シングルサインオン設定では、クラウドサービス(Google Workspace、Microsoft 365、Salesforce等)、SAML、OAuth、OpenID Connect、代理認証など各種サービスとの連携に必要な設定が行えます。
各種サービスの設定方法
Gluegent Gate で用意されているクラウドサービスとの連携はお客様ご自身にて行えます。
シングルサインオン>クラウドサービスをクリックし、「登録」をクリックすると Gluegent Gate で用意されているサービスが一覧表示されます。
連携したいサービスの操作アイコンをクリックし、設定を行ってください。
設定方法については、スタートアップガイドおよびクラウドサービス連携ガイドにて対象のサービスのマニュアルをご参照ください。
Gluegent Gate で用意されていないサービスとの連携はSAML または 代理認証にて行います。連携対象サービスが SAML に対応している場合は「SAML」を、対応していない場合は「代理認証」を使います。
クラウドサービス同様に「登録」にて設定を行います。
設定方法については、SAMLおよび代理認証のマニュアルをご参照ください。
OAuth
OAuth サービスプロバイダとして稼働することができ、ユーザーが持っている属性情報をOAuth コンシューマーに(ユーザー同意のもとで)送信することができます。
Gluegent Gate 管理画面にアクセスし、「シングルサインオン」→「OAuth」の順にクリックします。
OAuthコンシューマー一覧
「シングルサインオン」→「OAuth」をクリックすると登録されているOAuth コンシューマー⼀覧が表示されます。
- サービスID
- 登録時に入力したサービスのIDが表示されます。
- サービス名
- 登録時に入力したサービスの名称が表示されます。
- クライアントID
- OAuth クライアントIDが表示されます。
※登録画面で「保存」を押下した際に、自動生成された「クライアントID」が表示されます。
- リダイレクトURI
- 登録時に入力したリダイレクトURIが表示されます。
- 操作
-
編集アイコン:変更画面に遷移されます。
削除アイコン:対象のコンシューマーの設定を削除します。
OAuthコンシューマー新規登録
OAuthコンシューマーの新規登録は画面右上の「登録」タブをクリックします。
OAuthコンシューマー登録画面が表示されます。
- サービスID
- サービスを識別するIDを入力します。「-テナントID」が後ろに付加されます。
- サービス名
- 登録するサービスの表示名称を入力します。
※既に登録されている他サービスと重複した場合、エラーになります。
- クライアントシークレット
- こちらのクライアントシークレットには、お客様ご自身で任意の文字列をご入力してください。また連携するアプリケーション側にも全く同じ文字列を設定します。
注意:
クライアントシークレットに設定する任意の値は、お客様ご自身で、セキュリティを考慮した文字列を指定してください。第三者に推測されにくい、複雑な文字列の使用を推奨します。
クライアントシークレットに入力された値はマスクされます。更新画面では、既存値も表示されません。設定時には必ず正確な値をコピーするなどして、安全な場所に別途保管してください。紛失された場合は、新しいクライアントシークレットを再設定していただく必要があります。
- リダイレクトURI
- OAuth のリダイレクトURIを入力します。
- アクセス先URL
- ユーザーポータル画面に表示するリンクのアクセス先URLを⼊⼒します。
※アクセス先URL を設定しない場合、ユーザーポータル画面にリンクは表示されません。
- ポータルに表示するロゴ画像
- ポータルに表示するOAuth コンシューマーのロゴ画像のURLを設定します。ロゴ画像が公開されているURLを⼊⼒してください。
各種設定を行い、「保存」をクリックします。
OpenID Connect
ユーザーが持つ属性情報をOpenID Connect クライアントに送信し、OpenID ConnectのOpenIDプロバイダとして認証を行うことができます。
Gluegent Gate 管理画面にアクセスし、「シングルサインオン」→「OpenID Connect」の順にクリックします。
OpenID Connectクライアント一覧
「シングルサインオン」→「OpenID Connect」をクリックすると登録されているOpenID Connectクライアント一覧が表示されます。
- サービスID
- 登録時に入力したサービスのIDが表示されます。
- サービス名
- 登録時に入力したサービスの名称が表示されます。
- クライアントID
- 生成された⼀意のクライアントIDが表示されます。
※登録画面で「保存」を押下した際に、自動生成された「クライアントID」が表示されます。
- リダイレクトURI
- 登録時に入力したOpenID プロバイダのリダイレクトURIが表示されます。
- 発行者
- JWTの発行者が表示されます。
- 操作
-
編集アイコン:変更画面に遷移されます。
削除アイコン:対象のサービス設定を削除します。
OpenID Connect クライアント新規登録
OpenID Connect クライアントの新規登録は画面右上の「登録」タブをクリックします。
OpenID Connectクライアント登録画面が表示されます。
- サービスID
- サービスを識別するIDを入力します。「-テナントID」が後ろに付加されます。
- サービス名
- 登録するサービスの表示名称を入力します。
※既に登録されている他サービスと重複した場合、エラーになります。
- IDトークンタイプ
- IDトークンタイプを「JWS」「JWT」から選択します。
- クライアントシークレット
- OpenID プロバイダのクライアントシークレットを入力します。
※クライアントシークレットに入力された値はマスクされます。更新画面では、既存値も表示されません。
- リダイレクトURI
- OpenID プロバイダのリダイレクトURI を入力します。
- 認可画面の表示
- 認可画面の表示を「表示」「非表示」から選択します。
- カスタムIDトークン発行者
- カスタムIDトークン発行者の情報を入力します。
- IDトークン署名アルゴリズム
- IDトークン署名アルゴリズムを「RS256」「HS256」から選択します。
- IDトークン署名シークレット
- IDトークン署名シークレットを入力します。
- Claims の属性
- それぞれのレスポンスに格納する属性を選択します。
■sub:「ユーザーID」「メールアドレス」
■preferred_username:「ユーザーID」「ユーザーID@テナントID 」「メールアドレス」「サービス固有の値」
■groups:「グループ」「プロファイル」
- アクセス先URL
- ユーザーポータル画面に表示するリンクのアクセス先URLを⼊⼒します。
※アクセス先URLを設定しない場合、ユーザーポータル画面にリンクは表示されません。
- ポータルに表示するロゴ画像
- ユーザーポータルに表示するOpenID Connectクライアントのロゴ画像のURLを設定します。ロゴ画像が公開されているURLを⼊⼒してください。
各種設定を行い、「保存」をクリックします。
また、連携対象サービス側の設定は、対象サービスのマニュアルをご参照ください。
重要:
一部のお客様は旧ライセンス方式となっております。旧ライセンス方式のお客様は連携対象サービスの追加を行う際にご契約いただいているリセラーご担当者様または弊社営業担当者へお申し込みが必要です。
情報:
IdPとしてのGluegent GateがSPに提供する主な情報は以下の通りです。
SP側の設定画面でこれらの情報の入力を求められることがあります。
login URL:
基本的には、login URL の形式は下記のようになります。
https://auth.gluegent.net/oidc/authorize.php?tenant=<テナントid>
テナントIDについてはこちらからご確認いただくことが可能となります。
OpenID構成URL (Discoveryエンドポイント、Metadata URL):
OpenID Connect連携に必要な設定情報(接続先のURLや公開鍵の場所など)をまとめて取得できるURLです。
サービス提供側(SP)がこのURLを指定すると、設定が自動的に読み込まれる場合があります。
一般的には、下記のような形式となります。
URL: https://auth.gluegent.net/oidc/.well-known/openid-configuration
補足:
SP側の設定項目名が「Discoveryエンドポイント」「Metadata URL」「OpenID Provider Configuration URL」などとなっている場合、上記のURLを指定してください。