SecureNaviでは、SAMLを利用したSSO設定を行うことで、SSOを利用したログインを行うことができます。この記事では、SAMLを利用したSSOの設定方法についてお知らせします。
概要
ベータ版の利用に関する注意
現在、当機能はベータ版として提供しています。そのため、一般的なSSO機能であれば提供されるような、一般的な機能が未実装となっています。具体的な詳細や、具体的な実装計画については、ページ下部の「現在の仕様・今後の開発計画」をご確認ください。
特に「ジャストインタイムプロビジョニングの無効化」機能が未リリースである点は、各組織のSecureNaviアカウントの付与ポリシーによっては、不正なアクセスを許可することにも繋がります。仕様を理解した上でご利用ください。
ご不明点は、サービス内のオンラインチャットサポートでお気軽にご連絡ください。
設定手順
1. IdPから、メタデータファイルをダウンロードする
接続するIdPから、メタデータファイル(xml形式)をダウンロードし、お手元にご用意ください。具体的なダウンロード方法は、各IdPのマニュアルをご確認ください。
現在、メタデータURLを利用した設定はサポートしていません。
2. メタデータファイルを SecureNavi にアップロードする
サイドメニュー「設定・参考情報 > 一般設定」から、ダウンロードしたメタデータファイルをアップロードします。
メタデータファイルをアップロードすることで、SAMLによるSSO設定を有効化することができます。
3. 設定に必要な情報を登録
SecureNavi上で設定が有効化されると、ACS URLを始めとした、SAML認証の設定に必要な情報が表示されます。接続するIdPに、これらの情報を登録してください。
具体的な登録方法は、各IdPのマニュアルをご確認ください。
(Google Workspaceについては設定例を記載しています)
4. 属性マッピングの設定
最後に、IdPの属性を、SecureNavi側の属性にマッピングする必要があります。以下の3つのマッピングが必要です。
-
email
- IdPが提供する、メールアドレス属性をマッピングしてください
-
firstName
- IdPが提供する、氏名の「名」属性をマッピングしてください
-
lastName
- IdPが提供する、氏名の「氏」属性をマッピングしてください
【参考】IdPとして Google Workspace を利用する場合
IdP として Google Workspace を利用する場合、属性マッピングの設定は、以下のように行ってください。
5. 動作確認を行う
SecureNaviからログアウトし、「SAML SSO でログインする」ボタンをクリックし、正常にログインできることを確認してください。
SAML設定が有効になるまで、数分〜数時間かかる可能性があります。正常にログインできない場合は、数時間後に再度お試しください。
動作確認済みのIdP
現在、Google Workspace で動作が確認できております。また、それ以外のIdPでも、SAML 2.0に対応済みのIdPであれば、ご利用いただくことが可能です。
ご注意
- 弊社検証済みIdPでも、場合によって接続ができない場合があります。弊社での調査検証が難しい場合も多く、事前検証の上、ご利用をご判断ください。
- 弊社検証済みIdP(Google Workspace)以外のIdPを利用される場合、接続出来ないケースも予想されます。弊社による個別での検証などは対応が出来ませんので、事前にトライアルをご利用いただきご利用予定のIdPの動作確認をお客様にて実施をお願いいたします。
ログインができないとき
SAML設定を行ったにもかかわらず、ログインが出来ない場合、以下の設定をご確認ください。
「属性マッピングの設定」を忘れている
「属性マッピングの設定」をお忘れではないでしょうか?上記「4. 属性マッピングの設定」から、もれなく設定が行われているか、ご確認ください。
不要な値が入っている
以前、「ユーザー属性とクレーム」の「名前空間」が指定されており、それが原因で接続できないことがありました。もし「名前空間」に値が入っているようであれば、一度削除してお試しください。
一部ユーザーのみでログインが失敗する
既知の問題として、「すでにSecureNaviにユーザー登録を行っている」「まだ一度もログインを行っていない」の2点を満たすケースにおいて、SAMLログインが正常に動作しない場合があります。SecureNaviのユーザー一覧画面にて「ログインがありません」と表示されている場合は、一度、ID・パスワードによるログインをお試しいただいた上で、SAMLログインをご利用ください。
現在の仕様・今後の開発計画
現在、SAML認証機能はベータ版として提供しており、以下の仕様となっております。ご了承の上、ご活用ください。
サインアップについて
- SAMLの設定を行っていただくと、IdPにログインできるユーザーであれば、管理者がSecureNaviに招待せずとも、自らSecureNaviにサインアップすることが可能です(いわゆる「ジャストインタイムプロビジョニング」がデフォルトで有効となっています)。サインアップ時の権限は「一般ユーザー」権限となります。
- 【開発予定】ジャストインタイムプロビジョニングを無効化する機能は、現在開発中です。
従来のログイン方式との兼ね合いについて
- SAMLを利用してサインアップを行ったユーザーは、パスワードを利用したログインを行うことができません。
- 一方、管理者による招待によってサインアップを行ったユーザーは、SAML認証によるログインに加えて、パスワードを利用したログインを引き続き行っていただけます。
- 【開発予定】SAML認証の設定を行った場合に、パスワードによるログインを無効化する機能は、現在開発中です。
IdP-Initiated SSO への対応について
- 現在、SP-initiated による SAML 認証方式のみに対応しており、IdP-Initiated による SAML 認証方式には対応していません。
SSOを停止するときは
全ユーザに対する停止
上述の通り、SSO利用時は2種類のユーザが存在します
- ①SAMLのみを利用し、パスワード利用ができないユーザ
- ②SAMLに加えて、パスワード利用ができるユーザ
①に該当するユーザがいる場合は、SSOを停止する前にSecureNaviにお問い合わせください。
①のユーザはSSO停止前にパスワード設定を施す必要がありますが、事前に弊社(SecureNavi)側でユーザアカウントに対して設定を施す必要があるためです。
弊社の作業が完了連絡しましたら、ログイン画面の「パスワードをお忘れですか?」ボタンからパスワード設定を進めてください(パスワードの再設定については、パワーユーザー権限を保有しているアカウントではなく、利用者アカウントでの再設定が必要となります)。
上記が完了しましたら、下記の「設定を無効化する」をクリックして停止してください(※1)。
(SAML停止後でも、上記のパスワード再設定は可能ですので、全くログインできなくなるわけではありません。)
※1) 2023年6月1日以降、Basicプランのお客様は自動的にSAML認証が使用できなくなります。
あらためて該当ユーザ様へは2023年5月中に、SAML停止に関するのご案内をいたしますので上記パスワード再設定作業を進めていただきますよう、お願いいたします。
一部ユーザに対する停止
SAMLは環境全て(全ユーザ)に対して反映されています。MFA用のデバイスを紛失してしまったなどを理由にSAMLが使えなくなった場合、該当ユーザはパスワードでログインできる状態にする必要があります。
これも上述の通り、2種類のユーザで対応が異なります。
- ①SAMLのみを利用し、パスワード利用ができないユーザ
- ②SAMLに加えて、パスワード利用ができるユーザ
①は上記「全ユーザに対する停止」のとおり、SecureNaviへお問合せいただき、パスワードでのログインを有効化する必要があります。
②はすでにパスワードでログインできる状態ですので、必要に応じてパスワード再発行を行いつつ、ログインを実施ください(パスワード再発行画面からは該当ユーザのメールアドレスを入力することもできますので、管理者での作業も可能です)。
なお、このユーザのログイン自体を停止したい場合は、ユーザ管理画面にて該当ユーザを無効化してください。