適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security
SAML は サービス プロバイダ と アイデンティティ プロバイダ の間で情報を交換するのに使用される方法です。サービス プロバイダは、Salesforce や Microsoft など、ユーザーの接続先であるサードパーティ サービスのプロバイダです。AuthPoint などのアイデンティティ プロバイダは、ユーザーがサービスやアプリケーションにログインする際にユーザーを認証します。
AuthPoint では、SAML リソース はサービス プロバイダを使って AuthPoint に接続します。SAML リソースを追加して、ユーザーがサービスやアプリケーションに接続する前にユーザー認証を要求する、リソースの認証ポリシーを定義します。
SAML リソースを追加する際には、IdP ポータル リソースも追加することを推奨します。IdP ポータルは、ユーザーが使用できる SAML リソースのリストを表示するポータル ページです。詳細については、次を参照してください:IdP ポータルを構成する。
特定のアプリケーションやサービスで AuthPoint MFA を構成する手順については、AuthPoint 統合ガイド を参照してください。
SAML 認証のデータ フロー
この図は、ユーザーがプッシュ認証方式で認証した場合の SAML リソースの MFA トランザクションのデータ フローを示しています。
ユーザーが認証を必要とするアプリケーションにログインを試みると、AuthPoint の認証ページが表示されます。ログインするには、ユーザーは AuthPoint パスワード (必要な場合) を入力し、認証方法を選択します。この例では、ユーザーはプッシュ通知による認証を選択します。AuthPoint は認証およびログインすることをユーザーが許可したモバイル デバイスにプッシュ通知を送信します。
ユーザーが SAML リソースに認証する際、ユーザーには位置情報を共有するよう求めるプロンプトが表示されます。このプロンプトは、AuthPoint アカウントがジオフェンスおよびジオキネティクス ポリシー オブジェクトを使用していない場合でも表示されます。
サードパーティ アプリケーションの認証を構成する
SAML リソースを追加する前に、サードパーティのサービス プロバイダの SAML 認証を構成する必要があります。これを行うには、AuthPoint management UI の 証明書管理 ページから AuthPoint メタデータを取得する必要があります。
AuthPoint メタデータは AuthPoint を特定し、サードパーティのサービス プロバイダとアイデンティティ プロバイダ (AuthPoint) の間の信用関係を確立するのに必要な情報をリソースに提供します。
一部のサービス プロバイダは認証を構成するのにメタデータ ファイルを要求しますが、メタデータ URL しか要求しない場合もあります。どれが必要かは、サードパーティのサービス プロバイダによって異なります。
- AuthPoint ナビゲーション メニューから リソース を選択します。
- 証明書 をクリックします。
- リソースのサービス プロバイダが必要とする内容に基づいて、証明書管理 ページのリソースと関連付ける AuthPoint 証明書の横で
をクリックし、メタデータをダウンロードするオプションを選ぶか、メタデータ URL をコピーするか、証明書をダウンロードするか、指紋をコピーします。AuthPoint メタデータは、信頼できるアイデンティティ プロバイダとして AuthPoint を識別するのに必要な情報をリソースに提供します。これは SAML 認証に必要です。
- AuthPoint メタデータ ファイルをサービス プロバイダにインポートし、サービス プロバイダから Service Provider エンティティ ID および アサーション コンシューマー サービス を取得します。これらの値は AuthPoint で SAML リソースを構成するのに必要です。特定の SAML リソースを構成する手順については、AuthPoint 統合ガイド を参照してください。
AuthPoint で SAML リソースを追加する
AuthPoint management UI で SAML リソースを追加するには、以下の手順を実行します。
- AuthPoint ナビゲーション メニューから リソース を選択します。
- リソースを追加する をクリックします。
リソースを追加する ページが開きます。
- 種類 ドロップダウン リストから、SAML を選択します。
- 名前 テキスト ボックスにリソースの名前を入力します。
- アプリケーション タイプ ドロップダウン リストから関連するアプリケーションを選択するか、アプリケーションがリストにない場合は その他 を選択します。「その他」の種類のアプリケーションでは、IdP ポータルでこのアプリケーションのリレー状態、カスタム属性、カスタム画像が表示されるよう指定することができます。
統合ガイド リンクをクリックし、アプリケーションを設定するための手順を説明したヘルプ トピックを開くことができます。このリンクは特定の状況に依存します。
- (任意) 「その他」の種類のアプリケーションを選択した場合は、この SAML リソースの リレー状態 パラメータを指定することができます。
- Service Provider エンティティ ID および アサーション コンシューマー サービス テキストボックスに、アプリケーションのサービス プロバイダからの値を入力します。
- ユーザー ID ドロップダウン リストから、どのユーザー ID 属性をサービス プロバイダに送信するかを選択します。サービス プロバイダは AuthPoint ユーザーのユーザー ID 属性をアプリケーションのユーザー名と比較します。これらの値は必ず一致する必要があります。
たとえば、Salesforce では、ドメイン名を含む電子メール形式のユーザー名が必要です。AuthPoint のユーザー名にはドメインが含まれないため、ユーザー ID は Salesforce のユーザー名と一致するように電子メール アドレスでなければなりません。
- (任意) サービス プロバイダから証明書をアップロードするには ファイルの選択 をクリックします。証明書をアップロードすると 暗号化が有効 トグルを選択し、SAML 通信の暗号化を有効または無効にすることができます。
- AuthPoint 証明書 ドロップダウン リストからリソースと関連付ける AuthPoint 証明書を選択します。これは、サードパーティ アプリケーションの認証を構成する セクションでメタデータをダウンロードした同じ証明書でなければなりません。
- 該当する場合は、アプリケーションに必要な必須の追加のフィールドに記入します。
- (任意) 「その他」の種類のアプリケーションを選択した場合は、この SAML リソースに 1 つ以上のカスタム属性を指定することができます。これは一部のアプリケーションで必要です。カスタム属性を追加するには、以下の手順を実行します。
- 属性を追加する をクリックします。
属性を追加する ウィンドウが開きます。 - 属性名 を入力します。この値では大文字と小文字が区別されます。
- 以下から価値を得る ドロップダウン リストで、このカスタム属性に使用する値を選択します。静的な値の場合は 固定値 を選択して使用する固定値を指定します。
- 保存 をクリックします。
- 属性を追加する をクリックします。
- (任意) 「その他」の種類のアプリケーションを選択した場合は、IdP ポータルでこのアプリケーションについて表示させるカスタム画像をアップロードすることができます。画像をアップロードするには、コンピュータからインポートするファイルの選択か、画像ファイルを選択します。アップロードする画像ファイルは、以下の要件を満たしている必要があります。
- ファイルの最大サイズ — 1 MB
- 最大幅 — 750 ピクセル
- 最大高さ — 500 ピクセル
- 最小幅 — 200 ピクセル
- 最小高さ — 150 ピクセル
- 保存 をクリックします。
- SAML リソースを既存の認証ポリシーに追加するか、SAML リソース用の新しい認証ポリシーを追加します。認証ポリシーは、ユーザーが認証後にアクセスできるリソースと、ユーザーが使用できる認証方法を指定します。詳細については、次を参照してください:AuthPoint 認証ポリシーについて。