ここでは、ID プロバイダとして、SeciossLinkをご利用の場合の設定方法について説明します。
※最新の設定および設定方法については、公式サイトをご覧ください
【EQポータル設定】
EQ ポータルに管理者ユーザーでログインします。
歯車アイコンをクリックし、「シングルサインオンを有効にする」にチェックを入れます。
「SAML認証設定」をクリックし、 「エンティティ ID」と「ACS URL」を控えておきます。
【SeciossLink設定】
SeciossLinkにログインし画面左にあるメニューからシングルサインオン、そしてSAMLと選択するとシングルサインオン SAMLサービスプロバイダー一覧が表示されます。
ここで画面右上にある登録ボタンをクリックします。
SAML サービスプロバイダー登録
ここからSAMLのライセンスを利用してシングルサインオン設定を行って行きます。
サービスID、サービス名は任意のものを指定してください。
ここでは下記4つのパラメータ入力を求められます。
- エンティティID
- Assertion Consumer Service
- IDの属性
- ユーザーIDの属性
SeciossLinkでの呼び名とEQポータルでの呼び名の対応は以下のとおりとなっているので、対応表に従ってEQポータルのシングルサインオン設定情報に掲示されている値をSeciossLinkに設定していきます。
SeciossLink |
EQポータル |
エンティティID |
エンティティID |
Assertion Consumer Service |
ACS URL |
EQポータルには認証通過後のユーザー情報としてメールアドレスを返却するのでIDの属性はurn:oasis:names:tc:SAML:2.0:nameidformat:persistent
若しくはurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
、ユーザーIDの属性はメールアドレス
に設定します。
すべての値を入力したあと画面最下部までスクロールし、保存ボタンをクリックして保存します。
シングルサインオンURL
EQポータルのシングルサインオンURLに相当するパラメータについてはSeciossLink管理画面には記載がありません。
こちらは利用開始時に取得したテナントIDを利用し、SeciossLinkのIdPメタデータを参照するなどで取得ください。
ご参考までにSeciossLinkのQAページにあるようにテナントIDを含んだHTTP-POST Binding用のURLがEQポータルで言うところのシングルサインオンURLとなります。
最新の情報についてはSeciossLink公式サイトをご確認ください。
IdP証明書
IdP証明書を取得するには画面左のメニューからシステム、そしてIdP証明書を選択するとIdP証明書一覧が表示されます。
ここで使用中となっている証明書の右端にあるダウンロードアイコンをクリックし、証明書をダウンロードします。
証明書の拡張子はcertで形式はPEMになっている筈ですので内容を確認して、そちらのファイルをEQポータルでアップロードします。
EQポータル画面
完了したら、画面右上にある「更新」ボタンを押して設定を保存します。
※設定を保存後、反映までに最大10分程度掛かる場合があります。
以上で設定は完了です。
※ここからの手順は必須ではございませんので、必要な際にご確認ください。
SAML Attribute Statementで姓名を引き渡す
ユーザー名(実態は姓名)をAttribute Statements経由でシングルサインオン時にEQポータルに渡したいときは一例として下記のように設定することで送信することが出来ます。
先ず該当SAMLサービスプロバイダーの設定画面を開きます。
画面下に向かってスクロールすると「送信する属性」という項目があるので、その横にある「姓」と「名」の項目にチェックを入れ、「属性名」を以下に変更して保存すれば完了です。
姓:surname
名:givenname
IdP側でAuhthnRequestの署名を検証する
AuthnRequestの署名を検証したい場合、EQポータル側でAuthnRequestの署名、SeciossLink側のリクエストの署名検証のそれぞれを有効にしたうえでEQポータルの証明書をダウンロードしてきてSeciossLinkに適用する必要があります。
下記でSeciossLink側の設定方法の一例を挙げます。
先ず該当SAMLサービスプロバイダーの設定画面を開きます。
少し画面下に向かってスクロールするとSP証明書という項目があるので、その横にあるファイルを選択ボタンをクリックしてファイル選択ダイアログを開き、EQポータルから取得した証明書ファイルをアップロードします。
加えてリクエストの署名検証を有効にするためチェックボックスにチェックを入れます。
署名アルゴリズムがデフォルト値の http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 であることを確認します。
これでEQポータルからのシングルサインオンリクエスト時の署名をIdP側で検証を行うようになります。