SAML認証を使用したシングルサインオンを設定する
Security Assertion Markup Language(SAML)とは、異なるセキュリティドメイン間で認証情報を連携するための、XMLベースの標準仕様です。
SAML認証を設定すると、社内のIdentity Provider(IdP)に登録されたユーザーアカウントで、cybozu.comにシングルサインオン(SSO)できます。
cybozu.comはSAML 2.0に対応し、Service Provider(SP)として動作します。
ここではSAML認証を使用したSSOの流れ、およびcybozu.comの設定手順を説明します。
SAML認証を使用したSSOの流れ
SAML認証を有効にすると、cybozu.comはSP InitiatedなSSOを行います。SAMLリクエストとSAMLレスポンスには、次のバインディングを使用します。
- SAMLリクエスト:HTTP Redirect Binding
- SAMLレスポンス:HTTP POST Binding
cybozu.comがユーザーを認証する流れは、次のとおりです。
- ユーザーがcybozu.comにアクセスする。
- cybozu.comがSAMLリクエストを生成する。
- ユーザーが、SPからSAMLリクエストを受け取る。
- IdPがユーザーを認証する。
- IdPがSAMLレスポンスを生成する。
- ユーザーが、IdPからSAMLレスポンスを受け取る。
- cybozu.comがSAMLレスポンスを受け取り、検証する。
- SAMLレスポンスの内容に問題がない場合は、ユーザーがcybozu.comにログインした状態になる。
Identity Providerとcybozu.comをSAML認証で連携する
IdPとcybozu.comをSAML認証で連携するには、IdPとcybozu.comの両方で設定を行います。
IdPにcybozu.comを登録する
cybozu.comをSPとして設定するため、IdPに次の情報を登録します。
- cybozu.comのエンドポイントURL
https://(サブドメイン名).cybozu.com/saml/acs
- エンティティID
https://(サブドメイン名).cybozu.com
URLの最後に"/"(スラッシュ)をつけないでください。
- ユーザーを識別する要素
NameID
- cybozu.comをSPとして登録する際に、メタデータファイルを使用することもできます。
- メタデータファイルを入手するには
「cybozu.com共通管理」の「ログインのセキュリティ設定」画面で「SAML認証を有効にする」を選択し、[Service Providerメタデータのダウンロード」をクリックします。
- メタデータファイルを入手するには
cybozu.comでSAML認証を設定する
cybozu.comでSAML認証を有効化し、IdPの情報を設定します。
- 「cybozu.com共通管理」画面の「セキュリティ」の[ログイン]をクリックします。
- 「SAML認証を有効にする」を選択します。
- 必要な項目を設定します。
- Identity ProviderのSSOエンドポイントURL(HTTP-Redirect)
SAMLリクエストの送信先を設定します。 - cybozu.comからのログアウト後に遷移するURL
cybozu.comからログアウトした後に表示される、IdPのURLを設定します。 - Identity Providerが署名に使用する公開鍵の証明書
RSAかDSAのアルゴリズムで生成された、公開鍵の証明書ファイルを添付します。X.509形式の証明書のみ利用できます。
- Identity ProviderのSSOエンドポイントURL(HTTP-Redirect)
- [保存]をクリックします。
- SAML認証を使用してログインするユーザーのログイン名を確認します。
cybozu.comのユーザーのログイン名に、NameIDに関連付けた値が登録されているかどうかを確認します。 - SAML認証を使用してcybozu.comにSSOできるかどうかを確認します。
次の操作ができれば、設定は完了です。- cybozu.comにアクセスすると、IdPの認証に成功し、ログイン後の画面が表示される。
- ログイン後の画面で、右上のユーザー名 > [ログアウト]の順にクリックすると、正常にログアウトできる。
kintoneの画面を表示している場合は、
をクリックして、[ログアウト]をクリックします。