# SAML認証の設定方法
# OBPM NeoでSAML認証を利用する
# SAML(Security Assertion Markup Language)認証とは?
- 標準化団体のOASIS(Organization for the Advancement of Structured Information Standards)によって策定された、XMLをベースにした標準規格です。
- SSO(シングルサインオン)を実現する仕組みの1つであり、異なるインターネットドメイン間でのユーザー認証を行います。
- アプリケーションサービス側である「Service Provider(SP)」が、認証情報を提供する「Identity Provider(IdP)」の認証情報を利用してログインを行います。※OBPM NeoはSPに該当します。
# SAML認証で実現できること
SAMLを利用することで企業の持つアイデンティティ情報(Active Directoryなど)を利用して、複数のクラウドサービスへのSSOを実現します。
認証サーバーに1回ログインするだけで、SAMLに対応している複数のクラウドサービスやWebアプリケーションにログインできるようになります。
# ログインの流れ
- ログイン画面で「{IdPの名前}を使用してログイン」ボタンを押下します。
- 設定されたIdPのログイン画面へ遷移するので、ログインを実施します。
- OBPM Neoにログインする事を確認してください。
# SAML認証を出来るようにする
# IdPでSAML認証の設定を行う
IdPに設定する「SP識別子」および「応答URL」について、以下の値としてください。
SP識別子(Entity ID)
OBPM NeoのURL(※末尾のスラッシュは不要です)
例)https://{subdomain}.obpm-neo.com応答URL(SP Endpoint URL、Assertion Consumer Service URL)
OBPM NeoのACS用のURL
例)https://{subdomain}.obpm-neo.com/api/token/auth/saml/acs
# 認証に利用するSAML IDの種別を設定する
IdP上のアカウントとOBPM Neo上アカウントの繋がりを、どの情報で識別するかを指定します。
ここで設定した種別の値が、IdP上の各アカウントに設定されていることを確認してください。
OBPM Neo では以下のいずれかが利用可能です。
- アカウントコード
- メールアドレス
- Azure AD認証
# 証明書をダウンロードする
IdPよりダウンロードした証明書をOBPM Neoにアップロードする必要があります。
IdPの画面に従い、証明書をダウンロードしてください。
# ログイン/ログアウト時のURLを取得する
SAML認証実施時の「ログインURL」およびログアウト時の「ログアウトURL」がIdPより発行されます。
後続のOBPM Neo側の設定で使用するため、値を控えておいてください。
# OBPM NeoでSAML認証の設定を行う
# 【ログイン認証設定】SAML認証に必要な情報を設定する
- 【ログイン認証設定】にて、SAML認証関連情報を設定します。
各項目の設定内容については『ログイン認証設定』ドキュメントを参照してください。
- OBPM Neoのログイン画面に「{IdPの名前}を使用してログイン」のボタンが表示されていたら設定完了です。
# 【アカウント管理】SAML認証に使用するアカウントの情報を設定する
IdP及び【ログイン認証設定】にて設定されたSAML IDの種別にもとづき、【アカウント管理】にて各アカウントの情報を設定します。
※ここで設定された情報と、IdPのアカウントに設定されている情報を突合し、アカウントの識別が行われます。
| SAML IDの種別 | 設定対象項目 |
|---|---|
| アカウントコード | 図中の①の項目 |
| メールアドレス | 図中の②の項目 |
| Azure AD認証 | 図中の③の項目 |
注意識別情報の重複について
SAML IDの種別に「メールアドレス」または「Azure AD認証」が選択されている場合、OBPM Neo上の複数アカウントに対し、識別に用いる項目に同一の値を設定しない様ご注意ください。
同一の値が存在した場合、アカウントが一意に特定できず、ログイン時にエラーとなってしまいます。
# ログアウト時のリダイレクトについて
SAML認証でログインしている場合、ヘッダよりログアウトリンクを押下すると、「ログアウト時のリダイレクトURL」で指定したURLに遷移します。
※「ログアウト時のリダイレクトURL」を設定していない場合 または SAML認証以外でログインした場合 はリダイレクトは行われません。
# ログインをSAML認証のみに限定する
以下の設定を行うことでSAML認証のみでのログイン制約をかけることが可能です。必要に応じて実施してください。
- SAML認証を使用する:チェックされている。
- ID/Password認証を無効にする:チェックされている。
- Azure AD認証:チェックされていない。
注意ID/Password認証が無効の状態でSAML認証でのログインができなくなってしまった場合
『ログイン認証設定』ドキュメントを参照してください。
# SAML認証の証明書を更新する
証明書の有効期限が切れている場合、認証エラーとなりログインできなくなります。
期限が切れる前に証明書の更新を行ってください。
- IdPより最新の証明書をダウンロードします。
- 【ログイン認証設定】にて、IdPの管理画面よりダウンロードした証明書を選択します。
- 更新ボタンを押下してください。
- 「登録されている証明書」欄に表示される有効期限が正しい日付であることを確認してください。
以上で更新が完了です。
重要証明書の更新前に有効期限が切れてしまった場合
既に証明書の有効期限が切れてしまっている場合、SAML認証でのログインが行えません。
SAML認証以外のログイン方法にてログインし、証明書の更新作業を行ってください。