SHANON MARKETING PLATFORM 管理者シングルサインオン機能ユーザーマニュアル 管理者シングルサインオン機能ユーザーマニュアル Ver /06/01 株式会社シャノン Copyright SHANON Co., Ltd. All Rights Reserved.

Similar documents
ROBOTID_LINEWORKS_guide

KS_SSO_guide

desknet s NEO SAML 連携設定手順書 2019 年 1 月 株式会社セシオス 1

Active Directory フェデレーションサービスとの認証連携

V-CUBE One

FutureWeb3サーバー移管マニュアル

SeciossLink クイックスタートガイド(Office365編)

SeciossLink クイックスタートガイド

SAML認証

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

V-CUBE One

目次 1 章はじめに 本書の利用について Web ブラウザーについて 章 kintone でタイムスタンプに対応したアプリを作成する kintone にログインする kintone でアプリを作成する

管理者マニュアル

目次 1. 教育ネットひむかファイル転送サービスについて ファイル転送サービスの利用方法 ファイル転送サービスを利用する ( ひむか内 ) ファイル転送サービスへのログイン ひむか内 PCでファイルを送受信する

LINE WORKS セットアップガイド目次 管理者画面へのログイン... 2 ドメイン所有権の確認... 3 操作手順... 3 組織の登録 / 編集 / 削除... 7 組織を個別に追加 ( マニュアル操作による登録 )... 7 組織を一括追加 (XLS ファイルによる一括登録 )... 9

KDDI Smart Mobile Safety Manager Apple Business Manager(ABM) 運用マニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

eYACHO 管理者ガイド

どこでもキャビネットVer1.3 ご紹介資料

管理者マニュアル

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

ek-Bridge Ver.2.0 リリースについて

Ver.30 改版履歴 版数 日付 内容 担当 V //3 初版発行 STS V..0 05//6 パスワード再発行後のパスワード変更機能追加 STS V..0 05//5 サポート環境変更 STS V //9 サポート環境の追加 STS ii

Workspace MDM VPP サーバートークン年次更新マニュアル 最終更新日 2019 年 6 月 14 日 (Web サイト ver.9.6.0) NTT コミュニケーションズ株式会社

改版履歴 版数 日付 内容 担当 V /2/25 初版発行 STS V //9 サポート環境の追加 STS 2

厚生労働省版ストレスチェック実施プログラムバージョンアップマニュアル (Ver2.2 から Ver.3.2) 目次 1. プログラム概要 バージョンアップ実施手順 要注意 zip ファイル解凍の準備 Windows によって PC が保護されました と

スライド 1

2. メンバー管理 2.1 管理者権限 2.2 組織の登録 2.3 役職の登録 2.4 メンバーの登録 2.5 共有アドレス帳 2.6 グループの管理

セットアップガイド ( 管理者向け ) (1.3 版 ) KDDI 株式会社

V-CUBE One

PowerPoint プレゼンテーション

Microsoft PowerPoint - T4OOマニュアル_初期設定用_ pptx

Works Mobile セットアップガイド 目次 管理者画面へのログイン... 1 ドメイン所有権の確認... 2 操作手順... 2 組織の登録 / 編集 / 削除... 6 組織を個別に追加 ( マニュアル操作による登録 )... 6 組織を一括追加 (XLS ファイルによる一括登録 )...

ESET Internet Security V10 モニター版プログラム インストール / アンインストール手順

アカウント情報連携システム 操作マニュアル(一般ユーザー編)

目次 移行前の作業 3 ステップ1: 移行元サービス メールソフトの設定変更 3 ステップ2: アルファメール2 メールソフトの設定追加 6 ステップ3: アルファメール2 サーバへの接続テスト 11 ステップ4: 管理者へ完了報告 11 移行完了後の作業 14 作業の流れ 14 ステップ1: メー

Office 365監査ログ連携機能アクティブ化手順書

目次 1. ログイン 報告 ユーザ 病院 使用場所 通知先 材料データベース... 7 ご注意ください...12 JAN コードから材料データを返します マネージャーの情報変更 報告 CS

JDL Webストレージサービス はじめにお読みください

新環境への移行手順書

目次 1 はじめに NTT コミュニケーションズビジネスポータルとは ご利用の流れ 事前準備をする 初めてログインする Arcstar IP Voice の設定変更 契約変更をする ログアウトする..

スライド 1

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

1. ユーザー管理 サーバーや特定のサービスにアクセスするためには サーバー上にユーザーアカウントが設定されている必要があります また ユーザーごとに利用環境などを個別に設定することができます また ユーザーの管理の簡便化を図るためにグループが設定できます グループを設定することで ユーザーごとの設

システム設計書

PowerPoint プレゼンテーション

本書の内容について ( 目次 ) はじめに 1 初期設定を行う 1 ログインする 2 企業情報を設定する 2 メンバーを登録する 3 その他の設定 :SFA/CRM 利用権限設定 6 その他の設定 : 設備予約設定 7 本書の内容を越える 詳しい操作マニュアルは Knowledge Suite 操作

アルファメールプレミア 移行設定の手引き

untitled

YCU メール多要素認証の設定方法 ( 学生向け推奨マニュアル ) 2019 年 3 月 横浜市立大学 ICT 推進課 1

協力会社ユーザーIDの登録方法を知りたい

クイックマニュアル(利用者編)

ケータイ de 会社メール

団体専用ページログイン認証について ログインする 1 メールアドレス パスワードを登録し ログインする ボタンを押してお進みください メールアドレスは 団体受験利用申請時に登録されたメールアドレスとなります その際 協会より発行されたパスワードをご利用ください 団体 ID パスワードをお忘れの方 2

証明書インポート用Webページ

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

アルファメール 移行設定の手引き Outlook2016

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

アカウント管理者 操作ドキュメント

クライアント証明書導入マニュアル

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

ご利用の前に 目次 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8.1 について Internet Explorer のバージョン確認 SAMWEB の初期設定 セ

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

Microsoft Word - BJ-Trans_JW_SXFInstallguide.doc

Microsoft PowerPoint - T4OOマニュアル_admin管理者_ pptx

Ver1.70 証明書発行マニュアル パスワード設定版 Windows 7 InternetExplorer 2018 年 3 月 14 日 セコムトラストシステムズ株式会社 Copyright SECOM Trust Systems CO.,LTD. All Rights Reserved i

目次 1. ご利用上のご注意 2 2. 共有電話帳とは 3 3. ご利用の流れ 4 1. アプリダウンロード依頼メールの送信 5 2. アプリのダウンロード 7 3. 共有電話帳ファイルを作成 8 4. 共有電話帳ファイルをアップロード 共有電話帳データの同期 同期結果を確認

Microsoft PowerPoint - Userguide-keitai-douga-v1.1.ppt

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

3. ユーザー情報の登録 必要事項をご入力の上 申込み ボタンを押してください ご利用される方のお名前を入力してください 個人名以外の名称は サポートセンターからの ご連絡の際に連絡がうまくとれないなど不都合が 生じる恐れがありますので ご遠慮いただいています 複数のメールアドレスを登録することはで

< 目次 > 1. ビジネスポータル初回ログイン手順について Arcstar IP Voice 開通後 最初にビジネスポータルにアクセスして 初期設定をしていただく手順についてご案内します 2. ログインとダッシュボード画面の表示メニュービジネスポータルにログインし ダッシュボード画面を表示するまで

IE用事前設定手順書

PowerPoint プレゼンテーション

エンカレッジオンラインのご利用について 動作環境 : Internet Explorer 9 以上 Firefox 最新版 Google Chrome 最新版 Safari 最新版 その他注意事項 : ご不明な点や不具合のご報告はお手数ですがこちらまでご連絡ください エンカレッジ事務局 電話番号 :

目次. ご利用上の注意. アプリをインストールする. アプリを起動する. アプリの初期設定を行う. アプリのログインパスワードを変更する 6. アプリのメニューを操作する 7. ステータスを送信する 8. 定期位置通知間隔を変更する 9. 随時検索をする 0. メッセージ連絡をする. メッセージの連

FutureWeb3 サーバー移管マニュアル Vol.004

OmniTrust

1 はじめに はじめに 本マニュアルは アルファメールプラチナをご利用のお客様が 新 Web サーバー環境 に移行する手順と設定方法をご案内しております 新 Web サーバー環境ご利用開始までの手順について お客様 弊社 新 Web サーバー切替の申し込み P.3 新 Web サーバー切替のお申し込

オープンソース・ソリューション・テクノロジ株式会社 会社紹介


アルファメールプレミア 移行設定の手引き Outlook2016

Ver1.10 セコムあんしんログインサービス利用者マニュアル ID パスワード認証 +ワンタイムパスワード認証 (Mac OS X) 2015 年 1 月 26 日 セコムトラストシステムズ株式会社 Copyright SECOM Trust Systems CO.,LTD. All Rights

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

BizDataBank とはインターネット上のクラウドサーバーを 自分のパソコンのハードディスクのようにご利用いただけるサービスです クラウドに格納したデータはパソコンだけでなく スマートフォンやタブレットでも自在にアクセス可能 さらに 大容量データの送信やメンバー限定のファイル共有など ビジネスや

Microsoft Word - Gmail-mailsoft設定2016_ docx

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

1

誓約書の同意 4 初回のみ 下記画面が表示されるので内容を確認後 同意する ボタンをクリック 同意していただけない場合はネット調達システムを使うことができません 参照条件設定 5 案件の絞り込み画面が表示されます 5-1 施工地域を選択して 施工地域選択完了 ボタンをクリック - 2 -

■POP3の廃止について

ご利用の前に 目次 - 0. 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8. について Internet Explorer のバージョン確認 SAMWEB の初期設定 セキュリティ設定..

申請について 研究の概要 に機密情報を含めることはできますか 研究の概要 内の 研究内容に関連する業績( 原著論文 ) は英語論文のみですか また 記載する論文は in press でもよいですか 申請をした後で申請内容を修正したい場合はどのようにすればよいですか 申請をしましたが 都合により取り下

改版履歴 版数 日付 内容 担当 V /0/27 初版発行 STS V..0 20/03/04 トラブルシューティング改訂 STS P-2

LCV-Net ファイルコンテナ ユーザーマニュアル

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

目次 ログイン ログイン お知らせ画面... 3 チェック結果の表示 / 新規作成 / 更新 / データ出力 チェック結果一覧の表示 新規作成 チェック結果の検索 チェック結果の詳

Alfa-Products_installguide

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

ファイルのアップロード. 上メニューから [ アップロード ] を選択します. [ アップロード ] 画面に移行しますので, 以下の手順で操作を行います アップロードするファイルを選択し, 指定場所へ [ ドラッグ & ドロップ ] します ドラッグ & ドロップ ファイルがリストアップされたことを

Transcription:

管理者シングルサインオン機能ユーザーマニュアル Ver 1.1 2018/06/01 株式会社シャノン 1

目次 目次 1. 概要 1-1. このマニュアルについて 1-2. 本機能の概要 1-3. 用語と略称について 2. 基本仕様 2-1. 技術仕様 2-2. 制約事項 2-3. 動作確認済の製品 サービス 2-3-1. 動作確認済のIDプロバイダ 2-4. パラメータ 2-4-1. SMPをサービスプロバイダとして利用するときのパラメータ 3. 管理ユーザーのID 体系の設計 3-1. ユーザーの照合について 3-2. ID 体系を設計する前に調べておくこと 3-3. ID 体系の設計 3-4. ID 体系の設計例 3-4-1. SMPを新規導入し ほぼシングルサインオンだけで運用する場合 3-4-2. SMPを新規導入し シングルサインオンと直接ログインを併用する場合 3-4-3. 独自のID 体系を持つ既存のSMPをシングルサインオンに全面移行する場合 4. 設定手順 4-1. 一般的な設定手順 4-1-1. SMPの管理者シングルサインオン機能の有効化 4-1-2. SMPの情報をIDプロバイダ側に登録 4-1-3. IDプロバイダの情報をSMP 側に登録 4-1-4. シングルサインオンのテスト 4-1-5. 管理ユーザーのプロビジョニング 4-1-6. 運用開始 4-2. 管理者シングルサインオン設定画面 4-2-1. 管理者シングルサインオン設定画面の開き方 4-2-2. 管理者シングルサインオン設定画面 4-2-3. 管理者シングルサインオン設定編集画面 4-3. 管理ユーザーのプロビジョニング 4-3-1. 管理ユーザーの登録 4-3-2. 管理ユーザー単位でのシングルサインオン設定 5. 注意事項 5-1. セキュリティに関する注意事項 5-2. その他の注意事項 2

6. トラブルシューティング 6-1. すべてのユーザーでシングルサインオンできない場合 6-2. 一部のユーザーでシングルサインオンできない場合付録 A. サービスプロバイダ起点のシングルサインオン ( 試用版 ) A-1. サービスプロバイダ起点のシングルサインオンとは A-2. サービスプロバイダ起点のシングルサインオンの流れ A-3. サービスプロバイダ起点のシングルサインオンの設定方法 本マニュアルに記載されている会社名 製品名は それぞれ各社の商標および登録商標です 3

1. 概要 1-1. このマニュアルについて このマニュアルは SHANON MARKETING PLATFORM ( 以下 SMP) の管理者シングルサインオン機能 ( 以下 本機能 ) について 製品仕様と利用方法を解説するための文書です 本機能の導入検討 および設定内容の検討などにご利用ください 本マニュアルは 企業向け情報システムにおけるユーザー認証の仕組みと 一般的なシングルサインオンの動作原理について ある程度の知識を有する方を対象に作成しております 本機能で使用する各種規格やプロトコル等については それぞれの策定団体 企業等から提供されるドキュメントをご参照ください また 本機能のご利用にあたっては 連携先となるシステムや製品 サービスの仕様や制約事項等についても 十分理解しておく必要があります 連携先のシステムや製品 サービスから提供されている各種ドキュメントも 併せてご利用ください 1-2. 本機能の概要 本機能は SMP 管理画面のユーザー認証において シングルサインオンを利用可能にするためのものです 本機能を有効にすると SMP 管理画面のユーザー認証の一部を SMP の外部にあるシステムに委託できるようになります 例えば 社内システムの ID パスワード認証機能を利用し そのまま SMP 管理画面にログインできます 本機能を利用して ユーザー認証を1つのシステムに集約すると 以下のようなメリットが得られます アカウント管理の省力化 システム管理者は SMP 管理画面専用のID パスワードをユーザーに配布する必要がなくなります システム管理者は SMPを含めたアクセス可否を1ヶ所で集中管理できるようになります セキュリティの向上 ユーザー認証を集約したシステム側に 多要素認証や生体認証などの高度な認証技術を導入すると シングルサインオン時にも高度な認証技術を適用できます このため シングルサインオン先も含めて セキュリティ水準を全体的に底上げしやすくなります 人事異動や退職に伴うアカウントの停止 削除作業も集約できるため アカウントの停止漏れに起因する情報漏洩リスクを軽減することができます SMP 管理画面ユーザーの利便性の向上 ユーザーは SMP 管理画面専用のID パスワードを覚える必要がなくなります 認証済みのユーザーは ID パスワードを入力することなくSMPを利用できるようになります また 本機能には以下のような特徴があります SAML 2.0 規格に準拠 企業向けシステムにおけるシングルサインオンの標準規格として広く普及している SAML (Security Assertion Markup Language) 2.0 に準拠しています SMPは SAML 2.0 におけるサービスプロバイダ (SP) として動作します シングルサインオンと直接ログインを併用可能 1つのSMPドメインの中で 外部システムによるユーザー認証 ( シングルサインオン ) と SMP 内のID パスワードによるユーザー認証 ( 直接ログイン ) を併用することができます 業務委託先や臨時従業員に対して ユーザー認証を行う外部システムのアカウントを割り当てられない場合でも SMPに登録したID パスワードで直接ログインさせることが可能です 4

管理ユーザー単位で ログインを許可する経路 ( シングルサインオン 直接ログイン ) を指定できるほか 両方の経路からのログインを許可することもできます これにより 従来の直接ログインからシングルサインオンへの段階的な移行が容易になります 1-3. 用語と略称について 本マニュアルにおける用語 および略称について説明します 用語と略称 シングルサインオン (SSO) ID プロバイダ (IdP) サービスプロバイダ (SP) SMP 管理ユーザー 直接ログイン ログイン経路 SAML SAML アサーション プロビジョニング 意味 一度のユーザー認証処理で 異なる複数のシステムへアクセス可能にすること アカウントを管理し ユーザー認証処理を担当するシステムのこと サービスプロバイダと信頼関係を構築し ユーザー認証の処理を代行する ユーザーに対してサービスやアプリケーションを提供する側のシステムのこと ID プロバイダと信頼関係を構築し ユーザー認証の処理を ID プロバイダに委託する SMP の管理画面を利用できるユーザーのこと シングルサインオン経由でログインする場合も 直接ログインする場合も SMP 上ではどちらも管理ユーザーとして同列に扱う シングルサインオンを利用せず SMP に対して直接ログインすること ユーザー認証の処理は SMP が担当し SMP に登録された管理ユーザーのログイン ID とパスワードを用いてログインする 直接ログインに ID プロバイダは関与しない SMP 管理ユーザーがログインするときに利用した認証経路のこと SMP の場合 シングルサインオン経由 と 直接ログイン の 2 つの経路がある Security Assertion Markup Language の略 シングルサインオンを実現するための標準規格で 多くの製品 サービスで採用されている 詳しくは以下の URL を参照 https://wiki.oasis-open.org/security/ ID プロバイダがユーザー認証を行った結果を XML 文書の形式で記述したもの ID プロバイダが発行した SAML アサーションをサービスプロバイダが受け取り 署名検証と解釈を行うことで シングルサインオンが実現される シングルサインオン対象となるユーザーの情報を あらかじめサービスプロバイダ側に登録しておく作業のこと 所属グループやロールの設定なども含む 5

2. 基本仕様 本章では 本機能の基本的な仕様について記載します 2-1. 技術仕様 本機能の技術的な仕様は 以下の通りです シングルサインオン仕様 SAML 2.0 に準拠したシングルサインオンができます SAMLプロファイルのうち Web ブラウザ SSO プロファイルに対応します SMPは SAML 2.0のサービスプロバイダ (SP) として振る舞います IDプロバイダ側を起点とするシングルサインオン (IdP-initiated SSO) に対応しています SMP 側を起点とするシングルサインオン (SP-initiated SSO) は試用版として試験提供中で サポート対象外です 詳しくは 付録 A1. サービスプロバイダ起点のシングルサインオン ( 試用版 ) をご覧ください SAMLアサーション仕様 IDプロバイダからのレスポンスは HTTP POST で受け付けます SMPは IDプロバイダ発行の証明書を利用して レスポンスに含まれるSAMLアサーションの署名を検証します SMPは 署名の検証に成功した場合のみ シングルサインオンを受け入れます SAMLアサーションには IDプロバイダによる署名が必須です SAMLアサーションを対象範囲とした署名について検証を行います レスポンス全体に対する署名には対応していません SMPは SAMLアサーションの Subject 内にある NameIdentifier (NameID) 要素の文字列を用いて SMP 側の管理ユーザーと照合します 照合対象とする管理ユーザーの項目は ログインID と 外部 IDプロバイダ用ユーザ識別子 のいずれか1つです 詳しくは3-1. ユーザーの照合について をご覧ください 署名検証に用いるIDプロバイダ発行の証明書は Base64エンコードされた形式に対応しています 本機能では SAMLアサーションの属性 (AttributeAssertion) は利用しません その他の技術仕様 シングルサインオンに関わる SMP のすべてのリクエストとレスポンスには SSL を使用します 2-2. 制約事項 本機能では実現できないことや 本機能を利用する際の条件など 制約事項について記載します 本機能では実現できないこと 本機能は 以下の各項に対応しておりません SAMLプロファイルのうち Webシングルログアウトプロファイルには対応していません SMPをログアウトしても IDプロバイダ側のログイン状態は維持されています IDプロバイダ側でログアウトしても SMPのログイン状態は維持されています SAMLアサーションの暗号化には対応していません 本機能をご利用いただくための前提条件 6

本機能をご利用いただくには 以下の前提条件があります SMP 上のパスワードが暗号化されている必要があります 本機能をご利用いただく上での制約事項 本機能をご利用いただく場合 以下のような制約があります 本機能は SMPの以下の機能と併用することができません サイト認証機能 クローズドサイト 以下の機能 サービスは シングルサインオン経由のログインでご利用いただくことができません Tableau Desktop アプリ SMP 名刺スキャン アプリ (Windows 用 ) シャノン名刺アプリ ( スマートフォン用 ) SMP 側に登録されたID パスワードによるログインにてご利用ください 本機能と ユーザ認証 API (authapi.login) による管理者の認証機能を併用する場合 先にシングルサインオン経由のログインを済ませてからユーザ認証 APIを利用する必要があります SMPへのログインが済んでいない状態でユーザ認証 APIを利用する場合 直接ログインのみ可能です 本機能の設定を終えた後にSMPのドメイン名を変更した場合 シングルサインオンの設定を最初からやり直す必要があります 本機能をSMPのSandbox 環境でご利用いただく場合 ログイン経路を問わずBasic 認証も適用されます 2-3. 動作確認済の製品 サービス 他社の製品 サービスと組み合わせた動作確認状況は 以下の通りです 2-3-1. 動作確認済の ID プロバイダ 2018 年 5 月時点で 以下の ID プロバイダとの組み合わせによるシングルサインオンの動作を確認済です Azure Active Directory (Microsoft) SMPをサービスプロバイダとして設定するには Azure Active Directory の Premium P1/P2 エディションのライセンスが必要です Free および Basic エディションでは設定ができません G Suite (Google) Salesforce (salesforce.com) 注意 上記の製品 サービスは 実稼働環境に対して一般的な設定を行った際の動作実績に基づいて記載しております SMP と組み合わせてご利用いただくにあたり お客様のご利用環境によっては ID プロバイダやネットワークなどの設定変更が必要となる可能性があります 上記の製品 サービスにおいて バージョンアップや仕様変更が行われた場合も 本機能の動作に影響が及ぶ可能性があります 2-4. パラメータ 設定時には 以下のパラメータをご利用ください 2-4-1. SMP をサービスプロバイダとして利用するときのパラメータ 7

ID プロバイダ側に対して 以下のパラメータを設定してください パラメータ名 SP エンティティ ID コンシューマー URL https://<smp ドメイン名 >/public/admin/saml https://<smp ドメイン名 >/public/admin/saml/consume 値 注意 末尾に / ( スラッシュ ) は付加しないでください ID プロバイダによって パラメータの呼称が異なります 例えば SP エンティティ ID は SP 識別子 コンシューマー URL は 応答 URL ACS URL などと表記されることがあります SP メタデータは提供しておりません 上記パラメータを手動にて設定していただく必要があります 8

3. 管理ユーザーの ID 体系の設計 本章では SMP 管理ユーザーの ID 体系の決め方について説明します シングルサインオンの運用開始後に管理ユーザーの ID 体系を変更するには 多大な労力を要します シングルサインオンの設定作業に着手する前に まずはユースケースに適する ID 体系を設計することを推奨します 3-1. ユーザーの照合について シングルサインオンを行うとき ID プロバイダはユーザー認証 認可の処理結果に基づき SAML アサーションを発行します サービスプロバイダである SMP は 受け取った SAML アサーションを検証し SMP 内に登録された管理ユーザーがログインしたものとして読み替えてアクセスを受け容れます このとき SMP では ID プロバイダ側で認証 認可されたユーザーに対応する SMP 管理ユーザーを探す 処理を行います これを ユーザーの照合 と呼びます ユーザーの照合を行う際 SMP は以下の値を使用します ID プロバイダ側のユーザー :SAML アサーションの Subject に含まれる NameIdentifier の文字列 SMP 側の管理ユーザー : ログイン ID または 外部 ID プロバイダ用ユーザ識別子 の文字列 ( 管理者シングルサインオン設定画面でいずれかを選択 ) 3-2. ID 体系を設計する前に調べておくこと ID 体系を設計する前に 以下の各項を決定 または調査してください IDプロバイダ側で用いているID 体系 IDプロバイダ側が どのようなID 体系を用いているかをお調べください 一般的には ログイン画面にIDとして入力する文字列の形式で判別できます ( 例 ) メールアドレス ( 例 ) メールアドレスの @ ( アットマーク ) より前の部分 ( 例 ) 社員番号 IDプロバイダがSAMLアサーションの NameIdentifier に出力できる値 SAMLアサーションの NameIdentifier にどのような値を出力できるかをお調べください 出力できる値は 採用している製品 サービスのほか 個社ごとの利用形態によっても異なりますので IDプロバイダを管理しているシステム管理者の方にお問い合わせください 一般的に ログイン画面にIDとして入力する文字列は そのまま出力できることが多いです また 製品 サービスによっては別の値を出力できることもあります シングルサインオンと直接ログインの併用の有無 また すでに SMP をご利用いただいているドメインで 管理者シングルサインオン機能の利用を開始する場合は 以下の各項についても調査してください 既存の SMP 管理ユーザーの ID 体系 SMP のシステム設定における 認証ログインキー の設定内容 3-3. ID 体系の設計 ID 体系を設計する前に 以下の各項を決定 または調査してください 9

3-4. ID 体系の設計例 一般的なユースケースに合わせた ID 体系の設計例を記載します 個別の要求事項や制約事項を考慮したうえで 適宜アレンジしてご利用ください 3-4-1. SMP を新規導入し ほぼシングルサインオンだけで運用する場合 システム管理者を除き 原則としてシングルサインオン経由でログインするケースです ID プロバイダ側がメールアドレス主体の ID 体系で運営されている場合は ユーザー照合に使用する文字列も含め メールアドレスで統一しておくことを推奨します IDプロバイダのID 体系 : メールアドレスでログイン NameIdentifier の出力値 : メールアドレスを出力 SMP 管理ユーザーのID 体系 : ログインIDにEmailの文字列を使用 ユーザ照合項目の設定 : ログインIDで照合 外部 IDプロバイダ用ユーザ識別子 : すべて空欄 備考 上記例では SMP のシステム設定の 認証ログインキー は login_id に設定し ログイン ID 欄にメールアドレスの文字列を登録することを推奨します 認証ログインキー を email に設定してもシングルサインオンは利用可能ですが あとでシングルサインオンと直接ログインを併用するのが難しくなります 3-4-2. SMP を新規導入し シングルサインオンと直接ログインを併用する場合 ID プロバイダ側がメールアドレス主体の ID 体系で運営されており 社員はシングルサインオン経由でログインするものの SMP を操作する一部の業務委託先には ID プロバイダ側のアカウントが発行されていないため 業務委託先の担当者は SMP に直接ログインするようなケースです この場合も ログイン ID の項目に登録されたメールアドレスの文字列でユーザー照合することを推奨しますが 直接ログインする管理ユーザーとログイン ID の文字列が衝突しないように注意してください IDプロバイダのID 体系 : メールアドレスでログイン NameIdentifier の出力値 : メールアドレスを出力 SMP 管理ユーザーのID 体系 : 社員はEmailの文字列 業務委託先はEmailではない文字列 ユーザ照合項目の設定 : ログインIDで照合 外部 IDプロバイダ用ユーザ識別子 : すべて空欄 備考 上記例では SMP のシステム設定の 認証ログインキー は login_id に設定し ログイン ID 欄にメールアドレスの文字列を登録することを推奨します 認証ログインキー を email に設定した場合 SMP に直接ログインする業務委託先ユーザーにも何らかのメールアドレスを登録する必要が生じます 3-4-3. 独自の ID 体系を持つ既存の SMP をシングルサインオンに全面移行する場合 既存の SMP ドメインを 原則としてシングルサインオン経由のログインに移行するケースです ID プロバイダ側がメールアドレス主体で運営されているのに対し SMP の既存の管理ユーザーはこれと異なる独自の ID 体系で運営されてきました この場合 管理ユーザーの 外部 ID プロバイダ用ユーザ識別子 にメールアドレスの文字列を登録してユーザー照合に利用することで SMP 側のログイン ID 体系を変更することなくシングルサインオンに移行できます 10

IDプロバイダのID 体系 : メールアドレスでログイン NameIdentifier の出力値 : メールアドレスを出力 SMP 管理ユーザーのID 体系 : 以前から使ってきた独自の文字列 ユーザ照合項目の設定 : ユーザ識別子で照合 外部 IDプロバイダ用ユーザ識別子 : メールアドレスの文字列を登録 11

4. 設定手順 本章では SMP 管理者シングルサインオン機能の設定手順について記載します 外部の ID プロバイダを利用し SMP をサービスプロバイダとするときの設定手順を解説します 4-1. 一般的な設定手順 外部の ID プロバイダとの間でシングルサインオンを実現するための一般的な設定手順は 以下の通りです 1. SMP の管理者シングルサインオン機能を有効化 2. SMP の情報を ID プロバイダ側に登録 3. ID プロバイダの情報を SMP 側に登録 4. シングルサインオンをテスト 5. 管理ユーザーのプロビジョニング 6. シングルサインオンの運用開始 ID プロバイダによっては 上記の手順が一部入れ替わることがあります なお すでに SMP をご利用いただいているお客様が本機能をご利用になる場合は まず SMP の Sandbox 環境にて上記手順の 1~4 を実行し シングルサインオンの可否を検証していただくことを強く推奨いたします 検証の結果に問題がなければ 実運用環境で上記手順の 1~6 を実施してください 4-1-1. SMP の管理者シングルサインオン機能の有効化 まず SMP の管理者シングルサインオン機能を有効化します SMP 管理画面で 設定 タブを選択したとき 左側のメニューに 管理者シングルサインオン設定 のリンクが表示されていれば 本機能はご利用いただけます 上記のリンクが表示されていない場合は ロール設定 のメニューより 管理者シングルサインオン設定 の画面を ON に変更し アクセスを許可してください この画面内に 管理者シングルサインオン設定 の設定項目が見つからない場合は 弊社営業担当までお問い合わせください 4-1-2. SMP の情報を ID プロバイダ側に登録 次に ID プロバイダ側に SMP の情報を登録します ID プロバイダ側としたいシステムで SAML 2.0 に基づく ID プロバイダとしての機能が有効化されていない場合は まず機能を有効化してください 次いで 新しいサービスプロバイダとして SMP を登録します 2-4-1. SMP を SP として利用するときのパラメータ に記載されたパラメータを使用して サービスプロバイダを登録してください 設定項目名や操作手順は ID プロバイダごとに異なります ID プロバイダ側となる製品 サービスの説明書やヘルプなどをよくお読みください サービスプロバイダ情報を登録したら ID プロバイダから設定パラメータと証明書を入手してください 通常は どちらも ID プロバイダ側の設定画面から入手可能です この設定パラメータと証明書は ID プロバイダ情報として サービスプロバイダである SMP に登録します 4-1-3. ID プロバイダの情報を SMP 側に登録 ID プロバイダ側での登録作業が終わったら 今度は ID プロバイダの情報を SMP 側に登録します ID プロバイダから入手した設定パラメータと証明書を 管理者シングルサインオン設定画面に登録してください 証明書はファイルをアップロードします 具体的な設定画面の操作手順は 4-2. 管理者シングルサインオン設定画面 をご覧ください 12

4-1-4. シングルサインオンのテスト IDプロバイダとサービスプロバイダの両方の設定が終わったら シングルサインオンをテストします テストの手順は以下の通りです IDプロバイダ側に テスト用アカウントを用意してください SMP 側に テスト用の管理ユーザーを登録してください ユーザー照合にログインIDを利用する場合 テスト用管理ユーザーのログインIDは IDプロバイダが出力するNameIdentifierと同じ値を使用してください ユーザー照合に 外部 IDプロバイダ用のユーザ識別子 を利用する場合 IDプロバイダが出力するNameIdentifierと同じ値を テスト用管理ユーザーの 外部 IDプロバイダ用のユーザ識別子 に登録しておいてください テスト用の管理ユーザーの設定を変更し 外部 IDプロバイダ経由のログイン を 許可する に設定してください テストするブラウザでSMPにログインしている場合は SMPからログアウトしてください テスト用アカウントでIDプロバイダにログインした後 シングルサインオン用のリンクを経由して SMPへのログインができることを確認してください テストが正常に完了したら 正式運用開始に向けたプロビジョニングを行います 4-1-5. 管理ユーザーのプロビジョニング シングルサインオンの対象となる SMP 管理ユーザーを あらかじめ SMP 側に準備しておきます 新しい SMP 管理ユーザーとして登録するほか 既存の SMP 管理ユーザーを利用することもできます ユーザー情報を登録 更新し 適切なロールを割り当てておきます 具体的な作業手順については 4-3. 管理ユーザーのプロビジョニング をご覧ください 4-1-6. 運用開始 プロビジョニングが終わったら シングルサインオンを許可するユーザーから順に 外部 ID プロバイダ経由のログイン を 許可する に設定を変更してください 最初は シングルサインオン経由と直接ログインの両方を許可します シングルサインオン経由でのログインに問題がないことが確認できたら 順次直接ログインを停止して ログイン経路をシングルサインオン経由のみに限定していくと 移行しやすいです 4-2. 管理者シングルサインオン設定画面 SMP の 管理者シングルサインオン設定 画面の項目と 操作方法を解説します 4-2-1. 管理者シングルサインオン設定画面の開き方 設定画面を開くときは 以下の手順に従ってください 1. SMPに特権管理者権限でログインする 2. 設定 タブをクリックする 3. 左側のメニューから 管理者シングルサインオン設定 をクリックする 13

< 図 1: 管理者シングルサインオン設定のメニュー位置 > 4-2-2. 管理者シングルサインオン設定画面 設定画面の表示項目と 操作方法を解説します < 図 2: 管理者シングルサインオン設定画面 > 設定名 ボタン名 意味 備考 14

ID プロバイダ名 ID プロバイダの証明書 ID プロバイダのエンティティ ID ログイン URL シングルサインオンのバインディング (*) ユーザ照合項目 認証リクエストへの署名 (*) サービスプロバイダの証明書 (*) 編集 ボタン ID プロバイダの名称です ID プロバイダから取得した証明書の登録状態です 登録されている場合は 証明書の有効期限も表示されます ID プロバイダから指定されたエンティティ ID です ID プロバイダから指定されたログイン URL です サービスプロバイダ起点のシングルサインオンにおいて使用する サービスプロバイダから ID プロバイダへの遷移方式です 既定値は Redirect です ID プロバイダで認証されたユーザーを SMP の管理ユーザーと照合するときに使用する項目名です 既定値は ログイン ID で照合 です サービスプロバイダ起点のシングルサインオンにおいて ID プロバイダに対して送信する認証リクエストへの署名の有無です 既定値は しない です ID プロバイダが 認証リクエストの署名を検証するときに使用する証明書です 認証リクエストへの署名が する に設定されている場合のみ 表示されます 発行済 のリンクをクリックすると 証明書をダウンロードすることができます 入手した証明書は ID プロバイダに登録してください クリックすると 管理者シングルサインオン設定編集画面に遷移します 備考 (*) のついた設定名は サービスプロバイダ起点のシングルサインオンにおいて使用する項目です ID プロバイダ起点のシングルサインオンのみを利用する場合は 既定値のままにしてください 詳しい設定方法は 付録 A. サービスプロバイダ起点のシングルサインオン ( 試用版 ) もご参照ください まだ設定を登録していない場合 設定項目は何も表示されません 4-2-3. 管理者シングルサインオン設定編集画面 編集画面の表示項目と 操作方法を解説します 15

< 図 3: 管理者シングルサインオン設定編集画面 > 設定名 ボタン名必須意味 備考 ID プロバイダ名必須 ID プロバイダの名称を登録します ID プロバイダの証明書 ID プロバイダのエンティティ ID ログイン URL シングルサインオンのバインディング (*) ユーザ照合項目 必須必須必須必須必須 ID プロバイダから取得した証明書を登録します 参照 ボタンをクリックし 証明書ファイル (.pem) を指定してください すでに証明書が登録されている場合も 新しい証明書ファイルを参照することで 上書き登録ができます ID プロバイダから指定されたエンティティ ID を登録します 必ず https:// で始まる文字列を登録してください ID プロバイダから指定されたログイン URL を登録します 必ず https:// で始まる文字列を登録してください サービスプロバイダ起点のシングルサインオンにおいて使用する サービスプロバイダから ID プロバイダへの遷移方式を選択します Redirect : リダイレクトで遷移します Post :POST で遷移します 既定値は Redirect です 認証リクエストへ署名する場合は 認証リクエストのサイズが大きくなるため Post を選択することを推奨します ID プロバイダで認証されたユーザを SMP の管理ユーザと照合するときに使用する項目名を選択します ログイン ID で照合 : ログイン ID と照合します ユーザ識別子で照合 : 外部 ID プロバイダ用ユーザ識別子 と照合します 既定値は ログイン ID で照合 です 16

認証リクエストへの署名 (*) 必須 サービスプロバイダ起点のシングルサインオンにおいて ID プロバイダに対して送信する認証リクエストへの署名の有無を選択します しない : 認証リクエストに署名を付加しません する : 認証リクエストに署名を付加します 既定値は しない です ID プロバイダが 認証リクエストの署名を検証するときに使用する証明書を発行します 認証リクエストへの署名が する に設定されている場合のみ 表示されます サービスプロバイダの証明書 (*) 必須 まだ SP 証明書を発行したことがない場合 発行しない : 証明書を発行しません 発行する : 新しい証明書を発行します 既定値は 発行しない です SP 証明書が発行済の場合 使用を継続 : 現在の証明書をそのまま使います 破棄して再発行 : 新しい証明書を発行し切り替えます 既定値は 使用を継続 です 登録 ボタン クリックすると 設定を登録します 備考 サービスプロバイダの証明書の有効期間は 発行から 5 年間です 4-3. 管理ユーザーのプロビジョニング シングルサインオンを動作させるには ID プロバイダ側のユーザーに対応するサービスプロバイダ側のユーザーを あらかじめ準備する必要があります この準備作業のことをプロビジョニングと呼びます SMP 管理ユーザーの新規登録によるプロビジョニングのほか 既存の SMP 管理ユーザーを利用したプロビジョニングも可能です 4-3-1. 管理ユーザーの登録 ID プロバイダ側のユーザーに対応する SMP 側の管理ユーザーが登録されていない場合は まず SMP に管理ユーザーを登録する必要があります シングルサインオンで使用するユーザーの登録方法は 通常の管理ユーザーの登録方法と全く同じです 1 件ずつ登録したいときは 設定 タブの ユーザ設定 メニューより 新規登録 ボタンを押してユーザーを登録します 複数のユーザーをまとめて登録したいときは 設定 タブの ユーザ設定 メニューより 一括登録 ボタンを押して CSV ファイルをアップロードします ユーザーの登録が終わった後 必要に応じて適宜グループやロールの設定を行ってください なお 既存の SMP の管理ユーザーをそのまま利用してシングルサインオンに移行する場合 管理ユーザーを別途登録する必要はありません 注意 シングルサインオン機能を利用する SMP ドメインにおいては 設定 画面にアクセスできるユーザーを最 17

小限に絞り込んでください CSV ファイルから管理ユーザーを一括登録 更新する場合 自動送信メール 管理者登録時 ( アカウント発行者宛 ) を送信する設定になっていると 登録 更新した件数分のメールが自動的に送信されてしまいます これを避けるには 全キャンペーン管理モードで メール タブ内の メール設定 メニューを選択し 管理者登録時 ( アカウント発行者宛 ) の自動送信設定をあらかじめ OFF に設定してください 4-3-2. 管理ユーザー単位でのシングルサインオン設定 用意した管理ユーザーに対して シングルサインオンを許可する設定を行います また 外部 ID プロバイダ用ユーザ識別子 の値を用いてユーザー照合する場合は 管理ユーザーに 外部 ID プロバイダ用ユーザ識別子 の値を登録して ユーザー照合が可能な状態にします 本機能を有効化すると 管理ユーザーに対して 以下の項目を設定できるようになります 設定名 ボタン名必須意味 備考 直接ログイン 任意 SMP に対する直接ログイン (SMP のログイン画面に ID パスワードを入力するログイン ) の可否を設定します 許可する : 直接ログインを許可します 許可しない : 直接ログインを拒否します 外部 ID プロバイダ経由のログイン 外部 ID プロバイダ用ユーザ識別子 任意 任意 管理ユーザーの新規登録時の既定値は 許可する です 外部 IDプロバイダを経由したシングルサインオンの可否を設定します 許可する : シングルサインオンを許可します 許可しない : シングルサインオンを拒否します 管理ユーザーの新規登録時の既定値は 許可しない です 外部 ID プロバイダとのユーザー照合に使用する文字列を登録します 登録する文字列は SMP ドメイン内で一意である必要があります 管理者シングルサインオン設定において ユーザ照合項目 の設定が ユーザ識別子で照合 に設定されている場合のみ使用されます 上記の各項目は 管理ユーザーの詳細 編集画面から確認 編集できるほか CSV ファイルによる管理ユーザーの一括登録 変更からもご利用いただけます 注意 現時点で 上記の各項目を API 経由で参照 更新することはできません 直接ログイン と 外部 ID プロバイダ経由のログイン の両方の項目を 許可しない に設定すると このユーザーは SMP 管理画面にログインできなくなります 直接ログイン の項目を 許可しない に設定したときも Tableau Desktop アプリへの直接ログインを禁止することはできません 表示項目設定ツールを適用している SMP ドメインでは 本機能を有効化しても 上記の設定項目は表示されません 表示項目設定ツールを適用しないグループに所属する管理ユーザーで SMP にログインし 設定を行ってください 18

< 図 4: 管理ユーザ詳細画面に追加されたシングルサインオン関連の設定項目 > 19

5. 注意事項 本章では 本機能のご利用にあたって注意していただきたい事項について記載します 5-1. セキュリティに関する注意事項 本機能をご利用いただく場合 セキュリティ確保のために以下の点にご注意ください 本機能を利用する場合 設定 画面のアクセス権を付与する管理ユーザーを極力限定してください 管理ユーザー情報を変更する権限を有する場合 ログイン ID や 外部 ID プロバイダ側のユーザ識別子 の値を書き換えることで シングルサインオン経由でログインしてくるユーザーの照合先を意図的に変更することができます 但し ユーザー認証そのものは ID プロバイダ側で実行されるため 任意のアカウントになりすますことはできません シングルサインオン経由でのログインを強制する場合 直接ログイン の項目を 許可しない に設定しても Tableau Desktop アプリへの直接ログインを禁止できない点に留意してください 5-2. その他の注意事項 その他の注意事項は 以下の通りです すべての管理ユーザーを シングルサインオン経由でのログインに限定することは避けてください ID プロバイダ側やシングルサインオン周りで障害が発生したとき システム管理者を含め SMP に一切ログインができなくなるためです 常用する管理ユーザーはすべてシングルサインオン経由としておき SMP に直接ログインできる システム管理者 権限の管理ユーザー ( 非常用 ) を 最低でも 1 つは残しておくことを強く推奨します シングルサインオン経由でログインする管理ユーザーであっても SMP に直接ログインするためのログイン ID とパスワードが登録されています ログイン経路をシングルサインオン経由に限定している管理ユーザーであっても 管理ユーザー向けのログイン画面から パスワードをお忘れの方はこちら のリンクを経由すると 管理者パスワードを再設定することができます 但し 直接ログイン を 許可しない 設定とすれば 管理ユーザーはログイン ID パスワードを入力しても SMP に直接ログインすることはできません SMP がシングルサインオンのユーザー照合で使用する ログイン ID および 外部 ID プロバイダ用のユーザ識別子 の項目は それぞれ 1 つの SMP ドメイン内で一意性を確保しています しかし ID プロバイダ側で 別々のユーザーに対して同じ NameIdentifier を出力すると ID プロバイダ側では別々のユーザーが SMP 上では 1 人のユーザーとして扱われる事象が発生します このような事象を防止するため ID プロバイダ側のユーザーごとに異なる NameIdentifier が出力されるよう ID プロバイダ側で適切な設定を行ってください 20

6. トラブルシューティング 本章では 本機能のご利用に関して発生した不具合の特定方法と その解決手順について記載します 6-1. すべてのユーザーでシングルサインオンできない場合 すべてのユーザーでシングルサインオンが正しく動作しない場合 以下の各項をご確認ください IDプロバイダ側に設定したサービスプロバイダ情報が誤っていませんか? IDプロバイダ側の設定画面をよくご覧になり 設定内容に誤りがないことをお確かめください SMP 側に設定したIDプロバイダ情報が誤っていませんか? SMPの 管理者シングルサインオン設定 画面をよくご覧になり IDプロバイダから提供されたパラメータが正しく登録されていることをお確かめください 同様に IDプロバイダから提供された証明書が正しく登録されていることをお確かめください 証明書には有効期限があります IDプロバイダから提供された証明書の有効期限が切れていないことをお確かめください IDプロバイダから発行されたユーザー識別子と SMP 側のユーザー照合項目は一致していますか? SMPの 管理者シングルサインオン設定 画面で ユーザ照合項目 の設定が ログインIDで照合 となっている場合 IDプロバイダから発行されるSAMLアサーションに含まれる NameIdentifierが SMPのログインIDと一致していることをお確かめください 同様に ユーザ照合項目 の設定が ユーザ識別子で照合 となっている場合 以下の2 点をお確かめください SMPの管理ユーザーの 外部 IDプロバイダ用ユーザ識別子 項目に ユーザー照合用の文字列が登録されていること IDプロバイダから発行されるSAMLアサーションに含まれるNameIdentifierが SMPの管理ユーザーの 外部 IDプロバイダ用ユーザ識別子 と一致していること SAMLアサーションに含まれるNameIdentifierが 意図通りに出力されていない場合は IDプロバイダ側の設定を変更していただく必要があります 管理者シングルサインオン機能と併用できない機能を利用していませんか? SMPの一部機能は 管理者シングルサインオン機能と併用することができません 6-2. 一部のユーザーでシングルサインオンできない場合 一部のユーザーでシングルサインオンが正しく動作しない場合 以下の各項をご確認ください あらかじめSMP 側で管理ユーザーをプロビジョニングしましたか? 管理者シングルサインオン機能を利用する場合も SMP 側にあらかじめ管理ユーザーを登録し 適切なロールを割り当てておく必要があります IDプロバイダから発行されたユーザー識別子と SMP 側のユーザー照合項目は一致していますか? IDプロバイダから発行されるSAMLアサーションに含まれるNameIdentifierを調べたうえで ユーザー照合項目が合致するSMP 管理ユーザーが存在することをお確かめください 特に ユーザ照合項目 の設定が ユーザ識別子で照合 となっている場合 SMPの管理ユーザに 外部 IDプロバイダ用ユーザ識別子 の項目が登録されていることをお確かめください 管理ユーザーのシングルサインオンを許可していますか? 管理ユーザーの 外部 IDプロバイダ経由のログイン 設定が 許可する になっていることをお確かめください 21

付録 A. サービスプロバイダ起点のシングルサインオン ( 試用版 ) 現時点では ID プロバイダ側を起点としたシングルサインオン (IdP-initiated SSO) のみ正式対応しておりますが サービスプロバイダ側を起点とするシングルサインオン (SP-initiated SSO) 機能も試験的に提供しております まだ正式機能ではない試用版ですが 一般的なサービスプロバイダ起点のシングルサインオンの大部分を実現できます なお 試用版のため サポート対象外とさせていただきます 本機能の試用中に発生した損失は いかなる場合であっても補償いたしかねます A-1. サービスプロバイダ起点のシングルサインオンとは ID プロバイダ起点のシングルサインオンでは ID プロバイダ側に設置された専用のリンクを介してシングルサインオンを行います このため SMP のようなサービスプロバイダの画面に直接アクセスしたときは シングルサインオンを利用することができません これに対し サービスプロバイダ起点のシングルサインオンでは サービスプロバイダ側の画面からもシングルサインオンを開始することができます 具体的には サービスプロバイダ側のログイン画面などにシングルサインオン開始用のリンクを設置し このリンクを経由することで ID プロバイダの認証を受けられるようにします ID プロバイダ起点のシングルサインオンに加え サービスプロバイダ起点のシングルサインオンを併用すると どのようなログイン経路でもシングルサインオンが選択可能となるため ユーザーの利便性が大きく高まります A-2. サービスプロバイダ起点のシングルサインオンの流れ ユーザーが以下の URL にアクセスすると SMP はユーザーの Web ブラウザを介して ID プロバイダ宛に認証リクエストを送信します これにより ID プロバイダに対してユーザーの認証を依頼します SP-initiated SSO 開始用 URL https://<smp ドメイン >/public/admin/saml/login ID プロバイダ側で認証処理が行われると ID プロバイダはユーザーの Web ブラウザを介して サービスプロバイダである SMP にレスポンスを返します 以後の流れは ID プロバイダ起点のシングルサインオンと同じです ID プロバイダ起点のシングルサインオンとの違いは 最初にサービスプロバイダから ID プロバイダ宛に認証リクエストを送信する点だけです A-3. サービスプロバイダ起点のシングルサインオンの設定方法 サービスプロバイダ起点のシングルサインオンを利用するには 以下の 2 つの設定作業が必要です 管理者シングルサインオン設定画面で SP-initiated SSO 用の項目に設定を追加する 管理者向けのログイン画面の HTML テンプレートを編集し シングルサインオン開始用 URL へのリンクを設置する 管理者シングルサインオン設定画面への追加設定内容について 必要に応じて 以下の設定を追加してください 詳しい設定方法は 4-2. 管理者シングルサインオン設定画面 をご覧ください シングルサインオンのバインディング IDプロバイダへの認証リクエスト (AuthN Request) 送信に用いるバインディングを選択できます RedirectとPostから選択可能です 既定値は Redirect です 22

認証リクエストへの署名 IDプロバイダに送る認証リクエストについて サービスプロバイダの署名の有無を選択できます 署名する 署名しない から選択可能です 既定値は 署名しない です IDプロバイダが署名を要求する場合のみ 署名する に設定してください サービスプロバイダの証明書 IDプロバイダに送る認証リクエストに署名する場合 IDプロバイダが署名検証に用いるサービスプロバイダ証明書を発行できます 認証リクエストに署名しない場合は発行不要です この項目は 認証リクエストへの署名 が 署名する に設定されている場合のみ表示されます 新規発行する を選択すると 新しいサービスプロバイダ証明書を発行します 破棄して再発行する を選択すると 現在使用している証明書を破棄し 新しい証明書を発行します 発行した証明書はリンクからダウンロードして IDプロバイダ側に登録してください ログイン画面の HTML テンプレートの編集について 別紙 デザインテンプレートカスタマイズマニュアル をご覧のうえ 編集をお試しください その他の注意事項 ご試用に際しては 以下の各項をよくお読みください サービスプロバイダからの認証リクエストを署名付きとする場合 以下の点に注意してください IDプロバイダによっては サービスプロバイダ署名付きの認証リクエストに対応していない場合があります サービスプロバイダ署名付きの認証リクエストはサイズが大きくなるため シングルサインオンのバインディングを Redirect とすると IDプロバイダ側が認証リクエストを正常に受け取れないおそれがあります 正常動作しない場合は バインディングを Post に変更してお試しください 但し IDプロバイダによっては Postによる認証リクエストを受け付けない場合があります サービスプロバイダ起点のシングルサインオンのご利用に際しては 以下の制約事項があります SMPのログイン画面にSP-initiated SSO 開始用のリンク ( ボタンなど ) を設置する場合は HTML テンプレートを編集して 前述のSP-initiated SSO 開始用 URLを記述する必要があります すでにSMPにログイン済の状態でIdP-initiated SSOを実行すると シングルサインオンを実行した管理ユーザーでSMPのログイン状態を強制的に上書きします これに対し すでにSMPにログイン済の状態でSP-initiated SSO 開始用 URLにアクセスした場合 IDプロバイダへの認証リクエストは行わず 現在の管理ユーザーのSMPログイン状態を維持します 23