SAML認証

SAML認証連携の流れ

WebPerformer-NXのアプリケーションでSAML認証の連携を行うための手順は以下の通りです。

1. ユーザマネージャの画面上部のSP情報アイコンをクリックする。
2. SAMLを選択します。
3. シングルサインオン URLとオーディエンス URIを確認し、外部IdPへ設定します。

	Oktaへ設定	Azure ADへ設定
シングルサインオン URL	英語：Single Sign on URL 日本語：シングルサインオン URL	英語：Reply URL (Assertion Consumer URL) 日本語：応答 URL
オーディエンス URI	英語：Audience URI 日本語：オーディエンス URI	英語：Identifier (Entity ID) 日本語：識別子

4. 外部IdPからSAMLメタデータドキュメントを取得します。
   • Azure ADの場合

   1. 作成しているアプリケーションのシングルサインオンページを開く
   2. SAML証明書の「フェデレーションメタデータXML」のダウンロードリンクをクリックする
   3. ダウンロードしたXMLファイルを保存する

   • Oktaの場合

   1. 作成しているアプリケーションのSignOnタブを開く
   2. SAML Signing CertificatesのActionsをクリックする
   3. View IdP metadataをクリックする
   4. 別画面でxmlファイルが開くので、ブラウザ上で右クリックをし、[名前を付けて保存]で保存する

5. ユーザマネージャの画面上部の作成アイコンをクリックし、アイデンティティプロバイダーの登録をします。

6. アプリケーション一覧からアプリを選択し、認証UIのサインイン画面(Sign In ID)に、外部認証用のボタンとして、コンポーネント一覧からプッシュボタンを配置します。

7. 手順6.で配置した外部認証用のボタンのプロパティ画面を開き、下記を設定します。

   • クリックイベントから「IdP」を選択
   • IdP項目に手順5.で登録したアイデンティティプロバイダーの名称を入力

8. 認証UIのサインイン画面(Sign In ID)を保存します。

アイデンティティプロバイダーの登録

1. 画面右上の作成アイコンをクリックします。
2. SAMLを選択します。
3. アイデンティティプロバイダー情報を入力します。

項目	入力	説明
アイデンティティプロバイダー名	必須	任意の名称は半角スペース、アンダーバー、カンマ以外を使用してください。 最大文字数は、32文字です。
メタデータ	必須	外部IdPから取得したメタデータドキュメントをアップロードしてください。
属性マッピング	必須	ユーザ属性とSAML属性のマッピングを設定してください。 ユーザ属性 SAML属性 必須 Email （SAML 属性名を入力） ○ Name （SAML 属性名を入力） custom:custom_01 （SAML 属性名を入力） custom:custom_02 （SAML 属性名を入力） custom:custom_03 （SAML 属性名を入力） custom:custom_04 （SAML 属性名を入力） custom:custom_05 （SAML 属性名を入力） custom:custom_06 （SAML 属性名を入力） custom:custom_07 （SAML 属性名を入力） custom:custom_08 （SAML 属性名を入力） custom:custom_09 （SAML 属性名を入力） custom:custom_10 （SAML 属性名を入力） ユーザ属性[email]にマッピングするSAML属性には、必ずEメールの情報が登録されている属性をマッピングしてください。
サインアウトフロー	必須	ONかOFFを設定してください。 ONの場合にはサインアウトフローの設定が外部IdPで必要となります。

4. [追加]ボタンをクリックします。
5. 追加したアイデンティティプロバイダーはIdPリストに表示されます。

ノート

• Azure ADの場合、[SAML属性]にはクレーム名を設定してください。 名前空間が設定されている場合と設定されていない場合でクレーム名が異なりますので、ご注意ください。

サインアウトフローの設定

SAML認証ではサインアウトフローを設定することが可能です。

• Azure ADの場合

1. 作成しているアプリケーションのシングルサインオンページを開きます。
2. 基本的なSAML構成のログアウトURLにログアウトURLを設定してください。

ノート

• Azure ADでは、設定時に利用するログアウトURLにSP情報アイコンの[SAML]>[ログアウトURL]を設定した場合、ログアウト時にエラー画面が表示されます。
• ログアウト後にアプリケーションのログイン画面を表示するにはドメインを確認いただき、https://{有効なドメイン名}を設定ください。

• Oktaの場合

1. 作成しているアプリケーションのSignOnタブを開きます
2. IdPリストのIdP名の右にある縦三点リーダーよりダウンロードした署名証明書をアップロードします。
3. シングルログアウトを有効化項目をチェックします。
4. ログアウト後にシングルログアウトURLにログアウトURLを設定してください。
5. SP発行者にオーディエンスURIを設定してください。
6. SAML Signing Certificates の Actionsをクリックします。
7. View IdP metadata をクリックします。
8. 別画面でxmlファイルが開くので、ブラウザ上で右クリックをし、[名前をつけて保存]で保存します。
9. メタデータを再度アップロードしてください。

ノート

• Oktaでは、設定時に利用するログアウトURLはSP情報アイコンをクリックし[SAML]>[ログアウトURL]に表示されるログアウトURLを利用できます。
• 設定時に利用する署名証明書については、IdPリストの各レコードの右にある縦三点リーダーをクリックし、署名証明書をダウンロードしてご利用ください。