SAML認証(汎用SAML for IdP) - 2. 連携情報の交換 – クラウドコンシェルジュ

SAMLによるシングルサインオンを実現するには、予め IdP と SP が互いに連携情報（メタ情報）を教え合い、信頼関係を構築する必要があります。

IdP 側の情報

SP（Gluegent Gate 側）に設定する IdP のメタ情報です。

IdP 側の仕様をご確認の上、Gluegent Gate 管理画面ー「認証」 > 「SAML IDプロバイダー」から連携サービスを登録してください。

1SAML IDプロバイダークリック.png

エンティティID（必須）: IdP からの認証応答（SAML アサーション）に含まれる識別子。「発行者」とも呼ばれます。（EntityDescriptor entityID）

ログアウトURL: SP からログアウトの要求を受ける URL です。SAML ログアウトを行う場合は「SAML ログアウト」のチェックをオンにします。

Request Binding（必須）

IdP へ認証要求（SAMLリクエスト）を送信する際の通信方式を選択します。
基本的には連携先の IdP が推奨する方式を選択してください。

HTTP-Redirect：
URL のクエリパラメータとして認証要求を送信する方式です。（※デフォルト値）
HTTP-POST：
HTTP リクエストのボディ（フォームデータ）として認証要求を送信する方式です。
利用するサービスの仕様等により、SAML認証時に付与されるパラメータが長くなり、IdP 側で URL 長の上限超過によるエラーが発生する場合に選択してください。

オンにした場合の挙動

Gluegent Gate と連携しているSP 側でログアウトをすると、IdP 側にログアウトの要求を行います。

オフにした場合の挙動

Gluegent Gate と連携している SP 側でログアウトをすると、SP 側のセッションは切れます。IdP 側にログアウトの要求は行いません。そのため、再度 SP 側にアクセスすると IdP 側の認証が残っているため、再ログインの操作は不要となります。

IdP に設定する SP (Gluegent Gate) 側の情報です。

Gluegent Gate 側から IdP への認証要求、並びに IdP から Gluegent Gate への認証応答に関する設定です。

ACS(Assertion Consumer Service)（必須）: Gluegent Gate から SP への認証応答（SAML アサーション）の送信先 URL。「Assertion Consumer Service」とも呼ばれます。

IDの形式（必須）: SP に送信する ID の形式を選択します。; Gluegent Gateでは以下の形式に対応しています。; ● um:oasis:names:tc:SAML:2.0:nameid-format:persistent; ● um:oasis:names:tc:SAML:2.0:nameid-format:transient; ● um:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

ユーザーIDの属性（必須）: 前項に関連し、SP が ID として認識する属性を選択します。
■前項で「persistent」を選択した場合は、本項では Transient ID 以外を選択してください。
■前項で「transient」を選択した場合は、本項では Transient IDを選択してください。
■前項で「emailAddress」を選択した場合は、本項ではメールアドレスを選択してください。

情報：
IdP 側の SAML 仕様に関する設定となるため、具体的な設定値、入力値につきましては IdP 側（連携対象サービス側）ベンダーへご確認ください。

メタデータが必要な場合は、「認証」＞「SAML IDプロバイダー」＞「設定」＞「SP メタデータ」の「ダウンロード」をクリックしてください。