SAML シングルサインオン
Shisho Cloud では SAML を利用したシングルサインオン機能を提供しています。
設定画面より IdP を登録することで、組織内のユーザアカウントを使用してサービスを利用できます。
Okta を利用する
管理画面より SAML 2.0 のアプリケーションを作成しましょう。
作成時に入力が必須な項目があります。それらの項目は仮の値を入力し後ほど変更しましょう。
作成したアプリケーションの Sign On タブより Metadata URL を確認してください。
Shisho Cloud の設定画面よりシングルサインオンの設定をしましょう。確認した Metadata URL とログインに使用する E メールドメインを入力してください。
追加ボタンを押下し正常に完了すると、保留状態のシングルサインオン設定が一覧に表示されます。
続いて Okta で作成したアプリケーションの設定を変更します。
Single sign-on URL にはコールバック URL を設定してください。Audience URI には以下の値を設定してください。
https://id.cloud.shisho.dev/realms/cloud
続いて Attribute Statements を設定します。以下の画像を参考にしてください。
Shisho Cloud では以下の値を使用するため、適切にマッピングされるように設定してください。
- lastName
- firstName
ここまで完了しましたら以下の情報を Shisho Cloud 側に共有してください。
- ログインに使用する E メールドメイン
- ID/パスワードでのログインを併用するユーザ
IdP の障害時など、シングルサインオンを使用できない場合でも ID/パスワード でログインできるユーザを指定してください。
それ以外のユーザの ID/パスワード でのログインは無効化されます。
設定が有効化されると、指定した E メールドメインでのログイン時に IdP の認証画面にリダイレクトされます。
Google Workspace を利用する
管理画面よりカスタム SAML アプリの追加をしましょう。
Idp メタデータをダウンロードし、インターネットからアクセスできる場所で一時的にホストしてください。
Shisho Cloud の設定画面よりシングルサインオンの設定をしましょう。ホストしている URL とログインに使用する E メールドメインを入力してください。
追加ボタンを押下し正常に完了すると、保留状態のシングルサインオン設定が一覧に表示されます。
再度 Google Workspace に戻ります。ACS の URL にはコールバック URL を設定してください。
エンティティ ID には以下の値を設定してください。
https://id.cloud.shisho.dev/realms/cloud
画像を参考に属性を設定し、完了ボタンを押下してください。
Shisho Cloud では以下の値を使用するため、適切にマッピングされるように設定してください。
- lastName
- firstName
ここまで完了しましたら以下の情報を Shisho Cloud 側に共有してください。
- ログインに使用する E メールドメイン
- ID/パスワードでのログインを併用するユーザ
IdP の障害時など、シングルサインオンを使用できない場合でも ID/パスワード でログインできるユーザを指定してください。
それ以外のユーザの ID/パスワード でのログインは無効化されます。
設定が有効��化されると、指定した E メールドメインでのログイン時に IdP の認証画面にリダイレクトされます。
他の IdP を利用する
他の IdP を利用する場合も、基本的には以下を行うことで Shisho Cloud と連携できます。
- Metadata URL および コールバック URL の登録
- エンティティ ID の設定
- SAML 属性のマッピング
現時点で他の IdP との連携を正式には確認しておりません。