設定使用SAML身份驗證的單一登入

所謂的Security Assertion Markup Language(SAML),是XML Base的標準規格,目的是為了將不同安全性網域間的身份驗證資訊進行整合。
設定SAML身份驗證後,便能夠以登錄於社內Identity Provider(IdP)的使用者帳號,單一登入(SSO)cybozu.com。
cybozu.com會對應SAML 2.0而作為Service Provider(SP)運作。

在此說明使用SAML身份驗證的SSO的流程,以及cybozu.com的設定步驟。

使用了SAML身份驗證的SSO的流程

啟用SAML身份驗證後,cybozu.com將執行SP Initiated SSO。SAML Request與SAML Response則需使用以下繫結。

  • SAML Request:HTTP Redirect Binding
  • SAML Response:HTTP POST Binding

cybozu.com驗證使用者身份的流程如下所示。

使用了SAML身份驗證的SSO的流程說明圖
  1. 使用者存取cybozu.com。
  2. cybozu.com產生SAML Request。
  3. 使用者自SP接收SAML Request。
  4. IdP驗證使用者身份。
  5. IdP產生SAML Response。
  6. 使用者自IdP接收SAML Response。
  7. cybozu.com接收SAML Response,進行驗證。
  8. 若SAML Response的內容沒有問題,使用者便會進入已登入cybozu.com的狀態。

透過SAML身份驗證將Identity Provider與cybozu.com進行整合

欲透過SAML身份驗證將IdP與cybozu.com進行整合,須對IdP與cybozu.com雙方進行設定。

於IdP登錄cybozu.com

為將cybozu.com設定為SP,需於IdP登錄以下資訊。

  • cybozu.com的端點URL:
    https://(子網域).cybozu.com/saml/acs
  • 實體ID:
    https://(子網域).cybozu.com
    請在URL的最後方加上"/"(左斜線)。
  • 識別使用者的元素:NameID
  • 將cybozu.com作為SP進行登錄時,也能夠使用元資料檔案。
    • 若欲取得元資料檔案:
      在「cybozu.com共通管理」的「登入的安全性設定」頁面選擇「啟用SAML身份驗證」,然後點擊「下載Service Provider元資料」。

於cybozu.com設定SAML身份驗證

於cybozu.com啟用SAML身份驗證,設定IdP的資訊。

  1. 點擊「cybozu.com共通管理」頁面中「安全性」下的[登入]。
  2. 選擇「啟用SAML身份驗證」。
  3. 設定必要的項目。
    • Identity Provider的SSO終結點URL(HTTP-Redirect)
      設定SAML Request的傳送對象。
    • 從cybozu.com登出後要轉移的URL
      設定從cybozu.com登出後所顯示的IdP URL。
    • Identity Provider在簽名時使用的公開金鑰證書
      附加以RSA或DSA演算法產生的公開金鑰證明書檔案。僅能使用X.509格式的證明書。
  4. 點擊[儲存]。
  5. 確認使用SAML身份驗證登入的使用者的登入名稱。
    確認NameID的關聯值是否登錄於cybozu.com的使用者登入名稱。
  6. 確認使用SAML身份驗證是否能於cybozu.com進行SSO。
    只要完成下列操作,即設定完成。
    • 存取cybozu.com後,IdP的身份驗證成功,顯示登入後的畫面。
    • 在登入後的畫面,依序點擊右上方的使用者名稱> [登出],即可正常登出。
      若顯示kintone的畫面,則點擊 圖片,再點擊[登出]。