Posted at

OpenAM と cybozu.com の SAML 認証を確認してみる

More than 1 year has passed since last update.


0.はじめに

以前、Amazon Linux に OpenAM をインストールしたので、それを使って cybozu.com の SAML 認証を確認してみます。


1.cybozu.com に SP の設定をする


  1. 以下のサイトの手順に従って、cybozu.com の試用サイトを用意します。

     



  2. 試用サイトへ、アクセスしログインします。

     



    • 1001.png

       



  3. 「cybozu.com 共通管理」ボタンを押下します。

     



    • 1002.png

       



  4. 左側ペインの「ログイン」リンクをクリックします。

     



    • 1003.png

       



  5. 一番下にある「SAML認証」の項目を設定し、「保存」ボタンを押下します。


    • SAML 認証を有効にする : ☑︎

    • Identity ProviderのSSOエンドポイントURL(HTTP-Redirect) :


      • https://[FQDN]:443/openam/SSORedirect/metaAlias/idp



    • cybozu.comからのログアウト後に遷移するURL :


      • https://[FQDN]:443/openam/UI/Logout?goto=https://[FQDN]:443/openam/



    • Identity Providerが署名に使用する公開鍵の証明書 :


      • 作成した証明書(mykeystore.cer)をアップロードします。



    • Service Providerメタデータのダウンロード


      • OpenAM の SP の設定に必要なので、リンクをクリックしファイルをダウンロードしておきます。

         



    • 4c57861c-80d0-49a9-8a10-33770e616f3d.png




2.cybozu.com に連携ユーザーを追加する


  1. ログイン後、左側ペインの「組織/ユーザー」リンクをクリックすると、「組織とユーザーの設定」画面が表示されるので、「ユーザーの追加」ボタンを押下します。

     



    • 1005.png

       



  2. 「ユーザーの追加」画面が表示されるので、以下の項目を設定し、「保存」ボタンを押下します。


    • 名前 - 表示名 : 適当な値を入力します。

    • ログイン名 : メールアドレス


      • これが連携キーになるので、一意となるものでなければなりません。

         




    • 1006.png

       



  3. 「パスワードの設定」ダイアログが表示されるので、パスワードを設定し、「設定」ボタンを押下します。

     


    • 1007.png




3.OpenAM に連携ユーザーを追加する


  1. https://〜/openam/ にアクセスし、ログインします。

     



    • 2001.png

       



  2. 「Realms」の一覧画面が表示されるので、「Top Level Realm」をクリックします。

      



    • 2001.png

       



  3. 「Top Level Realm」の詳細画面が表示されるので、左側ペインの「Subjects」リンクをクリックします。

      



    • 96fe8232-bda7-e115-a92b-5a88a01dee93.png

       



  4. 「ユーザー」の一覧画面が表示されるので、「新規」ボタンを押下します。

      



    • 3002.png

       



  5. 「新しいユーザー」の登録画面が表示されるので、以下の項目を設定し、「了解」ボタンを押下します。


    • ID : メールアドレス


      • 連携キーとなるので、サイボウズと合わせること。



    • 名 : ※任意

    • 姓 : ※任意

    • フルネーム : ※任意

    • パスワード : ※任意

    • パスワード (確認) : ※上記と同じ

    • ユーザー状態 : アクティブ ※デフォルト

        

    • 3003.png




4.OpenAM に IdP を登録する


  1. https://〜/openam/ にアクセスし、ログインします。

     



    • 2001.png

       



  2. 「Realms」の一覧画面が表示されるので、「Top Level Realm」をクリックします。

      



    • 2001.png

       



  3. 「Top Level Realm」の詳細画面が表示されるので、「Create SAMLv2 Providers」ボタンを押下します。

      



    • 00c632fc-88c5-6efb-f9b3-ef4eb96989ce.png

       



  4. 「Create SAMLv2 Providers」の詳細画面が表示されるので、「Create Hosted Identity Providers」ボタンを押下します。

      



    • 92f25994-dceb-2ad0-1495-19e3ac4a1dc5.png

       



  5. 「Create Hosted Identity Providers」の詳細画面が表示されるので、以下の項目を設定し、「設定」ボタンを押下します。


    • このプロバイダーのメタデータがありますか : いいえ

    • 名前 : https://[FQDN]:443/openam/

    • 署名鍵 :


      • 作成した証明書(openam-idp)を選択します。



    • 新しいトラストサークル : ※任意

        


    • b214eaba-98e5-8708-2b2f-5a70e684af7e.png

       



  6. 設定終了後、FEDERATION (連携) の画面に遷移し、登録した IdP のリンクをクリックします。

      



    • 5003.png

       



  7. 登録した IdP の詳細画面において、以下の項目を変更し、「保存」ボタンを押下します。


    • 署名と暗号化


      • 証明書エイリアス


        • キーパスワード : 証明書のキーパスワード





    • NameID の書式


      • NameID の値マップ



        • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified= を削除し、


        • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=uid を追加

            





    • 5004.png




5.OpenAM に SP を登録する


  1. https://〜/openam/ にアクセスし、ログインします。

     



    • 2001.png

       



  2. 「Realms」の一覧画面が表示されるので、「Top Level Realm」をクリックします。

      



    • 2001.png

       



  3. 「Top Level Realm」の詳細画面が表示されるので、「Create SAMLv2 Providers」ボタンを押下します。

      



    • 00c632fc-88c5-6efb-f9b3-ef4eb96989ce.png

       



  4. 「Create SAMLv2 Providers」の詳細画面が表示されるので、「Register Remote Service Providers」ボタンを押下します。

      



    • 5001.png

       



  5. 「Register Remote Service Providers」の詳細画面が表示されるので、以下の項目を設定し、「設定」ボタンを押下します。


    • メタデータファイルはどこに存在しますか : ○ URL ● ファイル


      • cybozu.com からダウンロードしたメタデータファイル(spmetadata.xml)をアップロード



    • トラストサークル :


      • ● 既存のトラストサークルに追加します ○ 新しいトラストサークルに追加します

      • 既存のトラストサークル : ※ IdP 登録時に作成したものを設定

          



    • 5002.png




99.ハマりポイント


  • IdP の登録後の設定の変更がわからなかったですね。SalesForce の設定を見ると、似たような設定をしていたので、やってみたらうまく認証が走りました。

     

  • あと、キーパスワードを変更しなきゃいけない点もよくわかりませんでした。Debug のログをみたら、エラーメッセージが出力されてて、ビンゴって感じでした。


XX.まとめ

とりあえず、cybozu.com との SAML 認証は確認できたので、次は Debug のログを見つつ、SAML の認証におけるリクエストのやりとりなどを確認をしていこうかなと。