SAML認証を使用したシングルサインオンを設定する

Security Assertion Markup Language（SAML）とは、異なるセキュリティドメイン間で認証情報を連携するための、XMLベースの標準仕様です。
SAML認証を設定すると、社内のIdentity Provider（IdP）に登録されたユーザーアカウントで、cybozu.comにシングルサインオン（SSO）できます。
cybozu.comはSAML 2.0に対応し、Service Provider（SP）として動作します。

ここではSAML認証を使用したSSOの流れ、およびcybozu.comの設定手順を説明します。

SAML認証を使用したSSOの流れ

SAML認証を有効にすると、cybozu.comはSP InitiatedなSSOを行います。SAMLリクエストとSAMLレスポンスには、次のバインディングを使用します。

SAMLリクエスト：HTTP Redirect Binding
SAMLレスポンス：HTTP POST Binding

cybozu.comがユーザーを認証する流れは、次のとおりです。

SAML認証を使用したSSOの流れを説明する図

ユーザーがcybozu.comにアクセスする。
cybozu.comがSAMLリクエストを生成する。
ユーザーが、SPからSAMLリクエストを受け取る。
IdPがユーザーを認証する。
IdPがSAMLレスポンスを生成する。
ユーザーが、IdPからSAMLレスポンスを受け取る。
cybozu.comがSAMLレスポンスを受け取り、検証する。
SAMLレスポンスの内容に問題がない場合は、ユーザーがcybozu.comにログインした状態になる。

Identity Providerとcybozu.comをSAML認証で連携する

IdPとcybozu.comをSAML認証で連携するには、IdPとcybozu.comの両方で設定を行います。

IdPにcybozu.comを登録する

cybozu.comをSPとして設定するため、IdPに次の情報を登録します。

cybozu.comのエンドポイントURL：
https://（サブドメイン名）.cybozu.com/saml/acs
エンティティID：
https://（サブドメイン名）.cybozu.com
URLの最後に"/"（スラッシュ）をつけないでください。
ユーザーを識別する要素：NameID
cybozu.comをSPとして登録する際に、メタデータファイルを使用することもできます。
- メタデータファイルを入手するには：
  「cybozu.com共通管理」の「ログインのセキュリティ設定」画面で「SAML認証を有効にする」を選択し、[Service Providerメタデータのダウンロード」をクリックします。

cybozu.comでSAML認証を設定する

cybozu.comでSAML認証を有効化し、IdPの情報を設定します。

「cybozu.com共通管理」画面の「セキュリティ」の[ログイン]をクリックします。
「SAML認証を有効にする」を選択します。
必要な項目を設定します。
- Identity ProviderのSSOエンドポイントURL（HTTP-Redirect）
  SAMLリクエストの送信先を設定します。
- cybozu.comからのログアウト後に遷移するURL
  cybozu.comからログアウトした後に表示される、IdPのURLを設定します。
- Identity Providerが署名に使用する公開鍵の証明書
  RSAかDSAのアルゴリズムで生成された、公開鍵の証明書ファイルを添付します。X.509形式の証明書のみ利用できます。
[保存]をクリックします。
SAML認証を使用してログインするユーザーのログイン名を確認します。
cybozu.comのユーザーのログイン名に、NameIDに関連付けた値が登録されているかどうかを確認します。
SAML認証を使用してcybozu.comにSSOできるかどうかを確認します。
次の操作ができれば、設定は完了です。
- cybozu.comにアクセスすると、IdPの認証に成功し、ログイン後の画面が表示される。
- ログイン後の画面で、右上のユーザー名 > [ログアウト]の順にクリックすると、正常にログアウトできる。
  kintoneの画面を表示している場合は、をクリックして、[ログアウト]をクリックします。