SAML認証

SAML（Security Assertion Markup Language）は、サービスプロバイダー（SP）と、IDプロバイダー（IdP）間で、認証情報を交換するXMLベースの認証方式です。

シングルサインオン（SSO）を使用して、共通のログイン情報で複数のアプリケーションにアクセスします。

目次

• 概要
• 用語解説
• OpManagerでのSAML設定手順
• IdPでのSAML設定手順
  • Okta
  • Microsoft ADFS
  • Azure SSO
  • JumpCloud
  • OneLogin

概要

ユーザーはSAML認証でOpManagerにログインすることができます。
サインイン中に認証リクエストがIdPに送信され、ユーザーの認証情報がチェックされます。
その後、SP（＝OpManager）に応答を返し、ユーザーはログインできるようになります。

例として、SAML認証を有効にすると、IdP側のSSOログインページに接続するオプションを利用できるようになります。
サインインすると、ユーザーは、OpManagerにリダイレクトされ、製品にログインできるようになります。
ユーザーを認証できない（サインインできない）場合には、アクセスが拒否されます。

用語解説

サービスプロバイダー（SP）

サービスプロバイダー（SP）は、エンドユーザーにサービスを提供するアプリケーションまたはサードパーティを指します。
SPはIdPからの認証情報を必要とします。
例：ManageEngine OpManager

IDプロバイダー（IdP）

IDプロバイダー（IdP）は、ユーザーIDや、ユーザー名/パスワード/SSHキーなどのリソースを格納するエンティティを指します。
例：Okta、Microsoft ADFS、Auth0、CyberArk、Azure SSO

OpManagerでのSAML設定手順

サービスプロバイダー（SP）の設定

OpManagerとIdPを連携するために設定します。
［設定］→［一般設定］→［認証］→［SAML］を表示すると、以下の各情報のリンクが表示されます。

• エンティティID
• アサーションコンシューマーURL
• シングルサインオンログアウトURL
• SP証明書ファイルのダウンロード
• SPメタデータファイルのダウンロード
  メタデータファイルをダウンロードして、IdP側にインポートすることもできます。

各IdP間とのSAML認証設定方法は以下を確認してください。

• Okta
• Microsoft ADFS
• Azure SSO
• JumpCloud
• OneLogin

Identity Provider（IdP）の設定

SAML IdPから提供される各情報を設定します。
設定方法には以下の2つがあります。

• IdPメタデータファイルをアップロードする
• IdP情報を手動で設定する

IdPメタデータファイルをアップロードする

IdPのメタデータファイルがある場合には、以下の手順でOpManagerにアップロードします。

1. ［IdPメタデータファイルをアップロードする］にチェックをつけます。
2. ［IdP］名を入力します。
3. ［IdPメタデータファイルのアップロード］で［参照］をクリックし、メタデータファイルを選択します。

IdP情報を手動で設定する

以下の手順でIdP情報を入力します。

1. ［IdP情報を手動で設定する］にチェックを入れます。
2. 以下の各情報を入力します。
   • IdP名
   • IdPログインURL
   • IdPログアウトURL
   • IdP証明書
3. ［保存］をクリックします。

IdPでのSAML設定手順

Okta

1. ［www.okta.com］にアクセスし、Oktaにログインします。
2. Adminタブをクリックし、［Applications］に移動します。
   
3. ［Create a new app integration］をクリックします。
   
4. ［SAML2.0］を選択後、［Next］をクリックします。
5. ［App Name］でサービスプロバイダー（SP）名を入力し、［Next］をクリックします。
   
6. OpManagerで［設定］→［一般設定］→［認証］→［SAML］を開き、エンティティIDとアサーションコンシューマーURLをコピーします。
7. Oktaのページに戻り、［Name ID format］に"Persistent"または"Transient"を選択します。
8. 手順4でコピーした情報を入力し、［Next］をクリックします。
   Oktaでは、シングルログアウトはオプションです。必要に応じて設定してください。
   
9. ［I’m a software vendor. I’d like to integrate my app with Okta］を選択し、［Finish］をクリックします。
   
10. ［Applications］→［Applications］に移動し、［View Setup Instructions］をクリックします。
11. 以下の各内容をコピーします。
    • Identity Provider Single Sign-on URL
    • Identity Provider Single Logout URL
    • Identity provider Issuer
    • X.509 Certificate
    
12. 手順11でコピーした内容をOpManagerの［Identity Provider（IdP）の詳細設定］の各項目にペーストします。
13. ［Applications］→［Applications］画面で、［Assign］→［Assign to People］をクリックします。
14. ユーザーを作成したサービスプロバイダー（SP）も割り当て、［Save and Go Back］をクリックします。
15. OpManagerのIdP設定を保存します。

両サイドの設定が完了し、SAML認証を有効化すると、Okta経由の認証ができるようになります。
OpManagerのログイン画面で、［Oktaを使用してログイン］を選択し、ログインを行います。

Microsoft ADFS

1. ［AD FS management］を開き、［Add Relying Party Trust］をクリックします。
   
2. OpManagerの［設定］→［一般設定］→［認証］→［SAML］で、SP証明書とSPメタデータファイルをダウンロードします。
3. OpManagerの［設定］→［一般設定］→［認証］→［SAML］でエンティティIDとアサーションコンシューマーURLをコピーします。
4. ADFS画面で、［Start］をクリックし、［Import data about the relying party from a file］を選択します。
5. メタデータファイルをアップロードして、［Next］をクリックします。
   

上記設定後、SAML認証を有効化すると、ADFS経由の認証ができるようになります。
OpManagerのログイン画面で、［AD FSを使用してログイン］を選択し、ログインを行います。

Azure SSO

1. Azureアカウントにログインし、［Azure Active Directory］を選択します。
   
2. ［Enterprise applications］をクリックし、［New Application］→［Create your own Application］を選択します。
   
3. ［What's the name of your app?］配下でアプリケーション名を任意に入力し、［Create］をクリックします。
4. ［Single sign-on］から［SAML］を選択します。
   
5. OpManagerの［設定］→［一般設定］→［認証］→［SAML］で、以下の情報をコピーします。
   • エンティティID
   • アサーションコンシューマーURL
   • シングルサインオンログアウトURL
6. ［Basic SAML Configuration ］の［Edit］から、前項でコピーした情報を入力します。
   
7. ［Attributes & Claims］の項目で［Edit］をクリックし、［Unique User Identifier name (Name ID)］を選択します。
8. Name Identifier formatとして［Persistent］を、Source Attributeとして［Display Name］を選択します。
9. ［SAML Signing Certificate ］の項目で、XMLファイル［Federation Metadata］をダウンロードします。
   
10. OpManagerの［設定］→［一般設定］→［認証］→［SAML］を開き、［Identity Providerの詳細設定］からダウンロードしたメタデータファイルをアップロードし保存します。
11. SAMLシングルサインオンを有効化します。（？）
12. Azure画面で［Users and groups］を選択し、ユーザーを［Assign］します。（？）
    

上記設定後、Azure経由の認証ができるようになります。
OpManagerのログイン画面で、［Azureを使用してログイン］を選択し、ログインを行います

JumpCloud

1. JumpCloudにログインし、左のサイドメニューより［SSO］をクリックします。
   
2. 追加アイコンをクリックし、［Custom SAML App］を選択します。
   
3. ［Display Label ］を入力し、［Activate］をクリックします。
   
4. OpManagerの［設定］→［一般設定］→［認証］→［SAML］で、SP証明書ファイルとSPメタデータファイルをダウンロードします。
5. OpManagerの［設定］→［一般設定］→［認証］→［SAML］で、エンティティIDとアサーションコンシューマーURLをコピーします。
6. JumpCloud画面の［SSO］タブで、ダウンロードしたSPメタデータファイルをアップロードします。
   
7. SAML Subject NameIDで［username］、Persistentを［SAML Subject NameID Format］を選択します。
8. ［Activate］をクリックします。
   
9. ［export metadata］からメタデータファイルをダウンロードします。
   
10. OpManagerの［設定］→［一般設定］→［認証］→［SAML］の［Identity Providerの詳細設定］で、前項でダウンロードしたメタデータファイルをアップロードします。
11. ［User Group］から［All Users］を選択し保存します。

上記設定を行いSAML認証を有効化すると、JumpCloud経由の認証ができるようになります。
OpManagerのログイン画面で、［JumpCloudを使用してログイン］を選択し、ログインを行います。

OneLogin

1. OneLoginにログインし、［Applications］タブを表示します。
2. ［SAML Custom Connector (Advanced)］を選択します。
   
3. ［Configuration］メニューより、［Display Name］を入力して保存します。
   
4. OpManagerの［設定］→［一般設定］→［認証］→［SAML］で以下の項目をコピーします。
   • エンティティID
   • アサーションコンシューマーURL
   • シングルサインオンログアウトURL
5. OneLoginのページで、以下の項目を前項でコピーした内容に基づいて入力します。
   • Audience (EntityID)
   • ACS (Consumer) URL Validator
   • ACS (Consumer) URL
   • Single Logout URL
   
6. Name ID formatに［Persistent］を選択して保存します。
   
7. ［Info］メニューで［More Actions］をクリックし、［SAML Metadata］よりメタデータファイルをダウンロードします。
8. OpManagerの［設定］→［一般設定］→［認証］→［SAML］の［Identity Providerの詳細設定］で、前項でダウンロードしたメタデータファイルをアップロードします。
9. SAML認証を有効化し、OneLoginの［SSO］メニューから必要な情報をコピーします。
10. ［Parameters］メニューで［Configured by admin］を選択し、［Edit Field NameID value］に［Username］を指定し保存します。
    

上記設定を行い、OneCloud経由の認証ができるようになります。
OpManagerのログイン画面で、［OneLoginを使用してログイン］を選択し、ログインを行います。