SAMLによるシングルサインオンを実現するには、予め IdP と SP が互いに連携情報(メタ情報)を教え合い 、信頼関係を構築する必要があります。
IdP 側の情報
SP(Gluegent Gate 側)に設定する IdP のメタ情報です。
IdP 側の仕様をご確認の上、Gluegent Gate 管理画面ー「シングルサインオン」ー「SAML IDプロバイダ」から連携サービ スを登録してください。
IdP 側 SAML 情報
- エンティティID(必須)
- IdP からの認証応答(SAML アサーション)に含まれる識別子。「発行者」とも呼ばれます。(EntityDescriptor entityID)
- 名前(必須)
- 名前を入力します。
- ログインURL(必須)
- SP へのログインの要求を受ける URL です。
- ログアウトURL
- SP からログアウトの要求を受ける URL です。SAML ログアウトを行う場合は「SAML ログアウト」のチェックをオンにしま す。
- 送信するエンティティID
- テナント固有のエンティティ ID がある場合、チェックをオンにします。
- IDの属性
- ログイン時に使用する ID の属性を「ユーザーID」「メールアドレス」「社員番号」から選択します。
- SAML公開鍵
- IdP 側の証明書をアップロードします。
SAMLログアウトのチェック
オンにした場合の挙動
Gluegent Gate と連携しているSP 側でログアウトをすると、IdP 側にログアウトの要求を行います。
オフにした場合の挙動
Gluegent Gate と連携している SP 側でログアウトをすると、SP 側のセッションは切れます。IdP 側にログアウトの要求は行いません。そのため、再度 SP 側にアクセスすると IdP 側の認証が残っているため、再ログインの操作は不要となります。
SP 側の情報
IdP に設定する SP (Gluegent Gate) 側の情報です。
SP 側 SAML 情報
Gluegent Gate 側から IdP への認証要求、並びに IdP から Gluegent Gate への認証応答に関する設定です。
- URL(entityID)(必須)
- SP からの認証要求(SAML リクエスト)に含まれる識別子。「エンティティID」や「発行者」とも呼ばれます。
- ACS(Assertion Consumer Service)(必須)
- Gluegent Gate から SP への認証応答(SAML アサーション)の送信先 URL。「Assertion Consumer Service」とも呼ばれます。
- ログアウトURL
- シングルログアウトを行う場合の SP 側のログアウト URL。
- IDの形式(必須)
- SP に送信する ID の形式を選択します。
- Gluegent Gateでは以下の形式に対応しています。
- ● um:oasis:names:tc:SAML:2.0:nameid-format:persistent
- ● um:oasis:names:tc:SAML:2.0:nameid-format:transient
- ● um:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- ユーザーIDの属性(必須)
- 前項に関連し、SP が ID として認識する属性を選択します。
■前項で「persistent」を選択した場合は、本項では Transient ID 以外を選択してください。
■前項で「transient」を選択した場合は、本項では Transient IDを選択してください。
■前項で「emailAddress」を選択した場合は、本項ではメールアドレスを選択してください。
情報:
IdP 側の SAML 仕様に関する設定となるため、具体的な設定値、入力値につきまして は IdP 側(連携対象サービス側)ベンダーへご確認ください。
メタデータが必要な場合は、「認証」>「SAML IDプロバイダー」>「設定」>「SP メタデータ」の「ダウンロード」をクリックしてください。