OneLoginではSAML認証がサポートされておりEQポータルにシングルサインオンすることが可能です。
ここではチュートリアルとしてOneLoginとの接続方法を記載していきます。
最新の設定および設定方法については、公式サイトにログインをしてご確認ください。
OneLogin Developers: APIs, Documentation & Tutorials
※公式サイトのリンクも含めて必ずしも最新の情報になっていない場合がございます。
また、組織構成によっては適正ではない設定方法の可能性もございますので、こちらの内容は参考情報としてご確認いただけますようお願いいたします。
【EQポータル設定】
EQ ポータルに管理者ユーザーでログインします。
歯車アイコンをクリックし、「シングルサインオンを有効にする」にチェックを入れます。
「SAML認証設定」をクリックし、 「エンティティ ID」と「ACS URL」を控えておきます。
【OneLogin設定】
1.アプリケーションの作成
管理者権限にてonelogin管理コンソールにログインし、メニューからApplicationsのApplicationsを選択します。
画面右端のAdd Appを選択します。
作成するアプリケーションの種類を選択します。
選択肢が多いので、検索ボックスに「SAML Custom」と入力し、表示されたアプリケーションのうちSAML Custom Connecter(Advanced)を選択します。
SAML Custom Connecter(Advanced)作成の画面ではDisplayName(任意となり、ここではEQ Portalと入力しています)を入力して画面右上のSaveボタンを押してアプリケーションを保存します。
2.Configuration - Application Details
メニューからConfigurationを選択しシングルサイオン用の詳細設定を行います。
SAMLによるシングルサインオンのセットアップを進めるため、画面左ペインのConfigutationをクリックして開き、EQポータルから取得した下記の値を設定します。
|
OneLogin |
EQポータル |
|
Audience(Entity ID) |
エンティティID |
|
Recipent |
ACS URL |
|
ACS(Consumer)URL Validator |
ACS URL 例: 詳しくはoneloginのマニュアルをご参照ください。 |
|
ACS(Consumer)URL |
ACS URL |
|
Login URL |
ACS URL |
画面中ほどまでスクロールし、SAML InitiatorをService Provider、SAML nameID formatをEmail、SAML issuer typeをSpecificに設定します。
3.SSO
メニューからSSOを選択しSAML Signature AlgorizhmをSHA256に変更し画面右上のSaveボタンをクリックして変更を保存します。
画面中ほどまでスクロールします。
下記対応表に従ってOneLoginの値をEQポータルのシングルサインオン情報に設定します。
| OneLogin | EQポータル |
| X.509 Certificate | 証明書 |
| SAML 2.0 EndPoint(HTTP) | シングルサインオンURL |
EQポータル画面
X.509 CertificateについてはのX.509 Certificateテキストボックス下部にあるView DetailsというリンクをクリックしてX.509証明書詳細画面を開き証明書をダウンロードします。
画面にX.509 Certificateの内容が表示されるので画面下部にあるプルダウンメニューからX.509 PEMを選択して、その横にあるDownloadボタンを押して証明書をダウンロードします。
EQポータル画面に戻ります。
「署名検証を有効にする」にチェックを入れ、ダウンロードしておいた「証明書(Base64)」を「ファイルアップロード」からアップロードします。
完了したら、画面右上にある「更新」ボタンを押して設定を保存します。
※設定を保存後、反映までに最大10分程度掛かる場合があります。
以上でアプリケーションの作成は完了です。
完了後はアプリケーションに組織またはユーザーを紐付けるとシングルサインオンが可能となります。詳細な設定方法についてはOnelogin公式サイトのヘルプをご覧ください。
【IdP側のユーザー情報をEQポータルで取得する】
シングルサインオン時に、IdP側のユーザー情報を取得し、EQポータルのユーザー情報を更新したい場合はこちらの設定が必要です。
また、シングルサインオン時にIdP側のユーザー情報でEQポータルにユーザーを自動登録する場合にも、こちらの設定が必要です。
SAML Attribute Statementを利用することで、シングルサインオン時にユーザー名(姓名)をEQポータルに渡して更新することができます。設定は下記のように行います。
1.Parameters
該当するアプリケーションの画面を開きメニューからParametersを編集することでシングルサインオン時にSAML AttributeStatementを経由して姓名をEQポータルに渡せます。
下記で挙げる例は名の場合です。
姓名はField nameがそれぞれsurname、givennameとなっており、それぞれ対となるValueがLast Name、First Nameとなります。
※下記例ではgivennameを登録しています。surnameも同様に登録してください。
各ダイアログではFlagsのInclude in SAML assertionにチェックを入れて画面右下のSaveボタンをクリックして保存します。
作成したパラメータを保存するため画面右上のSaveボタンをクリックして保存します。
以上でユーザー情報の引き渡し設定は完了です。