このガイドでは、JumpCloud に新しいアプリケーションを作成し、Axur プラットフォームのサービスと SAML 2.0 を通じて通信できるようにする手順をステップバイステップで説明します。
本ガイドでは、シングルサインオン(SSO)が正しく期待どおりに機能するために必要なすべての設定について解説します。
目次
はじめに
グループ、ユーザー、および割り当て
グループの作成(オプション)
ユーザーの作成
ユーザーへのグループ割り当て(オプション)
新しいアプリケーションの作成
Axur プラットフォームから JumpCloud へのデータ送信
ユーザー属性のマッピング
ユーザーグループのマッピング(オプション)
JumpCloud プロバイダーの情報取得
アプリケーションへのグループ/ユーザーの割り当て
一般的なエラー
特定のエラー
はじめに
JumpCloud の管理者アカウントをお持ちであり、問題なくログインできることを確認してください。
設定を行う際は、指示された箇所にコピーまたは入力する情報が正確であることを必ず確認してください。
誤った情報を入力すると、後でアプリケーションのテストを行う際に問題が発生する可能性があります。
グループ、ユーザー、および割り当て
Axur プラットフォームでのすべての SSO アプリケーション作成チュートリアルには、「ユーザー」と「グループ」という概念が含まれています。
というのも、プロバイダー(IdP)は、すべてのユーザー情報が保存される場所であり、ユーザーが所属するグループ(グループの作成は任意)もここで管理されるためです。
このセクションでは、JumpCloud でのグループやユーザーの作成方法、およびユーザーをグループに割り当てる方法について説明します。
グループの作成(オプション)
このセクションは任意です。グループの管理は、必要に応じて Axur プラットフォーム内で行うことも可能です。
そのため、希望される場合は「グループの作成」「ユーザーへのグループ割り当て」「ユーザーグループのマッピング」の各セクションをスキップしていただいて構いません。
まず初めに、Axur プラットフォームで受け入れられる以下のグループと、それぞれのグループの説明をご確認ください。
グループ名 | グループの説明 |
Axur Viewer | このグループのユーザーは Axur プラットフォームにアクセスでき、チケット、検出結果、請求書の情報を閲覧できますが、操作は一切行えません。 |
Axur Analyst | このグループのユーザーはすべての情報を閲覧でき、かつ Takedown 要求以外の課金対象外アクションを実行できます。 |
Axur Expert | このグループのユーザーは、課金対象外アクションに加えて Takedown のリクエストも実行できます。 |
Axur Manager | このグループのユーザーは、すべてのアクション(課金対象および対象外)を実行でき、自身のユーザーによる操作履歴も確認できます。 |
Axur-Custom | このグループのユーザーには、カスタム設定された権限が付与されます。作成時に管理者が権限内容を決定します。 |
すべてのグループを作成する必要は ありません。ご利用のユースケースに最も適したグループのみを作成すれば問題ありません。
そのうえで、グループを作成するには、以下の基本情報を入力してください:
このプロセスを完了する前に、もうひとつ行う必要があります。
Axur プラットフォームでは、グループ名が以下の形式であることが求められています:
グループ名 | 希望する値(グループ名) |
Axur Viewer |
|
Axur Analyst |
|
Axur Expert |
|
Axur Manager |
|
Axur Custom |
|
JumpCloud では、新しいグループを好きな名前で作成できます(例の画像では「Axur demo - One Manager」という名前です)。
Axur プラットフォームが表の「希望する値(Valor desejado)」を正しく受け取れるように設定するため、グループ作成ページの下部にある Custom attributes(カスタム属性) セクションまでスクロールしてください。
そこで、以下のような設定を行います:
プロパティ名(この場合は「one-perm」)は任意の名前で構いません。ただし、Axur プラットフォームの SAML アプリケーション用に作成するすべてのグループで同じ名前を使うようにしてください。
プロパティの値(右側)は、上記の表にある希望する値と一致している必要があります。
この設定により、「one-perm」属性が Axur プラットフォームで認識可能な名前にマッピングされることが保証されます。
これでグループ作成の手続きを完了して問題ありません。
ユーザーの作成
ユーザーを作成するには、以下の画像の手順に従ってください:
JumpCloud でユーザーを作成する方法はいくつかありますが、本チュートリアルでは最もシンプルな方法を紹介しています。
どの方法でユーザーを作成する場合でも、以下の3つの項目が必ず入力されていることを確認してください。
これらが正しく設定されていないと、Axur プラットフォームとの連携が正常に動作しません。
First name(名)
Last name(姓)
Email(メールアドレス)
ユーザーへのグループ割り当て(オプション)
このセクションは任意です。グループ管理は必要に応じて Axur プラットフォーム内で行うことも可能です。
そのため、ご希望であれば「グループの作成」「ユーザーへのグループ割り当て」「ユーザーグループのマッピング」の各セクションをスキップしていただいて構いません。
作成したグループにユーザーを割り当てるには、以下の画像の手順に従ってください:
新しいアプリケーションの作成
以下の画像の手順に従って、Axur プラットフォームに情報を提供する SAML アプリケーションを作成してください:
アプリケーションを作成したら、SSO タブにアクセスしてください。ここで SSO に関するすべての設定を行います。
IdP Entity ID フィールドには、以下の形式の値を入力する必要があります。
https://sso.jumpcloud.com/saml2/<IDENTIFICATION>
<IDENTIFICATION> の部分には、例えば「minha-empresa」など任意の識別子を入れてください。
このページは他の設定作業のためにしばらくこのままにしておきますので、そのまま進めてください。
Axur プラットフォームから JumpCloud へデータ送信
JumpCloud がどの相手と通信するかを認識する必要があるため、SSO がスムーズに動作します。
以下のリンクをクリックして Axur プラットフォームのメタデータファイルをダウンロードしてください。
ダウンロードしたファイルは、後で見つけやすい場所に保存してください。
その後、画像で強調されているボタンをクリックしてください:
https://api.axur.com/gateway/1.0/saml-proxy/saml/metadata
ファイルをアップロードすると、サービスプロバイダー(SP)の必要な情報が自動で入力されます。
以下の項目が正しく入力されているか、そしてそれぞれの値が次の通りかを必ず確認してください:
項目 | 値 |
ACS URL |
|
SP Entity ID |
|
他の項目も自動的に入力される場合があります。
ファイルを正しくアップロードしていれば、特に追加で操作する必要はありません。
そのまま次のセクションへ進んでください。
ユーザー属性のマッピング
JumpCloud をプロバイダーとして利用する場合、JumpCloud に保存・管理されている認証情報を活用しています。これらの認証情報はプロバイダーが定めたフォーマットで保存されています。
しかし、SAML を使って Axur プラットフォームと連携するには、ユーザー情報が標準化された形式で送信される必要があります。
つまり、JumpCloud からであれ他のプロバイダーからであれ、Axur プラットフォームが常に同じ形式でユーザーのメール属性を受け取れるようにしなければなりません。
プロバイダーごとにデータの保存形式が異なるため、マッピング設定によってこの問題を解決します。
引き続き、SSO タブ内で、以下の画像の手順に従って JumpCloud アプリケーションにユーザー属性のマッピングを追加してください。
入力すべき値は以下の通りです:
アプリケーション属性 | JumpCloud の属性 |
| firstname |
| lastname |
|
「Add Attribute」ボタンをクリックして、以下の画像のように設定が完了するまで繰り返してください。
ユーザーグループのマッピング(オプション)
このセクションは任意です。グループ管理は必要に応じて Axur プラットフォーム内で行うことも可能です。
そのため、ご希望であれば「グループの作成」「ユーザーへのグループ割り当て」「ユーザーグループのマッピング」の各セクションをスキップしていただいて構いません。
ユーザー属性と同様に、グループも特定の基準でユーザーをまとめる役割を持っています。これらのグループは JumpCloud の管理者によって作成されますが、前述のとおり、どのプロバイダーであっても Axur プラットフォームに標準化された形式で情報を送信するために、マッピングが必要です。
このセクションでは、「グループ、ユーザー、および割り当て」のセクションで作成した各グループを、JumpCloud 側でどのようにマッピングして Axur プラットフォームへ送信するかを設定します。
引き続き、SSO タブの Attributes セクションで、以下のキーと値のペアを持つ属性を追加してください。
右側の設定では「Custom attribute」を選択し、「グループの作成(オプション)」セクションで作成したカスタム属性名を入力します。
アプリケーション属性 | JumpCloud の属性 |
| one-perm |
ご注意ください。one-perm は、グループ作成時に設定したカスタム属性名です。
この属性は、「グループの作成(オプション)」セクションの最後の表にある希望するグループ名のいずれかにマッピングされます。
正しい属性名を必ず使用してください。
JumpCloud プロバイダー情報の取得
JumpCloud をアイデンティティプロバイダー(IdP)として利用しているため、Axur プラットフォームが通信相手を認識し、その情報が安全で信頼できるものであることを確認するための情報を取得する必要があります。
SSO アプリケーションの設定が完了したら、アプリケーションのメインページにアクセスしてください。
そこには、JumpCloud の情報を取得するための2つのオプションが表示されます。
ファイルをダウンロードするか、同じ内容を参照する URL をコピーすることができます。
この情報は設定ガイドで使用するため、必ず保存しておいてください。
グループ/ユーザーをアプリケーションに割り当てる
最後に、作成した新しいアプリケーションにユーザーまたはグループを割り当てます。
まず、User Groups セクションで割り当てたいグループを選択し、Save ボタンをクリックしてください。
もしグループ作成関連のセクションをすべてスキップした場合は、特定のユーザーを検索し、そのユーザーの名前の横にあるチェックボックスをオンにしてください。
保存することで、そのユーザーがアプリケーションにアクセスできるようになります。
よくあるエラー
サービスプロバイダー(SP)の情報(今回の場合は Axur プラットフォーム)
該当セクションのデータが正確であることを必ず確認してください。アイデンティティプロバイダー(IdP)の情報(今回の場合は JumpCloud)
ダウンロードしたファイルが改変されていないか確認してください。ユーザーおよびグループのマッピング情報(グループマッピングをプロバイダーで設定した場合のみ)
値が正しいかをチェックし、必要に応じて修正してください。アプリケーションへのアクセス権情報
グループまたは直接ユーザーの割り当てが正しく行われているかを確認してください。
Erros específicos
エラー | 説明 | 対処方法 |
Non Authorized IdP or expired IdP login | IdP が未承認、またはセッションが期限切れ | フェデレーションメタデータと IdP の設定を確認してください。 |
Missing value for string parameter [email claim] | メールクレームが欠落または空 | IdP でメール属性が正しく設定されているか確認してください。 |
Redirection error | IdP のエンドポイント URL が間違っている | エンドポイント設定が正しいか確認してください。 |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | アサーションの対象が SP ではない | アプリケーションの entityId が |
Authentication statement is too old to be used with value {date} | 認証ステートメントの有効期限切れ | IdP のセッション期間が7日を超えていないか確認し、必要に応じてサポートへ連絡してください。 |
Validation of protocol message signature failed | SAML メッセージの署名が無効 | フェデレーションメタデータが正しく提供されているか確認してください。 |
これで JumpCloud 側の必要な設定は完了です。
続けて、プラットフォームの設定ガイドに戻り、アプリケーション作成を完了させてください。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊