Skip to main content

システムレベルでのシングルサインオン(SSO)の設定 On-premises customers only

シングルサインオン(SSO)は、ひとつの資格情報を使用して複数のアプリケーションにアクセスできる認証サービスです。システム管理者は、このサービスをSAML 2.0でサポートされるプロバイダで使用するようにContrastを設定できます。

 

注記

  • 詳細については、SAML 2.0 仕様を参照してください。

  • SSOを使用していない場合は、多要素認証を必須の設定にしてシステムを保護してください。

  • ContrastでSSOを設定し、多要素認証も使用する場合は、ContrastではなくIDプロバイダ(IdP)を使用して設定してください。ContrastでSSOを設定すると、ユーザを認証する責任はIdPに渡されます。

認証は、IDプロバイダ(IDP)を介して行われます。独自の汎用IDPを使用することもできますし、Okta、 OneLogin、 Ping Identity、 ADFSなどの一般的なサードパーティのプロバイダを使用することもできます。

IDPのメタデータ情報を準備したら、XMLファイルまたはメタデータのURLでContrastに接続するためのメタデータを指定します。

オンプレミス版のお客様の場合、スーパー管理者(SuperAdmin)がシステムレベルでSSOを設定します。SaaS版をご利用のお客様は、組織レベルでSSOを設定できます。マルチテナントホストのインスタンスでは、1つのContrastインスタンスに複数のIDPを設定できます。

注記

ユーザがメールアドレスではなくユーザIDで識別されている場合、それらのアカウントは自動的にSSO設定に移行されず、再作成する必要があります。

開始する前に

SSOを使用する場合は、ユーザの電子メールを渡すようNameIDを設定する必要があります。

オプションとして、ユーザの名前と名字を設定する場合には、次のようにSAMLアサーションを使用して追加の属性を渡すようにIdPを設定する必要があります。

  • 名前:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

  • 名字:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

これらのフィールドが存在しないか空白の場合、デフォルトではNameIDフィールドが使用されます。また、ユーザプロビジョニングが有効になっている場合は、ユーザの名字と名前が自動的に入力されます。

1<saml2:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
2                             NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"
3                             >
4                <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
5                                      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
6                                      xsi:type="xs:string"
7                                      >Dan</saml2:AttributeValue>
8            </saml2:Attribute>

手順

  1. Contrastでは、SAML認証用のキーは提供されません。秘密キーを指定せずにSSOを有効にした場合、IDPでによるログインのみを実行できます。Javaキーツールを使用して、独自の自己署名キーを生成する必要があります。

    keytool -genkeypair -alias some-alias -keypass changeit -keyalg RSA -keystore samlKeystore.jks

  2. 暗号化プロパティエディタを使用してsaml.propertiesを変更し、前の手順で作成したキーストアに対する値を更新します。

     authenticator.saml.keystore.path                  : /path/to/samlKeystore.jks
 authenticator.saml.keystore.default.key           : some-alias
 authenticator.saml.keystore.passwordMap           : some-alias=changeit
 authenticator.saml.keystore.password              : changeit

  3. 変更を行ったら、Contrastを再起動して、新しいキーストアを認識させます。

  4. Contrastのシステムの設定で、認証を選択し、次に認証方法を変更を選択します。

  5. シングルサインオンを選択します。

  6. 指定した情報を使用して、お使いのIDPとContrastを設定します(IDPの設定では、エンティティIDメタデータURLの入力も必要です)。

    SSOIDPConfiguration.png

  7. IDプロバイダの名前を入力します。

  8. IDPメタデータを入力します。メタデータURLにアクセスできる場合、チェックボックスをオンにし、URLを入力します。

  9. ContrastにログインするためのSAMLリクエストがあった時に、新しいユーザアカウントを自動的に作成する場合は、ユーザプロビジョニングを有効にするのチェックボックスをオンにします。

    • ドロップダウンを使用して、新規ユーザのデフォルトの組織ロールデフォルトのアプリケーションアクセスグループを選択します。

    • ユーザプロビジョニングのトリガーに使用する必要のある承認されているドメインを追加します(例:yourdomain.com)。

    注記

    ユーザをグループに自動追加することもできます。

  10. 保存を選択します。エラーが発生した場合は、デバッグログを確認してトラブルシューティングを行ってください。

  11. Contrastを再起動して、変更を適用します。

接続が完了したら、SSOタブに戻って設定を確認・編集します(変更を適用するには、再テストしてContrastを再起動してください)。組織の設定をデフォルトに戻すには、Contrast管理認証に戻すを選択して、変更を確定します。

インストール時にSuperAdminを無効にした場合は、パブリックノード用とシークレットノード用の2つのメタデータが提供されます。両方の設定をContrastインターフェイスで行う必要があります。

関連項目

outline_open_in_new_black_24dp.pngSAMLインテグレーションのトラブル解決方法

outline_open_in_new_black_24dp.pngOktaを使用してユーザとグループのプロビジョニングを設定する

outline_open_in_new_black_24dp.pngグループにユーザを自動的に追加するようにADFSを構成する

このセクションの内容: