メインコンテンツまでスキップ

SAML シングルサインオン

info

本チュートリアルで扱う機能は、SAML シングルサインオンを利用可能なご契約いただいた組織でのみご利用いただけます。

Shisho Cloud では SAML を利用したシングルサインオン機能を提供しています。

設定画面より IdP を登録することで、組織内のユーザアカウントを使用してサービスを利用できます。

Okta を利用する

管理画面より SAML 2.0 のアプリケーションを作成しましょう。

note

作成時に入力が必須な項目があります。それらの項目は仮の値を入力し後ほど変更しましょう。

作成したアプリケーションの Sign On タブより Metadata URL を確認してください。

Shisho Cloud の設定画面よりシングルサインオンの設定をしましょう。確認した Metadata URL とログインに使用する E メールドメインを入力してください。

追加ボタンを押下し正常に完了すると、保留状態のシングルサインオン設定が一覧に表示されます。

続いて Okta で作成したアプリケーションの設定を変更します。

Single sign-on URL にはコールバック URL を設定してください。Audience URI には以下の値を設定してください。

https://id.cloud.shisho.dev/realms/cloud

続いて Attribute Statements を設定します。以下の画像を参考にしてください。

警告

Shisho Cloud では以下の値を使用するため、適切にマッピングされるように設定してください。

  • email
  • lastName
  • firstName

ここまで完了しましたら以下の情報を Shisho Cloud 側に共有してください。

  • ログインに使用する E メールドメイン
  • ID/パスワードでのログインを併用するユーザ
警告

IdP の障害時など、シングルサインオンを使用できない場合でも ID/パスワード でログインできるユーザを指定してください。

それ以外のユーザの ID/パスワード でのログインは無効化されます。

設定が有効化されると、指定した E メールドメインでのログイン時に IdP の認証画面にリダイレクトされます。

Google Workspace を利用する

管理画面よりカスタム SAML アプリの追加をしましょう。

Idp メタデータをダウンロードし、インターネットからアクセスできる場所で一時的にホストしてください。

Shisho Cloud の設定画面よりシングルサインオンの設定をしましょう。ホストしている URL とログインに使用する E メールドメインを入力してください。

追加ボタンを押下し正常に完了すると、保留状態のシングルサインオン設定が一覧に表示されます。

再度 Google Workspace に戻ります。ACS の URL にはコールバック URL を設定してください。

エンティティ ID には以下の値を設定してください。

https://id.cloud.shisho.dev/realms/cloud

画像を参考に属性を設定し、完了ボタンを押下してください。

警告

Shisho Cloud では以下の値を使用するため、適切にマッピングされるように設定してください。

  • email
  • lastName
  • firstName

ここまで完了しましたら以下の情報を Shisho Cloud 側に共有してください。

  • ログインに使用する E メールドメイン
  • ID/パスワードでのログインを併用するユーザ
警告

IdP の障害時など、シングルサインオンを使用できない場合でも ID/パスワード でログインできるユーザを指定してください。

それ以外のユーザの ID/パスワード でのログインは無効化されます。

設定が有効化されると、指定した E メールドメインでのログイン時に IdP の認証画面にリダイレクトされます。

他の IdP を利用する

他の IdP を利用する場合も、基本的には以下を行うことで Shisho Cloud と連携できます。

  • Metadata URL および コールバック URL の登録
  • エンティティ ID の設定
  • SAML 属性のマッピング
警告

現時点で他の IdP との連携を正式には確認しておりません。