SAML によるシングルサインオンを実現するには、予め IdP と SP が互いに連携情報(メタ情報)を教え合い、信頼関係を構築する必要があります。
IdP 側の情報
SP に設定する IdP(Gluegent Gate 側)のメタ情報です。
IdP 側 SAML 情報
- ログイン URL
-
SP から認証要求を受ける URL です。(SingleSignOnService Location)
https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=<テナント ID>
※<テナント ID>部分は Gluegent Gate テナント ID に置き換えてください。
- ログアウト URL
-
SP からログアウトの要求を受ける URL です。
https://auth.gluegent.net/saml/saml2/idp/initSLO.php?RelayState=/saml/logout.php&logout=<サービス ID>
※<サービス ID>部分は管理情報で設定したサービス ID に置き換えてください。
※上記URLを指定し、SPからログアウトしても、IDP側がログアウトしない場合は、以下のURLに置き換えてください。
https://auth.gluegent.net/saml/saml2/idp/SingleLogoutService.php?ReturnTo=/saml/logout.php
※上記URLを指定し、SPからログアウトしても、IDP側がログアウトしない場合は、以下のURLに置き換えてください。
https://auth.gluegent.net/sso/logout.cgi
- パスワード変更 URL
-
ユーザーが Gluegent Gate 上の自身のパスワードを変更する為の URL
https://auth.gluegent.net/user/password.php
※ユーザー自身のパスワード変更をさせたくない場合は以下の URL を利用ください。
https://auth.gluegent.net/static/denied_change_password.html
- エンティティ ID
-
Gluegent Gate からの認証応答(SAML アサーション)に含まれる識別子。「発行者」とも呼ばれます。(EntityDescriptor entityID)
https://slink.secioss.com/<テナントID>
※<テナントID>部分は Gluegent Gate テナント ID に置き換えてください。
- 認証応答に含まれるユーザー ID の場所
- Subject 要素内の NameID 要素に格納
- 認証応答の署名検証の公開鍵
- Gluegent Gate 管理画面「システム」-「idP証明書」にて、「使用中」となっている証明書をダウンロードしてください。
- 認証応答の暗号化
- 無し
SP 側の情報
IdP に設定する SP 側の情報です。
SP 側の仕様をご確認の上、Gluegent Gate 管理画面にて「シングルサインオン」→「SAML」をクリックします。
「登録」をクリックし、連携対象サービスを登録してください。
必要事項を入力します。
- サービスID
- Gluegent Gate が SP を識別するための ID。
- 任意の値で構いません。
- サービス ID に記号は使用できません。英数字のみ使用可能です。
- 既に登録された SAML SP とは重複できません。
- シングルサインオン>クラウドサービスで使用するサービスID(googleapps, office365など)は使用できません。
- サービス名
- Gluegent Gate 管理画面上の表示名。
- 任意の値で構いません。
- エンティティID
- SP からの認証要求(SAML リクエスト)に含まれる識別子。「エンティティID」や「発行者」とも呼ばれます。Gluegent Gate は、本設定値と SP からの認証要求に含まれる識別子を照らし合わせ、要求元の SP を識別・検証します。
- 既に登録された SAML SP とは重複できません。
- Assertion Consumer Service
- Gluegent Gate から SP への認証応答(SAML アサーション)の送信先 URL。
- ログアウトURL
- シングルログアウトを行う場合の SP 側のログアウト URL。Gluegent Gate と連携された他の SP でログアウトされた際に、連動して本設定値の URL にアクセスし、この SP からのログアウトを試行します。
- デフォルトRelayState
- IdP-Initiated の場合のみ使用します。IdP-Initiated で認証した場合にリダイレクトする URL を指定します。
- IDの属性
-
SP に送信する ID の形式を以下から選択します。
●urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
●urn:oasis:names:tc:SAML:2.0:nameid-format:transient
●urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
●urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
■ persistent(永続 ID)は、ユーザーログイン毎に SP に送信する ID を次項の Gluegent Gate の属性から選択することができます。
■ transient(一時 ID)は、ユーザーログイン毎にランダムな値が ID として SP に送信されます。(次項の「ID 属性」では「Transient ID」を選択してください)
■ emailAddress は、メールアドレスを ID として SP に送信されます。(次項の「ID属性」では「メールアドレス」を選択してください)
- ユーザーIDの属性
-
前項に関連し、SP が ID として認識する属性を以下から選択します。
●ユーザーID
●ユーザーID@テナントID
●メールアドレス
●社員番号
●サービス個別のログインID
●Transient ID
※「システム」>「追加属性」より「seciossExtensionAttribute;x-custom-xx」の属性を追加している場合は、ユーザーIDの属性として使用が可能となります。
■前項で「persistent」を選択した場合は、Transient ID 以外を選択してください。
■前項で「transient」を選択した場合は、Transient ID を選択してください。
■前項で「emailAddress」を選択した場合は、メールアドレスを選択してください。
※サービス個別のログインIDを使用するには「サービス固有のユーザー名/パスワードを登録するには」を参照してください。
- 送信する属性
- 追加要素として、Gluegent Gate の持つ属性値を、SP に任意の属性名で送信することができます。送信する属性をチェックし、属性名を指定します。この属性は SAML レスポンス内の AttributeStatement 要素内に含まれます。
- 送信する属性(固定値)
- 追加要素として、固定の属性値を任意の属性名で送信することができます。属性名・値を指定します。この属性は SAML レスポンス内の AttributeStatement 要素内に含まれます。また対応する値には、固定文字列を指定する他にシングルサインオンユーザー自身の属性を送信できるよう、特殊変数の指定が可能です。
書式:${<属性名>}
例:${sn}、${givenName}
条件指定では Gluegent Gate の持つ属性の値とマッチした場合にこの属性値を送信させることができます。
複数の属性がある場合「削除」をクリックすると、その行の属性が削除されます。
- SP証明書
- 「アサーションの暗号化」を有効にした場合に、値を暗号化するための公開鍵(pem形式)をアップロードします。
- リクエストの署名検証
- サービスプロバイダのリクエストの署名を検証する場合はチェックをオンにします。
- レスポンスの署名
- レスポンスに署名する場合はチェックをオンにします。
- アサーションの暗号化
- 暗号化する場合はチェックをオンにします。
- 署名アルゴリズム
- 上記証明書の署名アルゴリズムを選択します。デフォルトは SHA-256 が選択されています。
- アサーションの暗号化に使用するアルゴリズム
- SAMLアサーションを暗号化する際に使用するアルゴリズムを選択します。デフォルトは AES128-CBC が選択されています。
- メタデータ
- 上記で設定する代わりにメタデータを読み込むことで設定ができます。
- ファイルが有る場合は「ファイルを選択」で対象ファイルを選択し「読み込む」をクリックします。
- URL がある場合は、対象 URL を入力し「読み込む」をクリックします。
- ポータルに表示するリンクURL
- この SP へのリンクがユーザーポータルに表示されます。ユーザーポータルに表示するこの SP へのアクセス先 URL を指定します。
- ポータルに表示するロゴ画像
- この SP のアイコンがユーザーポータルに表示されます。この時に使うロゴ画像の URL を指定します。
ユーザー同意取得
- 「有効」のチェックをオンにするとレスポンスを送信する前にユーザー同意の取得を行います。
- 「属性値の更新後に再度同意を取得」のチェックをオンにすると「送信属性同意画面」にて「今後全てのサービスについて許可する」が表示されます。
- 「ユーザー同意にて必須とする属性」は、ユーザー同意画面でSSOユーザーの操作に関わらず、サービスへの認証応答として必ず送信したい属性がある場合に利用します。必須属性は「送信する属性」または「送信する属性(固定値)」で指定した属性名が選択可能です。
「保存」をクリックし、設定内容を保存します。
注意:
SP 側の SAML 仕様に関する設定となるため、具体的な設定値、入力値につきましてはSP 側(連携対象サービス側)ベンダーへご確認ください。