このチュートリアルでは、Axurプラットフォームで公式にサポートされていないアイデンティティプロバイダー(IdP)―つまり「その他」と分類されるIdP―でSAMLアプリケーションを設定する方法を学びます。
このプロセスは、多くのIdPに共通する手順に従っており、ご利用のプロバイダーで利用可能なオプションに応じて調整することが可能です。
この設定により、安全かつ簡便にSSO(シングルサインオン)ログインを有効化し、ユーザーが1回の認証でプラットフォームにアクセスできるようになります。
目次
始める前に
以下に、AxurプラットフォームでSAMLプロトコルを使用した新しいSSOアプリケーションを作成するためのチュートリアルをご紹介します。
当社プラットフォームでは、信頼できる一部のプロバイダーに対して「承認済み」としてSSO構成ガイドを提供しています:
プロバイダーによって手順の順序が多少異なる場合がありますが、以下のセクションはほとんどの環境で機能する一般的な構成手順の流れを表しています。
グループ、ユーザー、および割り当て
AxurプラットフォームでのSSOアプリケーション作成に関するすべてのチュートリアルでは、「ユーザー」と「グループ」という概念が登場します。
というのも、ユーザーに関するすべての情報や、それぞれが所属するグループはアイデンティティプロバイダー側に保存されるためです。Criando um grupo (opcional)
このセクションは任意です。グループは、必要に応じてAxurプラットフォーム内で管理することもできます。
したがって、ご希望であれば「グループの作成」「ユーザーへのグループの割り当て」「ユーザーグループのマッピング」の各セクションはスキップ可能です。
Axurプラットフォームが期待する正確な名前でグループを作成することができます。
たとえば、2つのグループを作成することができます。1つは識別しやすい名前(例:Axur Platform Viewer)で、もう1つはAxurプラットフォームが期待する正式な名前(この例では「one-viewer」)とします。次に、アイデンティティプロバイダー上で、識別しやすい名前のグループに属するすべてのユーザーを、Axurプラットフォームが期待する名前のグループに関連付けるルールを作成する必要があります。
この戦略は純粋に組織的な目的に基づくものであり、複数のアプリケーションや多数の異なるグループを管理する必要がある場合に特に有用です。
注意: グループ名が定められたパターンに従っていることは非常に重要です。具体的には、新しいグループ名は以下の表にあるサフィックス(接尾辞)を含む必要があります:
グループ |
one-viewer |
one-practitioner |
one-expert |
one-manager |
one-basic |
この点で、Axur-one-manager や ClientX-one-expert のようなグループ名は有効ですが、Axur-manager や ClientX-analyst は期待されるサフィックスが含まれていないため無効です。
不明点がある場合は、各種チュートリアルをご参照ください。
ユーザーの作成
プロバイダーでユーザーを作成する必要があります。各ユーザーに以下の情報が含まれていることを必ず確認してください。この情報はプロセスを正常に機能させるために非常に重要です。
名(名前)
姓(苗字)
メールアドレス
これらの項目が正しく入力されていることを必ず確認してください。正しくない場合、認証時にマッピングが失敗する可能性があります。
ユーザーへのグループ割り当て(任意)
このセクションは任意です。グループは必要に応じてAxurプラットフォーム上で直接管理することもできます。したがって、ご希望の場合は「グループの作成」「ユーザーへのグループ割り当て」「ユーザーグループのマッピング」の各セクションをスキップしても問題ありません。
もしプロバイダーでグループを作成することを決めた場合は、作成したユーザーをそれらのグループに追加する必要があります。グループ名が正しいこと、そしてユーザーが適切なグループに所属していることを必ず確認してください。そうしないと、SSOが正しく機能しません。
新しいアプリケーションの作成
プロバイダーで、ユーザーの情報をプラットフォームAxurに提供する役割を持つ新しいアプリケーションを作成してください。
アプリケーションがSAMLプロトコルを使用していることを必ず確認してください。これが正しい動作のために非常に重要です。
アプリケーション名、説明、必要に応じてアイコンなどの情報を入力してください。
これでアプリケーション作成のセクションは一般的に完了です。
プロバイダー情報の取得
アイデンティティプロバイダーを使用する際、プラットフォームAxurに通信相手と情報の安全性・信頼性を知らせるために、いくつかの情報を取得する必要があります。これらの情報は「プロバイダーメタデータ」と呼ばれます。
通常、プロバイダーを識別するために必要な情報がすべて含まれた.xmlファイルをダウンロードできます。これは最も簡単な方法の一つで、ファイル内にすべての情報が含まれており、コピーする必要がありません。該当する場合はファイルをダウンロードし、後で使用するために保管してください。
一部のプロバイダーはメタデータを指すリンクを提供しています。こちらの場合はリンクをコピーし、後で使用するために保管してください。
これらの情報は後で、プラットフォームAxurでSSOを設定する際に使用します。
Axurプラットフォームからプロバイダーへのデータ送信
SSOプロセスが正しく機能するためには、プロバイダーが通信相手を把握している必要があります。そのため、サービスプロバイダー(この場合はAxurプラットフォーム)のデータをプロバイダー側に提供することが重要です。
一般的に、プロバイダーは以下の情報を求めることが多いです。各項目について、必須か任意かを記載しています。
フィールド | 値 |
ACS URL(通常必須) | |
エンティティID(通常必須) | com:axur:sso |
ログアウトURL(通常は任意) |
一部のプロバイダーでは、上記のすべての情報が含まれているメタデータファイルの提出を求められることがあります。その場合は、以下のURLを使用してください。
サービスプロバイダーの情報が含まれているセクションを見つけ、必要な項目を入力してください。
ユーザー属性のマッピング
当社のプロバイダーを使用する場合、すでにプロバイダーによって保存および管理されている資格情報を利用しています。これらの資格情報は、プロバイダーが定めた形式で保存されています。しかし、SAMLを使ってAxurプラットフォームと通信するためには、ユーザーデータが標準化された形式で送信される必要があります。つまり、Axurプラットフォームがどのプロバイダーからデータを受け取っても、常に同じ形式でユーザーのメール属性を受け取れるようにする必要があります。プロバイダーごとにデータの保存方法が異なるため、マッピングがこの問題を解決します。
プロバイダーは通常、フィールドの値を決定するための選択可能なメニューを提供しています(下記の表を参照)。内容は異なる表記(例えば、プロバイダーXでは「Primary Email」、プロバイダーYでは「user.email」など)でも構いませんが、論理は同じです。中には正しいマッピングがあらかじめ設定されているプロバイダーもあり、その場合は一部のマッピングを削除するだけで済みます。一般的に、マッピングの「Maps to fields」には以下の値を設定することが重要です。
フィールド (フィールド) | マッピング先 (マッピングさき) |
Primary Email | |
First name | |
Last name |
ユーザーグループのマッピング(オプション)
このセクションはオプションです。グループは、必要に応じて直接Axurプラットフォーム内で管理することもできます。したがって、グループの作成、ユーザーへのグループ割り当て、ユーザーグループのマッピングのセクションはスキップしても問題ありません。
ユーザー属性と同様に、特定の条件に基づいてユーザーをまとめるグループも存在します。これらのグループは管理者がプロバイダー側で作成し、前のセクションで説明したように、どのプロバイダーからのデータであってもAxurプラットフォームに標準化された形で情報を送信できるよう、マッピングを作成する必要があります。
前のセクションのユーザー属性マッピングのロジックに従い、グループについても同様の対応を行う必要があります。一般的には、以下のパターンに従ってマッピングを作成します:
フィールド (フィールド) | マッピング先 (マッピングさき) |
| |
one-manager | |
one-... |
設定のスタイルはプロバイダーによって異なる場合があります。
あるプロバイダーではグループ検索メニューがあり、必要なグループをすべて追加した後でURLを一度だけ入力すればよい場合があります。
別のプロバイダーではURLは不要で、グループ名の値だけを入力すればよいこともあります。
また、1つのURLと「one-.*」のような汎用パターンを一緒に入力できる場合もあります。
具体的な設定方法について疑問がある場合は、各プロバイダーのチュートリアルを参照してください。
アプリケーションへのグループ/ユーザーの割り当て
新しく作成したアプリケーションにユーザーまたはグループを割り当てる作業が残っています。ここで必要な操作は、選択した方法によって異なります:
プロバイダーでグループを作成した場合は、そのグループを新しいアプリケーションに追加し、有効になっていることを確認してください。これにより、そのグループに属するすべてのユーザーがアプリケーションにアクセスできるようになります。
プロバイダーでグループを作成していない場合は、必要なユーザーを直接アプリケーションに割り当ててください。
よくあるエラー
サービスプロバイダー(SP)情報(この場合はAxurプラットフォーム):対応するセクションの情報を確認し、正しいことを確かめてください。
アイデンティティプロバイダー(IdP)情報:ダウンロードしたファイルに改変がないか確認してください。
ユーザーおよびグループのマッピング情報(グループマッピングをプロバイダーで作成した場合のみ):値が正しいか確認し、必要に応じて調整してください。
アプリケーションへのアクセス情報:正しいグループやユーザーがアプリケーションに割り当てられているか確認してください。
これでプロバイダー側の設定は完了です。プラットフォームの設定ガイドに戻り、アプリケーションの作成を完了させてください。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊