シングル・サインオン (SSO) を設定する
このページは、組織管理者が対象です。
yamory では SAML 2.0 によるシングル・サインオン (SSO) をサポートします。
SAML (Security Assertion Markup Language) は、Web ブラウザがセキュアトークンを介した SSO を実現するための標準規格です。SAML 認証を使うことで、Okta や OneLogin、Azure Active Directory 等の SAML に対応したID プロバイダー (IdP) とサービスプロバイダー (SP) である yamory との間で SSO 連携が可能です。
また、yamory では SP-Initiated SSO と IdP-Initiated SSO をサポートします。
ID プロバイダー (IdP)
ID プロバイダーは、SSO を使用して他の Web サイトへアクセスできるようにする認証情報の提供者です。
サービスプロバイダー (SP)
認証情報を利用するアプリケーションサービスです。
ここでは yamory がサービスプロバイダーとなります。
SP-Initiated SSO
サービスプロバイダー が起点となる SSO です。
yamory の SSO ログインページからメールアドレスを入力後、ID プロバイダーのログインページにリダイレクトし、認証が行われた後、yamory にログインされます。
IdP-Initiated SSO
ID プロバイダーが起点となる SSO です。
ID プロバイダーで認証が行われた後、ID プロバイダーのアプリ・ポータルに登録したアプリ (yamory) をクリックするだけで、yamory にログインできます。
ID プロバイダーと yamory を SAML 認証で連携する
SAML 認証を有効にするためには、ENTERPRISE プランのご契約が必要となります。
SAML の設定は yamory ADMIN(組織管理) の「設定」→「SAML 設定」より行います。
SAML 認証を有効にするためには、下記それぞれの設定が必要になります。
- お使いの ID プロバイダー側への設定
- yamory への設定
お使いの ID プロバイダーに yamory の連携情報を設定する
お使いの ID プロバイダーと yamory を SAML で連携するために、ID プロバイダーに下記の内容を設定してください。
- サービスプロバイダー Entity ID / Audience
サービスプロバイダーの識別子です。
yamory の SAML 設定画面から取得した値をご指定ください。 - シングルサインオン URL / ACS URL
サービスプロバイダーが ID プロバイダーからの SAML 認証レスポンスを受け取るための URL です。
ACS (Assertion Consumer Service) URL は応答 URL とも呼ばれます。
yamory の SAML 設定画面から取得した値をご指定ください。 - 名前 ID 形式 (NameID Format)
EmailAddress
形式をご指定ください。 - SAML バインディングサポート
SAML リクエスト: HTTP-Redirect
SAML レスポンス: HTTP-Post - シングルログアウト URL
サービスプロバイダーが ID プロバイダーからの SAML ログアウトリクエストを受け取るための URL です。
yamory の SAML 設定画面から取得した値をご指定ください。
シングルログアウトを使わない場合は、この項目の設定は不要です。
yamory に ID プロバイダーの連携情報を設定する
ID プロバイダーから取得した情報を yamory に設定します。
- ID プロバイダー Entity ID
ID プロバイダー Enitty ID は、ID プロバイダーの識別子です。
ID プロバイダーによっては発行者 (Issuer URL) や Entity ID 、あるいは(ID プロバイダー製品名)ID 等と表記されています。
SAML アサーションのIssuer
要素で渡される値です。 - シングルサインオン URL
ID プロバイダーへの SAML 認証リクエストの送信先 URL を指定します。
ID プロバイダーによってはエンドポイント URL やログイン URL 等と表記されています。 - シングルログアウト URL
ID プロバイダーへの SAML ログアウトレスポンスの送信先 URL を指定します。
シングルログアウトを使わない場合は、この項目の設定は不要です。 - 公開鍵証明書
PEM (Base64) 形式の X.509 証明書を設定します。
SSO を設定した組織にメンバーを追加する
SSO 連携を設定した組織に新たにメンバーを追加するには、チームに対してメンバーを招待してください。
招待されたメンバーは、初回は招待メールから yamory に SSO でログインできます。2 回目以降のログインは yamory の SSO ログインページもしくは ID プロバイダーのアプリ・ポータルから行ってください。
組織に関する設定全般については脆弱性を組織で管理するをご参照ください。