Skip to main content

SAMLシングル サインオンを設定する

開始する前に

前提条件を満たしていることを確認してください。

  • アカウントでSAMLが有効化されている。

  • IdPメタデータ(動的または静的)がある。

  • CertCentralユーザーをSAMLユーザーに一致させるために必要なものがある(Name IDフィールドまたは属性)。

SAMLシングル サインオンの前提条件」と「SAMLサービスのワークフロー」を参照してください。

SAMLシングル サインオンを設定する

  1. [フェデレーション設定]ページに移動します

    1. サイドバーメニューで、[設定]>[シングル サインオン]の順にクリックします。

    2. [シングル サインオン](SS)ページで、[フェデレーション設定を編集する]をクリックします。

  2. アイデンティティプロバイダーのメタデータをセットアップします。

    [フェデレーション設定]ページの[IDPのメタデータ]セクションで、以下のタスクを完了します。

    1. IdPメタデータを追加する

      [IDPからどのようにデータを送信しますか?]で、以下のオプションのいずれかを使用してメタデータを追加します。

      1. XMLメタデータ

        XML形式でデジサートにIdPメタデータを提供します。

        IdPメタデータが変更される場合は、アカウントでIdPメタデータを手動で更新する必要があります。

      2. 動的URLを使用する

        デジサートにIdPメタデータへのリンクを提供します。

        IdPメタデータが変更される場合、IdPメタデータはアカウントで自動的に更新されます。

    2. ユーザーを識別する

      SAMLシングル サインオンが正常に行われるには、SSOアサーションをCertCentralのSSOユーザーのユーザー名と一致させる方法を決定する必要があります。

      [どのようにユーザーを識別しますか?]で以下のオプションのいずれかを使用して、SSOユーザーをCertCentralのユーザー名と一致させます。

      1. NameID

        [NameID]フィールドを使用して、CertCentralユーザーをそのSAMLシングル サインオン(SSO)ユーザーに一致させます。

      2. SAML属性を使用する

        属性を使用して、CertCentralユーザーをそのSAMLシングル サインオン(SSO)ユーザーに一致させます。

        ボックスに使用する属性を入力します(Eメールなど)。

        この属性は、IdPがデジサートに送信するアサーションに表示される必要があります。

        <AttributeStatement> <Attribute Name="email" > <AttributeValue> user@example.com </AttributeValue> </Attribute> </AttributeStatement>

    3. フェデレーション名を追加する

      [フェデレーション名]に、作成されるカスタムSSO URLに包めるフェデレーション名(フレンドリ名)を入力します。このSSO URLは、SSO限定ユーザーに送信します。

      注記

      フェデレーション名は一意である必要があります。デジサートは、お客様の会社名の使用をお勧めします。

    4. フェデレーション名を含める

      デジサートはデフォルトで、

      SSOユーザーがSP開始のカスタムSSO URLに簡単にアクセスできる[IDP選択]ページにフェデレーション名を追加します。

      [IdP選択]ページのIdPリストにフェデレーション名が表示されないようにするには、[フェデレーション名をIdPリストに追加する]をオフにします。

    5. 保存する

      終了したら、[保存して終了]をクリックします。

  3. デジサートのサービスプロバイダー(SP)メタデータを追加します

    [シングル サインオン(SSO)]ページの[デジサートのSPメタデータ]セクションで以下のタスクのいずれかを完了して、デジサートのSPメタデータをIdPのメタデータに追加します。

    • デジサートのSPメタデータ向けの動的URL

      デジサートのSPメタデータへの動的URLをコピーしてそれをIdPに追加し、SSO接続を確立できるようにします。

      デジサートのSPメタデータが変更されることがあれば、そのSPメタデータはIdPで自動的に更新されます。

    • 静的XML

      デジサートのXML形式のSPメタデータをコピーしてそれをIdPに追加し、SSO接続を確立できるようにします。

      デジサートのSPメタデータが変更されることがあれば、IdPでSPメタデータを手動で更新する必要があります。

  4. ユーザーのSSO設定を行います

    ユーザーをアカウントに追加するときは、ユーザーをシングル サインオン認証のみに制限することができます(SSO限定ユーザー)。これらのユーザーにはAPIアクセス権がありません(機能するAPIキーを作成できないなど)。

    SSO限定ユーザーがAPIキーを作成してAPI統合を構築できるようにするには、[SSO限定ユーザーに対するAPIアクセスを有効にする]にチェックを入れます。

    注記

    [SSO限定ユーザーに対するAPIアクセスを有効にする]オプションは、APIキーを持つSSO限定ユーザーがシングル サインオンを回避できるようにします。SSO限定ユーザーのAPIアクセス権を無効にしても、既存のAPIキーは取り消されません。新しいAPIキーの作成がブロックされるだけです。

  5. サインインして、SAML SSOからCertCentralへの接続を確定します

    [シングル サインオン]ページの[SP開始のカスタムSSO URL]セクションでURLをコピーして、それをブラウザに貼り付けます。次に、IdP認証情報を使用してCertCentralアカウントにサインインします。

    注記

    [SSO限定ユーザーに対するAPIアクセスを有効にする]オプションは、APIキーを持つSSO限定ユーザーがシングル サインオンを回避できるようにします。SSO限定ユーザーのAPIアクセス権を無効にしても、既存のAPIキーは取り消されません。新しいAPIキーの作成がブロックされるだけです。

次のステップ

アカウントでのシングル サインオンユーザーの管理を開始します(SAML SSO限定ユーザーをアカウントに追加する、既存のアカウントユーザーをSAML SSO限定ユーザーに変換するなど)。「SAMLシングル サインオン(SSO)ユーザーの管理」および「「SAML設定へのアクセスを許可する」許可」を参照してください。