Skip to main content

SAMLシングル サインオンを設定する

How to configure you security assertion markup language (SAML) single sign-on in CertCentral.

開始する前に

前提条件を満たしていることを確認してください。

  • アカウントでSAMLが有効化されている。

  • IdPメタデータ(動的または静的)がある。

  • CertCentralユーザーをSAMLユーザーに一致させるために必要なものがある(Name IDフィールドまたは属性)。

SAMLシングル サインオンの前提条件」と「SAMLサービスのワークフロー」を参照してください。

SAMLシングル サインオンを設定する

  1. [フェデレーション設定]ページに移動します

    1. サイドバーメニューで、[設定]>[シングル サインオン]の順にクリックします。

    2. [シングル サインオン](SS)ページで、[フェデレーション設定を編集する]をクリックします。

  2. アイデンティティプロバイダーのメタデータをセットアップします。

    [フェデレーション設定]ページの[IDPのメタデータ]セクションで、以下のタスクを完了します。

    1. IdPメタデータを追加する

      [IDPからどのようにデータを送信しますか?]で、以下のオプションのいずれかを使用してメタデータを追加します。

      1. XMLメタデータ

        XML形式でデジサートにIdPメタデータを提供します。

        IdPメタデータが変更される場合は、アカウントでIdPメタデータを手動で更新する必要があります。

      2. 動的URLを使用する

        デジサートにIdPメタデータへのリンクを提供します。

        IdPメタデータが変更される場合、IdPメタデータはアカウントで自動的に更新されます。

    2. ユーザーを識別する

      SAMLシングル サインオンが正常に行われるには、SSOアサーションをCertCentralのSSOユーザーのユーザー名と一致させる方法を決定する必要があります。

      [どのようにユーザーを識別しますか?]で以下のオプションのいずれかを使用して、SSOユーザーをCertCentralのユーザー名と一致させます。

      1. NameID

        [NameID]フィールドを使用して、CertCentralユーザーをそのSAMLシングル サインオン(SSO)ユーザーに一致させます。

      2. SAML属性を使用する

        属性を使用して、CertCentralユーザーをそのSAMLシングル サインオン(SSO)ユーザーに一致させます。

        この属性は、IdPがデジサートに送信するアサーションに表示される必要があります。

        <AttributeStatement> <AttributeName="email"> <AttributeValue>user@example.com </AttributeValue> </Attribute> </AttributeStatement>

    3. フェデレーション名を追加する

      [フェデレーション名]に、作成されるカスタムSSO URLに包めるフェデレーション名(フレンドリ名)を入力します。このSSO URLは、SSO限定ユーザーに送信します。

      [フェデレーション名]に、作成されるカスタムSSO URLに包めるフェデレーション名(フレンドリ名)を入力します。このSSO URLは、SSO限定ユーザーに送信します。

      重要

      フェデレーション名は一意である必要があります。デジサートは、お客様の会社名の使用をお勧めします。

    4. フェデレーション名を含める

      SSOユーザーがSP開始のカスタムSSO URLに簡単にアクセスできる[IDP選択]ページにフェデレーション名を追加します。

      [IdP選択]ページのIdPリストにフェデレーション名が表示されないようにするには、[フェデレーション名をIdPリストに追加する]をオフにします。

  3. Configure single logout

    Select Use single logout service to logout from IDP to log out from your IDP as you log out of CertCentral.

    With this enabled, CertCentral sends a message to your IDP telling it to terminate the session on the IDP as you log out of CertCentral.

  4. デジサートのサービスプロバイダー(SP)メタデータを追加します

    [シングル サインオン(SSO)]ページの[デジサートのSPメタデータ]セクションで以下のタスクのいずれかを完了して、デジサートのSPメタデータをIdPのメタデータに追加します。

    • デジサートのSPメタデータ向けの動的URL

      デジサートのSPメタデータへの動的URLをコピーしてそれをIdPに追加し、SSO接続を確立できるようにします。

      デジサートのSPメタデータが変更されることがあれば、そのSPメタデータはIdPで自動的に更新されます。

    • 静的XML

      デジサートのXML形式のSPメタデータをコピーしてそれをIdPに追加し、SSO接続を確立できるようにします。

      デジサートのSPメタデータが変更されることがあれば、IdPでSPメタデータを手動で更新する必要があります。

  5. Once ready, select Save SAML settings.

  6. ユーザーのSSO設定を行います

    ユーザーをアカウントに追加するときは、ユーザーをシングル サインオン認証のみに制限することができます(SSO限定ユーザー)。これらのユーザーにはAPIアクセス権がありません(機能するAPIキーを作成できないなど)。

    API keys for SSO-only users

    To allow SSO-only users to create API keys and build API Integrations, select Enable API access for SSO-only users.

    • The Enable API access for SSO-only users option allows SSO-only users with API keys to bypass single sign-on.

    • Disabling API access for SSO-only users doesn't revoke existing API keys. It only blocks the creation of new API keys.

  7. サインインして、SAML SSOからCertCentralへの接続を確定します

    [シングル サインオン]ページの[SP開始のカスタムSSO URL]セクションでURLをコピーして、それをブラウザに貼り付けます。次に、IdP認証情報を使用してCertCentralアカウントにサインインします。

次のステップ

アカウントでのシングル サインオンユーザーの管理を開始します(SAML SSO限定ユーザーをアカウントに追加する、既存のアカウントユーザーをSAML SSO限定ユーザーに変換するなど)。「SAMLシングル サインオン(SSO)ユーザーの管理」および「「SAML設定へのアクセスを許可する」許可」を参照してください。

このセクションの内容: