yamory の使い方

yamory へようこそ! yamory の基礎知識と使い方をご紹介します。

シングル・サインオン (SSO) を設定する

このページは、組織管理者が対象です。

yamory では SAML 2.0 によるシングル・サインオン (SSO) をサポートします。

SAML (Security Assertion Markup Language) は、Web ブラウザがセキュアトークンを介した SSO を実現するための標準規格です。SAML 認証を使うことで、Okta や OneLogin、Azure Active Directory 等の SAML に対応したID プロバイダー (IdP) とサービスプロバイダー (SP) である yamory との間で SSO 連携が可能です。
また、yamory では SP-Initiated SSOIdP-Initiated SSO をサポートします。

ID プロバイダー (IdP)

ID プロバイダーは、SSO を使用して他の Web サイトへアクセスできるようにする認証情報の提供者です。

サービスプロバイダー (SP)

認証情報を利用するアプリケーションサービスです。
ここでは yamory がサービスプロバイダーとなります。

SP-Initiated SSO

サービスプロバイダー が起点となる SSO です。
yamory の SSO ログインページからメールアドレスを入力後、ID プロバイダーのログインページにリダイレクトし、認証が行われた後、yamory にログインされます。

IdP-Initiated SSO

ID プロバイダーが起点となる SSO です。
ID プロバイダーで認証が行われた後、ID プロバイダーのアプリ・ポータルに登録したアプリ (yamory) をクリックするだけで、yamory にログインできます。

ID プロバイダーと yamory を SAML認証で連携する

SAML 認証を有効にするためには、プロプランのご契約が必要となります。

SAML の設定は yamory ADMIN(組織管理) の「設定」→「SAML 設定」より行います。

SAML 認証を有効にするためには、下記それぞれの設定が必要になります。

  1. お使いの ID プロバイダー側への設定
  2. yamory への設定

お使いの ID プロバイダーに yamory の連携情報を設定する

お使いの ID プロバイダーと yamory を SAML で連携するために、ID プロバイダーに下記の内容を設定してください。

  • サービスプロバイダー Entity ID / Audience
    サービスプロバイダーの識別子です。
    yamory の SAML 設定画面から取得した値をご指定ください。
  • シングルサインオン URL / ACS URL
    サービスプロバイダーが ID プロバイダーからの SAML 認証レスポンスを受け取るための URL です。
    ACS (Assertion Consumer Service) URL は応答 URL とも呼ばれます。
    yamory の SAML 設定画面から取得した値をご指定ください。
  • 名前 ID 形式 (NameID Format)
    EmailAddress 形式をご指定ください。
  • SAML バインディングサポート
    SAML リクエスト: HTTP-Redirect
    SAML レスポンス: HTTP-Post
  • シングルログアウト URL
    サービスプロバイダーが ID プロバイダーからの SAML ログアウトリクエストを受け取るための URL です。
    yamory の SAML 設定画面から取得した値をご指定ください。
    シングルログアウトを使わない場合は、この項目の設定は不要です。

yamory に ID プロバイダーの連携情報を設定する

ID プロバイダーから取得した情報を yamory に設定します。

  • ID プロバイダー Entity ID
    ID プロバイダー Enitty ID は、ID プロバイダーの識別子です。
    ID プロバイダーによっては発行者 (Issuer URL) や Entity ID 、あるいは(ID プロバイダー製品名)ID 等と表記されています。
    SAML アサーションの Issuer 要素で渡される値です。
  • シングルサインオン URL
    ID プロバイダーへの SAML 認証リクエストの送信先 URL を指定します。
    ID プロバイダーによってはエンドポイント URL やログイン URL 等と表記されています。
  • シングルログアウト URL
    ID プロバイダーへの SAML ログアウトレスポンスの送信先 URL を指定します。
    シングルログアウトを使わない場合は、この項目の設定は不要です。
  • 公開鍵証明書
    PEM (Base64) 形式の X.509 証明書を設定します。

SSOを設定した組織にメンバーを追加する

SSO 連携を設定した組織に新たにメンバーを追加するには、チームに対してメンバーを招待してください。
招待されたメンバーは、初回は招待メールから yamory に SSO でログインできます。2 回目以降のログインは yamory の SSO ログインページもしくは ID プロバイダーのアプリ・ポータルから行ってください。
組織に関する設定全般については脆弱性を組織で管理するをご参照ください。