前回の続きです。
ExticにおけるSSO
Exticでは汎用のSSOプロトコルとしてSAMLとOIDCに対応しています。
この他、専用ブラウザ拡張を使用した代理認証方式のSSOにも対応しています。
今回の記事では、SAMLを使ったSSOについて検証します。
SP起点のSSO
設定
SAMLのSPには以下のサイトを使用します。
https://sptest.iamshowcase.com/instructions#spinit
まずは「DOWNLOAD METADATA」ボタンを押下してメタデータを入手します。
管理コンソール > アプリケーション > 使用可能から「シングルサインオン (SAML)」を選択します。
表示名とメタデータから入手したエンティティID、エンドポイントURLを設定します。
NameIDフォーマットにUnspecified EmailAddress Persistentを、SAML NameIDにExticの各属性を指定できますが、今回はUnspecified - ユーザー名を使用します。
署名はレスポンス全体を指定し、SP起点のフローとします。
また、ExticのメールアドレスをSAMLアサーションのemail属性としてマッピングします。
設定後、SAML IdPメタデータをダウンロードします。
ダウンロードしたメタデータをアップロードします。
URLが生成されるので、メモします。
最後に、設定したSSOを利用するユーザーの設定にて、アプリケーションを「使用する」設定にします。
確認
以下のようなユーザーでExticにログインしている状態で、先ほど生成されたURLにアクセスします。
すると、SAMLによるSSOが実行され、Exticの認証情報でログインしている状態になりました。
マッピングした属性値も確認できます。
Exticログアウト状態でアクセスすると、Exticのログイン画面が表示されます。
ログインすると、先ほどと同じようにテストページが現れます。
IdP起点のSSO
SAMLにはユーザーがSPにアクセスし、IdPによる認証を受けることでSSOが実現されるSP起点のSSOの他、既に認証済みのIdPからSPにアクセスすることでSSOを行うIdP起点のSSOがあります。
次はこのIdP起点のSSOについて検証します。
SPには以下を使用します。
https://sptest.iamshowcase.com/instructions#start
先ほどと同じように、メタデータをダウンロードして「シングルサインオン (SAML)」の設定を行います。
認証フローは「IdP起点」にします。
今回はポータルからSPにアクセスするので、表示名とカスタムロゴも設定しています。
「アカウント有効」属性の値をAccountEnabledFlagに格納することとします。
ユーザーの編集画面で設定したアプリケーションを「使用する」設定にします。
確認
Exticにログインします。
ポータル画面に表示されているアプリケーションの表示名、カスタムロゴが設定どおりになっています。
これを押下します。
SSOすることができました。
属性AccountEnabledFlagが設定されていることもわかります。
ExticでのSAMLを使ったSSOはこのように実現されます。
次回はOIDCを使ったSSOを検証します。