SAML認証

SAML認証連携の流れ

WebPerformer-NXのアプリケーションでSAML認証の連携を行うための手順は以下の通りです。

1. ユーザマネージャの画面上部のSP情報アイコンをクリックする。
2. SAMLを選択します。
3. シングルサインオン URLとオーディエンス URIを確認し、外部IdPへ設定します。

	Oktaへ設定	Entra IDへ設定	ID Entranceへ設定
シングルサインオン URL	英語：Single Sign on URL 日本語：シングルサインオン URL	英語：Reply URL (Assertion Consumer URL) 日本語：応答 URL	英語：Sign-on URL 日本語：サインオンURL
オーディエンス URI	英語：Audience URI 日本語：オーディエンス URI	英語：Identifier (Entity ID) 日本語：識別子	英語：Entity ID 日本語：エンティティID

ノート

• ID Entranceでは、「レスポンスに署名する」を有効にする必要があります

4. 外部IdPからSAMLメタデータドキュメントを取得します。
   • Entra IDの場合

   1. 作成しているアプリケーションのシングルサインオンページを開く
   2. SAML証明書の「フェデレーションメタデータXML」のダウンロードリンクをクリックする
   3. ダウンロードしたXMLファイルを保存する

   • Oktaの場合

   1. 作成しているアプリケーションのSignOnタブを開く
   2. SAML Signing CertificatesのActionsをクリックする
   3. View IdP metadataをクリックする
   4. 別画面でxmlファイルが開くので、ブラウザ上で右クリックをし、[名前を付けて保存]で保存する

   • ID Entranceの場合

   1. 管理ポータルの連携サービス管理からID Entrance情報ページを開きます
   2. SAMLのメタデータURLの下にある「ダウンロード」をクリックします
   3. ダウンロードしたXMLファイルを保存します

5. ユーザマネージャの画面上部の作成アイコンをクリックし、アイデンティティプロバイダーの登録をします。

6. アプリケーション一覧からアプリを選択し、認証UIのサインイン画面(Sign In ID)に、外部認証用のボタンとして、コンポーネント一覧からプッシュボタンを配置します。

7. 手順6.で配置した外部認証用のボタンのプロパティ画面を開き、下記を設定します。

   • クリックイベントから「IdP」を選択
   • IdP項目に手順5.で登録したアイデンティティプロバイダーの名称を入力

8. 認証UIのサインイン画面(Sign In ID)を保存します。

アイデンティティプロバイダーの登録

1. 画面右上の作成アイコンをクリックします。
2. SAMLを選択します。
3. アイデンティティプロバイダー情報を入力します。

項目	入力	説明
アイデンティティプロバイダー名	必須	任意の名称は半角スペース、アンダーバー、カンマ以外を使用してください。 最大文字数は、32文字です。
メタデータ	必須	外部IdPから取得したメタデータドキュメントをアップロードしてください。
属性マッピング	必須	ユーザ属性とIDP属性のマッピングを設定してください。 ユーザ属性 IDP属性 必須 Email （IDP 属性名を入力） ○ Name （IDP 属性名を入力） custom:custom_01 （IDP 属性名を入力） custom:custom_02 （IDP 属性名を入力） custom:custom_03 （IDP 属性名を入力） custom:custom_04 （IDP 属性名を入力） custom:custom_05 （IDP 属性名を入力） custom:custom_06 （IDP 属性名を入力） custom:custom_07 （IDP 属性名を入力） custom:custom_08 （IDP 属性名を入力） custom:custom_09 （IDP 属性名を入力） custom:custom_10 （IDP 属性名を入力） ユーザ属性[email]にマッピングするIDP属性には、必ずEメールの情報が登録されている属性をマッピングしてください。
サインアウトフロー	必須	ONかOFFを設定してください。 ONの場合にはサインアウトフローの設定が外部IdPで必要となります。

4. [追加]ボタンをクリックします。
5. 追加したアイデンティティプロバイダーはIdPリストに表示されます。

ノート

• Entra IDの場合、[IDP属性]にはクレーム名を設定してください。 名前空間が設定されている場合と設定されていない場合でクレーム名が異なりますので、ご注意ください。

サインアウトフローの設定

SAML認証ではサインアウトフローを設定することが可能です。

• Entra IDの場合

1. 作成しているアプリケーションのシングルサインオンページを開きます。
2. 基本的なSAML構成のログアウトURLにログアウトURLを設定してください。

ノート

• Entra IDでは、設定時に利用するログアウトURLにSP情報アイコンの[SAML]>[ログアウトURL]を設定した場合、ログアウト時にエラー画面が表示されます。
• ログアウト後にアプリケーションのログイン画面を表示するにはドメインを確認いただき、https://{有効なドメイン名}を設定ください。

• Oktaの場合

1. 作成しているアプリケーションのSignOnタブを開きます
2. IdPリストのIdP名の右にある縦三点リーダーよりダウンロードした署名証明書をアップロードします。
3. シングルログアウトを有効化項目をチェックします。
4. ログアウト後にシングルログアウトURLにログアウトURLを設定してください。
5. SP発行者にオーディエンスURIを設定してください。
6. SAML Signing Certificates の Actionsをクリックします。
7. View IdP metadata をクリックします。
8. 別画面でxmlファイルが開くので、ブラウザ上で右クリックをし、[名前をつけて保存]で保存します。
9. メタデータを再度アップロードしてください。

ノート

• Oktaでは、設定時に利用するログアウトURLはSP情報アイコンをクリックし[SAML]>[ログアウトURL]に表示されるログアウトURLを利用できます。
• 設定時に利用する署名証明書については、IdPリストの各レコードの右にある縦三点リーダーをクリックし、署名証明書をダウンロードしてご利用ください。
• ID Entranceではサインアウトフローを設定することはできません