一般的な IdP の手順


重要

Enterprise Manager は廃止されました。Security Cloud Control を使用して ID プロバイダーの統合を管理できるようになりました。詳細については、ID プロバイダー統合ガイドを参照してください。

既存の ID プロバイダー統合データはすべて、Security Cloud Control を介して使用できます。

一般的な IdP の手順

特定の ID プロバイダー用の SAML アプリケーションを作成する手順がここに記載されていない場合は、IdP が提供する手順に従ってください。SAML 応答は、適切な <NameID> 値と属性名のマッピングで構成する必要があります。また、Security Cloud Sign On に SAML アプリのシングルサインオン URL とエンティティ ID を提供する必要があります。

SAML 応答の要件

SHA-256 で署名された SAML 応答

ID プロバイダーによる SAML 応答は、SHA-256 署名アルゴリズムで署名する必要があります。Security Cloud Sign On は、署名されていないアサーションまたは別のアルゴリズムで署名された応答を拒否します。

SAML 応答の属性

IdP によって送信される SAML 応答のアサーションには、次の属性名が含まれている必要があり、IdP の対応する属性にマッピングされている必要があります。

SAML アサーション属性名

IdP ユーザー属性

firstName

ユーザーの名。

lastName

ユーザーの姓。

email

ユーザーの電子メール。これは、SAML 応答の <NameID> 要素と一致する必要があります。

たとえば、次の XML スニペットは、Security Cloud Sign On ACL URL への SAML 応答に含まれる <AttributeStatement> 要素の例です。

<saml2:AttributeStatement>
  <saml2:Attribute Name="firstName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
      <saml2:AttributeValue
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">John
      </saml2:AttributeValue>
  </saml2:Attribute>
  <saml2:Attribute Name="lastName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
      <saml2:AttributeValue
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Doe
      </saml2:AttributeValue>
  </saml2:Attribute>
  <saml2:Attribute Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
      <saml2:AttributeValue
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">jdoe@example.com
      </saml2:AttributeValue>
  </saml2:Attribute>
</saml2:AttributeStatement>

NameID 要素

IdP からの SAML 応答の <NameID> 要素には、その値として有効な電子メールアドレスが含まれている必要があり、電子メールは SAML 応答の属性email 属性の値と一致する必要があります。

<NameID>Format 属性は、urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified または urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress に設定されている必要があります。

<NameID> 要素の例を次に示します。 

<saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">jdoe@example.com</saml2:NameID>

SAML メタデータの要件

Security Cloud Sign On と統合するには、IdP の SAML アプリケーションの次のメタデータが必要です。

  • シングルサインオンサービスの初期 URL – これは「SSO URL」または「ログイン URL」と呼ばれることもあります。この URL を使用して、IdP から Security Cloud Sign On への認証を開始できます。

  • エンティティ ID URI – IdP のグローバルな一意の名前。これは「発行元」と呼ばれることもあります。

  • X.509 署名証明書 – IdP が SAML アサーションに署名するために使用する公開キー/秘密キーのペアの公開キー。