すべてのプロダクト
Search

このプロダクト

    Identity as a Service:SAML 2.0 ベースの SSO の構成

    ドキュメントセンター

    Identity as a Service:SAML 2.0 ベースの SSO の構成

    最終更新日:Jan 08, 2025

    シングルサインオン(SSO)プロセスでは、Identity as a Service(IDaaS)とアプリケーション間の相互作用が必要です。両端で SSO 設定を構成する必要があります。

    このトピックでは、Security Assertion Markup Language 2.0(SAML 2.0)プロトコルを例として使用して、SSO を構成する方法について説明します。

    説明

    IDaaS でサポートされている SSO プロトコルについて詳しくは、2. 標準プロトコルをご参照ください。

    IDaaS での構成

    アプリケーション構成ファイルのアップロード

    一部のアプリケーションでは、アプリケーションの SSO 構成ページで構成情報メタデータをダウンロードできます。この場合、ダウンロードしたデータを IDaaS に直接アップロードできます。一部のアプリケーションは、IDaaS が構成情報メタデータをプルできるパブリック API を提供しています。

    IDaaS は、SSO の構成に必要なすべての情報を取得し、関連するフォームに事前に入力します。事前に入力された情報を確認して保存するだけで済みます。

    IDaaS パラメーター

    パラメーター

    説明

    基本設定(必須)

    ACS URL

    IDaaS がユーザーを認証した後、IDaaS が SAML レスポンスを送信する場所を指示する URL です。

    https://signin.example.com/1021*****4813/saml/SSO

    SP エンティティ ID

    IDaaS 内のアプリケーションのグローバル一意識別子。ほとんどの場合、識別子はアプリケーションから取得できる URI です。アプリケーションに特別な要件がない場合は、値を Assertion Consumer Service(ACS)URL に設定できます。

    https://signin.example.com/1021*****4813/saml/SSO

    アプリユーザー

    SAML プロトコルで定義されている NameID パラメーター。詳細については、SAML アプリケーションユーザーの構成をご参照ください。

    IDaaS ユーザー名

    承認

    詳細については、SSO の構成をご参照ください。

    すべてのユーザー

    詳細設定(オプション)

    デフォルト RelayState

    ID プロバイダー開始(IdP 開始)SSO が成功した後、アプリケーションが自動的にリダイレクトされるアドレス。SAML レスポンスでは、アドレスは RelayState パラメーターに渡されます。アプリケーションがアドレスを読み取ると、そのアドレスにリダイレクトされます。

    アプリケーションのレベル 2 メニューページ

    NameIDFormat

    SAML レスポンスで定義されている NameID パラメーターの形式。多くのアプリケーションでは、NameIDFormat パラメーターは指定されていません。このパラメーターを変更する必要はありません。

    1.1 未指定

    バインディング

    リクエストメソッド。Redirect-POST のみがサポートされています。このパラメーターを変更する必要はありません。

    Redirect-POST

    アサーションの署名

    IDaaS はすべての SAML リクエストに署名します。このパラメーターは変更できません。

    -

    署名アルゴリズム

    SAML リクエストの署名に使用される非対称アルゴリズム。RSA-SHA256 のみがサポートされています。このパラメーターを変更する必要はありません。

    RSA-SHA256

    属性ステートメント

    SAML レスポンスには、メールや名前の属性など、ユーザーに関する追加情報を含めることができます。詳細については、SAML 属性ステートメントの構成をご参照ください。

    -

    SSO の実装者

    SSO をアプリケーションからのみ開始できるか、ポータルとアプリケーションから開始できるかを指定します。

    アプリケーションのみ

    IDaaS サインイン URL

    SSO の実装者パラメーターが IDaaS & アプリケーションに設定されている場合は、このパラメーターを指定できます。ポータルからアプリケーションにアクセスすると、この URL にリダイレクトされ、SAML ログオンリクエストが IDaaS に自動的に送信されます。

    -

    アプリケーションでの構成

    IDaaS 構成ファイルのアップロード

    アプリケーションの構成を容易にするため、IDaaS では数回クリックするだけで構成メタデータをダウンロードできます。

    一部のアプリケーションで SSO を構成する場合、メタデータを直接アップロードできます。 IDaaS でダウンロードした構成ファイルをアップロードするか、アプリケーションにメタデータアドレスを入力できます。パラメーターを手動で構成する必要はありません。

    アプリケーションパラメーター

    統合するには、アプリケーションで IDaaS 情報を指定する必要があります。

    IDaaS は、アプリケーションで必要となる可能性のある情報を SSO 構成ページに表示します。これは構成を容易にします。次の表でパラメーターについて説明します。

    パラメーター

    説明

    IDP エンティティ ID

    アプリケーションにおける IDaaS の識別子。アプリケーションの SSO 構成ページで識別子を入力する必要がある場合があります。

    https://xxxxx.aliyunidaas.com

    IdP サインイン URL

    SAML プロトコルは、サービスプロバイダー開始(SP 開始)SSO をサポートしています。アプリケーションの SSO 構成ページで URL を入力する必要がある場合があります。

    https://xxxxx.aliyunidaas.com.cn/saml/idp/saml1

    (サポートされていません)

    SLO URL

    SAML プロトコルはシングルログアウト(SLO)をサポートしています。この機能を使用する場合は、アプリケーションの SSO 構成ページで URL を入力する必要があります。

    -

    証明書

    IDaaS によって送信された SSO 結果の電子署名。アプリケーションは必要な公開鍵を使用して署名を検証し、結果が IDaaS によって送信されたかどうかを確認できます。これはセキュリティの確保に役立ちます。

    -----BEGIN CERTIFICATE-----

    MIIDEjCCAfqgAwIBAgIHAYnNmX60izANBgkqhkiG9w0BAQsFADApMRowGAYDVQQD.....