10.13.1. SAML認証の設定¶
SAML認証の基本的な設定方法について説明します。
コラム
各IdPとの具体的な連携方法の説明については以下のページを参照してください。
10.13.1.1. IdPにAccel-Mart Quickの情報を登録する¶
Accel-Mart QuickをSP(Service Provider)として設定するための情報をIdP(Identity Provider)に登録します。
10.13.1.1.1. Entity IDの設定¶
SPを一意に識別するためのIDとしてAccel-Mart QuickのベースURLを設定します。
https://ホスト名.accel-mart.com/imart を設定します。
コラム
Entity IDはIdPによって以下のような別名で記述されている場合があります。
- 「Identifier」
- 「Audience」
- 「エンティティID」
- 「SP Entity ID」
- 「SPエンティティID」
10.13.1.1.2. Assertion Consumer Service URLの設定¶
SAML Responseを受け取るURLです。
シングルサインオンの場合はそれぞれ以下を設定します。
- HTTP-POSTバインディング: https://ホスト名.accel-mart.com/imart/saml/profile/sso_response/post
- HTTP-REDIRECTバインディング: https://ホスト名.accel-mart.com/imart/saml/profile/sso_response/redirect
シングルログアウトの場合はそれぞれ以下を設定します。
- HTTP-POSTバインディング: https://ホスト名.accel-mart.com/imart/saml/profile/slo_response/post
- HTTP-REDIRECTバインディング: https://ホスト名.accel-mart.com/imart/saml/profile/slo_response/redirect
コラム
Assertion Consumer Service URLはIdPによっては以下のような別名で記述されている場合があります。
- 「Endpoint URL」
- 「エンドポイントURL」
- 「バインディングURL」
- 「Reply URL」
- 「ACS URL」
10.13.1.1.3. SAML Responseの署名の設定¶
Accel-Mart QuickではSAML Response全体かSAML Assertionのどちらかのデジタル署名を必須にしています。IdP側にてSAML Response全体またはSAML Assertionのデジタル署名を行うように設定してください。
コラム
SAML Assertionの署名はIdPによっては以下のような別名で記述されている場合があります。
- 「Sign assertions」
- 「Assertion Signature」
10.13.1.1.4. IdPメタデータダウンロード¶
IdPの管理画面からSAML 2.0メタデータ形式のXMLをダウンロードします。
以下はIdPメタデータの例(抜粋)です。
<md:EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://www.example.com/realms/myrealm"> <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <md:KeyDescriptor use="signing"> . . . . . </md:IDPSSODescriptor> </md:EntityDescriptor>
10.13.1.2. Accel-Mart QuickにIdPの情報を設定する¶
Accel-Mart QuickにIdPの情報を設定します。
- メニュー「管理」-「外部システム連携設定」-「SAML認証設定」-「Idp一覧」をクリックし、「IdP一覧」画面を表示します。
- 「IdP一覧」画面内の新規登録リンクをクリックし、「IdP新規作成」画面を表示します。
10.13.1.2.1. 基本設定¶
SAML認証を行う上で必須の設定を行います。
| 項目名 | 設定値 |
|---|---|
| 状態 | 「有効」を選択するとログイン画面にSAML認証用のログインボタンが表示されます。 |
| IdP名 | ログイン画面に表示されるSAML認証用のログインボタンのラベルを設定します。ロケールごとに表示を変更したい場合、ロケール情報のアコーディオンからそれぞれのロケールにラベルを設定してください。 |
| IdPメタデータ | 「IdPメタデータダウンロード」 でダウンロードしたIdPメタデータの内容を貼り付けます。
|
10.13.1.2.2. ログインボタン設定¶
ログイン画面に表示されるSAML認証用のログインボタンの装飾に関する設定を行います。
| 項目名 | 設定値 |
|---|---|
| ボタンカラー | ログイン画面に表示されるログインボタンの色を設定します。
|
| ボタンアイコン | ログイン画面に表示されるログインボタンにアイコンを設定します。
|
| ソート順 | ログイン画面に表示されるログインボタンの並び順を設定します。複数のIdPを登録した際に指定した順番の位置にログインボタンが表示されます。
|
10.13.1.2.3. 高度な設定¶
SAML認証を行う上での応用的な設定を行います。
| 項目名 | 設定値 |
|---|---|
| ユーザコード取得方法 | SAML Assertionからユーザコードを取得する方法を選択します。NameID Formatの仕様に基づいてユーザコードを取得しない場合は「属性名を指定して取得する」を選択し、ユーザコードを取得するための属性名を指定します。 |
| マッピング未検出対応 | SAML Assertionから取得したユーザコードに対してIdPとAccel-Mart Quickのユーザコード間のマッピングが存在しない場合の挙動を設定します。マッピングが存在しない際にログインエラーとして扱いたい場合は「エラーとする」を選択します。マッピングが存在しない際にIdP側のユーザコードとしてログインさせたい場合は「IdPのユーザコードでログインを試みる」を選択します。「IdPのユーザコードでログインを試みる」を選択した場合でもIdPのユーザコードと同一のユーザコードのユーザがAccel-Mart Quickに存在しない場合はログインエラーとして扱います。 |
| (シングルサインオン)リクエスト送信時のデフォルトバインディング | SAML Requestを送信する際のバインディングを選択します。 |
| (シングルサインオン)署名処理 | SAML Requestに対してデジタル署名を行う場合に有効化します。有効化した場合は、「IdP一覧」画面の「SPメタデータダウンロード」のリンクからSPメタデータを取得し、IdP側にアップロードしてください。SPメタデータではなく証明書単位でのアップロードが必要なIdPについては「IdP一覧」画面の「証明書ダウンロード」リンクから証明書を取得し、IdP側にアップロードしてください。 |
| (シングルサインオン)SAMLアサーション暗号化処理 | SAML Assertionに対して暗号化を行う場合に有効化します。有効化した場合は、「IdP一覧」画面の「SPメタデータダウンロード」のリンクからSPメタデータを取得し、IdP側にアップロードしてください。SPメタデータではなく証明書単位でのアップロードが必要なIdPについては「IdP一覧」画面の「証明書ダウンロード」リンクから証明書を取得し、IdP側にアップロードしてください。 |
| (シングルサインオン)暗号化アルゴリズム | SAML Assertionに対して暗号化を行う際の暗号化アルゴリズムを選択します。 |
| シングルログアウト | シングルログアウトを行う場合に有効化します。 |
| (シングルログアウト)リクエスト送信時のデフォルトバインディング | シングルログアウトのリクエストを送信する際のバインディングを選択します。 |
| (シングルログアウト)署名処理 | シングルログアウトのリクエストに対してデジタル署名を行う場合に有効化します。有効化した場合は、「IdP一覧」画面の「SPメタデータダウンロード」のリンクからSPメタデータを取得し、IdP側にアップロードしてください。SPメタデータではなく証明書単位でのアップロードが必要なIdPについては「IdP一覧」画面の「証明書ダウンロード」リンクから証明書を取得し、IdP側にアップロードしてください。 |
| (シングルログアウト)シングルログアウトリクエスト暗号化処理 | シングルログアウトのリクエストに対して暗号化を行う場合に有効化します。有効化した場合は、「IdP一覧」画面の「SPメタデータダウンロード」のリンクからSPメタデータを取得し、IdP側にアップロードしてください。SPメタデータではなく証明書単位でのアップロードが必要なIdPについては「IdP一覧」画面の「証明書ダウンロード」リンクから証明書を取得し、IdP側にアップロードしてください。 |
| (シングルログアウト)デフォルト暗号化アルゴリズム | シングルログアウトのリクエストに対して暗号化を行う際の暗号化アルゴリズムを選択します。 |
10.13.1.3. SAML認証の強制設定¶
ログイン画面に通常のログインフォームを表示せずSAML認証によるログインをユーザに強制したい場合に設定を行います。
- メニュー「管理」-「外部システム連携設定」-「SAML認証設定」-「SAML認証環境設定」をクリックし、「SAML認証環境設定」画面を表示します。
- 「SAML認証環境設定」画面内の「SAML認証をユーザに強制する」のチェックを有効化します。
注意
Accel-Mart Quickシステム管理者は、以下のURLへアクセスすることでSAML認証を回避してパスワード認証によりログインできます。
https://ホスト名.accel-mart.com/imart/login?saml_disabled=true
上記のURLは、SAML認証の設定に失敗した場合やIdPに障害が発生した場合に個社環境にログインできなくなってしまう状況を回避するためのもので、無効化できません。
10.13.1.4. SAMLユーザマッピング設定¶
IdPとAccel-Mart Quickのユーザコードの体系が異なる場合、IdPで認証したユーザがAccel-Mart Quickではどのユーザでログインするかをマッピングします。
10.13.1.4.1. SAMLユーザマッピング(1件ずつ)¶
- メニュー「管理」-「外部システム連携設定」-「SAML認証設定」-「SAMLユーザマッピング」をクリックし、「SAMLユーザマッピング」画面を表示します。
- 「SAMLユーザマッピング」画面の「新規作成」ボタンからマッピング情報を1件ずつ登録できます。
| 項目名 | 設定値 |
|---|---|
| IdP | マッピングを登録したいIdPを選択します。
|
| IdPユーザ | IdP側のユーザコードを入力します。
|
| ユーザ | Accel-Mart Quickのユーザ(ユーザコード)を選択します。
|
10.13.1.4.2. SAMLユーザマッピングの一括インポート¶
「インポート」ボタンからはCSVファイルでマッピング情報を一括登録できます。
「エクスポート」ボタンから登録済みのマッピング情報をCSVファイルでダウンロードできます。
コラム