SAML認証を使用したシングルサインオンを設定する

記事番号:02037

Security Assertion Markup Language(SAML)とは、異なるセキュリティドメイン間で認証情報を連携するための、XMLベースの標準仕様です。
SAML認証を設定すると、社内のIdentity Provider(IdP)に登録されたユーザーアカウントで、cybozu.cnにシングルサインオン(SSO)できます。
cybozu.cnはSAML 2.0に対応し、Service Provider(SP)として動作します。

ここではSAML認証を使用したSSOの流れ、およびcybozu.cnの設定手順を説明します。

SAML認証を使用したSSOの流れ

SAML認証を有効にすると、cybozu.cnはSP InitiatedなSSOを行います。SAMLリクエストとSAMLレスポンスには、次のバインディングを使用します。

  • SAMLリクエスト:HTTP Redirect Binding
  • SAMLレスポンス:HTTP POST Binding

cybozu.cnがユーザーを認証する流れは、次のとおりです。

SAML認証を使用したSSOの流れを説明する図

  1. ユーザーがcybozu.cnにアクセスする。
  2. cybozu.cnがSAMLリクエストを生成する。
  3. ユーザーが、SPからSAMLリクエストを受け取る。
  4. IdPがユーザーを認証する。
  5. IdPがSAMLレスポンスを生成する。
  6. ユーザーが、IdPからSAMLレスポンスを受け取る。
  7. cybozu.cnがSAMLレスポンスを受け取り、検証する。
  8. SAMLレスポンスの内容に問題がない場合は、ユーザーがcybozu.cnにログインした状態になる。

Identity Providerとcybozu.cnをSAML認証で連携する

IdPとcybozu.cnをSAML認証で連携するには、IdPとcybozu.cnの両方で設定を行います。

IdPにcybozu.cnを登録する

cybozu.cnをSPとして設定するため、IdPに次の情報を登録します。

  • cybozu.cnのエンドポイントURL
    https://(サブドメイン名).cybozu.cn/saml/acs

  • エンティティID
    https://(サブドメイン名).cybozu.cn
    URLの最後に"/"(スラッシュ)をつけないでください。

  • ユーザーを識別する要素
    NameID

メタデータファイルを入手する

cybozu.cnをSPとして登録する際に、メタデータファイルを使用することもできます。

  1. ヘッダーにある 歯車の形をした管理者メニューのアイコンをクリックします。

  2. [cybozu.cn共通管理]をクリックします。

    このリンクが表示される場所は、ご利用のサービスによって異なります。
    リンクの表示例


  3. [ログイン]をクリックします。

  4. 「SAML認証を有効にする」を選択します。

  5. ボタン [Service Provider メタデータのダウンロード]をクリックします。

  6. 出力されたXMLファイルを任意のフォルダーに保存します。

cybozu.cnでSAML認証を設定する

cybozu.cnでSAML認証を有効化し、IdPの情報を設定します。

  1. ヘッダーにある 歯車の形をした管理者メニューのアイコンをクリックします。

  2. [cybozu.cn共通管理]をクリックします。

    このリンクが表示される場所は、ご利用のサービスによって異なります。
    リンクの表示例


  3. [ログイン]をクリックします。

  4. 「SAML認証を有効にする」を選択します。

  5. 必要な項目を設定します。

    • Identity ProviderのSSOエンドポイントURL(HTTP-Redirect)
      SAMLリクエストの送信先を設定します。

    • cybozu.cnからのログアウト後に遷移するURL
      cybozu.cnからログアウトした後に表示される、IdPのURLを設定します。

    • Identity Providerが署名に使用する公開鍵の証明書
      RSAかDSAのアルゴリズムで生成された、公開鍵の証明書ファイルを添付します。
      RSAの場合、次のハッシュ値を使用できます。
      • SHA-1
      • SHA256
  6. [保存]をクリックします。

  7. SAML認証を使用してログインするユーザーのログイン名を確認します。
    cybozu.cnのユーザーのログイン名に、NameIDに関連付けた値が登録されているかどうかを確認します。

  8. SAML認証を使用してcybozu.cnにSSOできるかどうかを確認します。
    次の操作ができれば、設定は完了です。

    • cybozu.cnにアクセスすると、IdPの認証に成功し、ログイン後の画面が表示される。
    • ログイン後の画面で、右上のユーザー名 > [ログアウト]の順にクリックすると、正常にログアウトできる。
      kintoneの画面を表示している場合は、 画像をクリックして、[ログアウト]をクリックします。

モバイルアプリの設定

モバイルアプリのインストール時にSAML認証のログイン情報を入力する必要があります。
詳細は、次のページを参照してください。

SAML認証を有効にすると、ログイン中のユーザーはどのような扱いになりますか

SAML認証を有効にしても、ログインセッションが存在している間は、cybozu.cnにログイン中のユーザーに再ログインは要求されません。
次のどちらかに該当する場合に、SAML認証が要求されます。

  • ログインセッションが切れた
  • ログアウト後、再度ログインする