シングルサインオン設定方法
SSO を実現するには、ご利用中の ID プロバイダと、EQ ポータルの両方に設定が必要です。
ここでは、EQポータル側をベースとした場合の、設定方法について説明します。
EQ ポータルに管理者ユーザーでログインします。
歯車アイコンをクリックし、「シングルサインオンを有効にする」にチェックを入れます。
「SAML認証設定」をクリックし、 「エンティティ ID」と「ACS URL」を控えておきます。
IdP側でAuthnRequestに署名が必要な場合は「AuthnRequestに署名する」にチェックを入れます。
事前に証明書をダウンロードしてIdPに適用しておく必要があります。
「AuthnRequestに署名する」は、オプション機能となります。
※弊社で動作確認済みの ID プロバイダ(IdP)の内、OneloginにおいてはIdP側の仕様としてAuthnRequestの署名が設定できないため、このオプションをご利用いただくことができません。
本機能が必要な場合は、弊社担当営業までご相談ください。弊社で該当機能を設定いたします。
設定後、「AuthnRequestに署名する」のチェックボックスと証明書のダウンロードボタンが表示されますので、そこから証明書をダウンロードいただき、IdPに適用ください。
証明書のダウンロードボタンは「有効にする」にチェックを入れた後、サイト設定の「更新」ボタンを押下しあらためてSAML認証設定を開くと表示されるようになります
SSO を設定するための、ご利用中の ID プロバイダ を用意します。
ID プロバイダ にて、確認した 「エンティティ ID」と「ACS URL」を設定します。
ID プロバイダ にて、「シングルサインオンURL」を確認し、ID プロバイダ に設定している「証明書」をダウンロードします。
EQポータル画面に戻ります。
控えておいた「シングルサインオンURL」を入力します。
「署名検証を有効にする」にチェックを入れ、「ファイルアップロード」をクリックし、ダウンロードしておいた「証明書」をアップロードします。
・ユーザー登録の有無
EQポータルにメールアドレスが登録されていないユーザーがシングルサインオンでログインしようとした場合、IdPから渡されるメールアドレスを以てユーザーの自動登録を行うかの設定ができます。
・グループ更新の有無
シングルサインオンでユーザーがログインした場合、IdPグループIDによる所属グループの更新をするかの設定を行うことができます。
ここまで完了したら、画面右上にある「更新」ボタンを押して設定を保存します。
※設定を保存後、反映までに最大10分程度掛かる場合があります。
【補足】自動登録された場合のユーザー情報
・ユーザー名:IdPから自動取得されます。EQポータルの文字数上限は50文字です。
・ユーザーID:4~32文字の範囲で自動採番されます。
・メールアドレス:IdPから自動取得されます。EQポータルの最大入力文字数は255文字です。
・所属グループID: グループ更新を有効としている場合、IdPから自動取得されます。
※予めポータル側で登録しているグループのIdPグループIDと、シングルサインオンで
ログインしてきたユーザーが組織IDを持っておりマッチした場合はグループ情報が
反映されます。
テスト手順
シングルサインオンの設定(EQポータル及びIdP)が完了すると、 EQポータルにてシングルサインオンのテストを実施することができます。
シングルサインオンのテスト方法について説明します。
EQ ポータルに管理者ユーザーでログインし、歯車アイコンをクリックます。
「シングルサインオンテストURLはこちら」の「コピー」ボタンをクリックし、URLをコピーします。
コピーしたURLをシークレットウインドウや別のブラウザで開きます。
シングルサインオン設定が正常に完了していれば、IdP側のログイン画面にリダイレクトされます。
そこで認証が完了しEQポータルに正常にリダイレクトされれば、シングルサインオン設定は完了です。
組織内のユーザーが利用する前に試験を行いたい場合は、「シングルサインオン ログインボタンの設定」を「表示しない」に設定し更新してください。
なお、EQポータルにユーザーのメールアドレスが登録されていない場合、シングルサインオンは出来ません。EQポータルへユーザー登録とメールアドレスの設定を行なってから実施してください。