
   
   
2. 「Choose Profile」画面で「AD FS profile」を選択し、「Next」
   
   
3. 「Enable support for SAML 2.0 WebSSO protocol」を選択し、サービスプロバイダー（SP）のURLを入力
   その後「Next」をクリック
   
   
4. Applications Managerの画面でコピーしたエンティティIDを「relying party trust identifier」の項目にペースト
   その後「Next」をクリック
   
   
5. 「 I do not want to configure multi-factor authentication settings for this relying party trust at this time」を選択し、「Next」
6. 「Permit all users to access this relying party」を選択し、「Next」
7. 「Open the Edit Claim Rules dialog for this relying party trust when the wizard closes」を選択し、「Close」
8. 「Click on」をクリックし、ドロップダウンから「Transform an Incoming Claim」を選択し、「Next」
   
   
9. 「Claim rule name」を任意に入力し、以下の項目を選択後「Finish」。その後、「Apply」をクリック
   ・Incoming claim type：Windows account name
   ・Outgoing claim type：Name ID
   ・Outgoing name ID format：Transient Identifier
   ・Pass through all claim values
   
   
   
10. ADFSからXMLファイル「Federation Metadata」をダウンロード
    URLに「FederationMetadata/2007-06/FederationMetadata.xml」を追加することで入手できます。
    例：ADFSサーバーのFQDNが「dc.com」の場合、「https://dc.com/federationmetadata/2007-06/FederationMetadata.xml」
11. Applications Managerの［SAML認証］画面の［IdPメタデータファイルをアップロードする］より、入手したXMLファイルを選択し、アップロード

上記設定後、SAML認証を有効化すると、ADFS経由の認証ができるようになります。
Applications Managerのログイン画面で、「Login with AD FS（AD FSを使用してログイン）」を選択し、ログインを行います。

ADFS（本社ナレッジ）

Azure SSO

1. Azureアカウントにログインし、「Azure Active Directory」を選択
   
   
2. 「Enterprise applications」をクリックし、「New Application」→「Create your own Application」を選択
   
   
3. 「What's the name of your app?」配下でアプリケーション名を任意に入力し、「Create」
4. 「Single sign-on」から「SAML」を選択
   
   
5. Applications Managerの［SAML認証］画面で、エンティティID、Assertion Consumer URL、SSOログアウトURLをコピー
   その後、Azure画面「Basic SAML Configuration 」の「Edit」からコピーした情報を入力
   
   
6. 「Attributes & Claims」の項目で「Edit」をクリックし、「Unique User Identifier name (Name ID)」を選択
7. Name Identifier formatとして「Persistent」を、Source Attributeとして「user.userprincipalname」を選択
8. 「SAML Signing Certificate 」の項目で、XMLファイル「Federation Metadata」をダウンロード
   
   
9. Applications Managerの［SAML認証］画面の［Identity Providerの詳細設定］で、ダウンロードしたメタデータファイルをアップロードし保存
   その後、SAMLシングルサインオンを有効化
10. Azure画面で、「Users and groups」を選択し、ユーザーを「Assign」
    
    

上記設定後、Azure経由の認証ができるようになります。
Applications Managerのログイン画面で、「Login with Azure（Azureを使用してログイン）」を選択し、ログインを行います。

Azure（本社ナレッジ）

JumpCloud

1. JumpCloudにログインし、左のサイドメニューより「SSO」をクリック
   
   
2. 追加アイコンをクリックし、「Custom SAML App」を選択
   
   
3. 「Display Label 」を入力し、「Activate」をクリック
   
   
4. Applications Managerの［SAML認証］画面でSP証明書ファイルとSPメタデータファイルをダウンロード。エンティティIDとAssertion Consumer URLをコピー
5. JumpCloud画面の「SSO」タブで、ダウンロードしたSPメタデータファイルをアップロード
   
   
6. SAML Subject NameID欄に「username」を入力し、SAMLSubject NameID Format欄に「Persistent」または「Transient」を入力します。
   必要な署名アルゴリズムを選択し、「Activate」 をクリックします。
   
   
7. 「export metadata」からメタデータファイルをダウンロード
   その後、Applications Managerの［SAML認証］画面の「Identity Providerの詳細設定」でアップロード
   
   
8. 「User Group」から「All Users」を選択し、保存

上記設定を行いSAML認証を有効化すると、JumpCloud経由の認証ができるようになります。
Applications Managerのログイン画面で、「Login with JumpCloud（JumpCloudを使用してログイン）」を選択し、ログインを行います。

JumpCloud（本社ナレッジ）

OneLogin

1. OneLoginにログインし、「Applications」タブを表示
2. 「SAML Custom Connector (Advanced)」を選択
   
   
3. 「Configuration」メニューより、「Display Name」を入力して保存
   
   
4. Applications Managerの［SAML認証］画面で、エンティティIDとAssertion Consumer URL、SSOログアウトURLをコピー
5. OneLogin画面で、「Audience (EntityID)」と「ACS (Consumer) URL Validator」、「ACS (Consumer) URL」、「Single Logout URL」の項目に、コピーしたURLを入力し保存
   
   
6. Name ID formatに「Persistent」を選択し保存
   
   
7. 「Info」メニューで「More Actions」をクリックし、「SAML Metadata」よりメタデータファイルをダウンロード
8. Applications Managerの［SAML］認証画面の［Identity Providerの詳細設定］で、ダウンロードしたメタデータファイルをアップロード
9. SAML認証を有効化し、OneLoginの「SSO」メニューから必要な情報をコピー
10. 「Parameters」メニューで「Configured by admin」を選択し、「Edit Field NameID value」に「Username」を指定し保存
    
    

上記設定を行い、OneLogin経由の認証ができるようになります。
Applications Managerのログイン画面で、「Login with OneLogin（OneLoginを使用してログイン）」を選択し、ログインを行います。

OneLogin（本社ナレッジ）

よくある質問（FAQ）

1. SAML使用中にAD認証を有効/無効にするオプションはありますか。

はい。SAML認証を有効にすると、他の認証を無効にするチェックボックスが表示され、必要に応じて他のログイン方法を無効にすることができます。
スーパー管理者経由でのみローカルにログインが可能です（ローカル認証）。

2. 複数のIdPを設定できますか。

いいえ、現在一度に設定できるIdPは1つだけです。

3. Applications Managerでサポートされている［NameIDフォーマット］はなんですか。

現在、Applications ManagerのSAML認証でサポートされているネNameID形式は、TransientおよびPersistentです。

4. Applications ManagerでSAML認証とTFA機能の両方を使用できますか。

Applicaitons Managerでは、SAML認証が有効になっている場合はTFAを使用できません。
これは、SAML認証が有効になっている場合、認証フロー全体がIdPによって処理されるためです。TFAは、ローカル認証またはAD認証を使用してサインインする場合にのみ使用できます。

5. IdPにアクセスできない場合、製品Webクライアントにアクセスするにはどうすればよいですか。

IdPにアクセスできず、他の認証方法が無効になっている場合は、スーパー管理者経由でローカルにログインできます。
他の認証方法が無効になっていない場合は、ローカル認証またはAD認証を使用してApplications Managerにログインできます。

6. 証明書の有効期限が切れた場合、SAML認証を設定するにはどうすればよいですか。

証明書の有効期限が近づくと、ユーザーのログイン後にApplications Managerはアラートを生成します。サービスプロバイダーの証明書はApplications Manager UIから再生成してIdPにアップロードできます（その逆も可能です）。アップロード後、証明書の有効期間は更新されます。