SAML認証

SAML認証によるシングルサインオン

CATはSAML 2.0認証によるシングルサインオンに対応しています。

CAT(Service Provider)とIdP(Identity Provider)との連携設定を行うと、IdPで管理されているアカウント・認証方法で、CATにログインできるようになります。主な機能は次の通りです。

ログイン

未ログイン状態のユーザーがCATにアクセスすると、設定されたIdPのログインページに遷移します。IdPでの認証が完了すると、CATのトップページに遷移します。

CATのパスワード認証は無効化されます。各ユーザーはSAML認証でのみCATにログインできます。ただし、管理者ユーザーは、専用のログインページ( https://<CAT URL>/nosaml )からCATのパスワード認証でログインできます。

REST APIのAPIトークンによる認証は、SAMLが有効な状態でも利用可能です。

ログアウト

CATからログアウトすると、SAML認証専用のログアウト画面にします。シングルサインアウトには未対応です。

その他

  • IdPのユーザー情報で、CATのユーザーアカウントを自動で作成・更新・削除する機能は未対応です。

SAML認証を設定する

設定の事前準備

  • IdPの構築および、CATとIdPでユーザー登録を登録してください。

  • IdPメタデータファイルを用意します。取得方法は後述の[IdPメタデータの取得方法]を参照してください。

CAT側の連携設定手順

  1. 管理者権限を持つユーザーでCATにログインします。

  2. 右上の歯車メニューから[システム設定]を選択します。

  3. [認証方式一覧]を選択します。

  4. 右上の[SAML認証設定]ボタンをクリックします。
    image

  5. [SAML認証を有効する]にチェックを入れます。

  6. [SPメタデータファイル]の[ダウンロード]ボタンをクリックし、CATのSPメタデータファイルをダウンロードしておきます。
    image

  7. [IdPメタデータ]の[ファイルを選択]をクリックし、事前に準備しておいたIdPメタデータファイルを選択します。

  8. [更新]をクリックします。CAT側の連携設定は以上で完了です。

IdP側の連携設定手順(Active Directory Federaton Service/AD FS)

IdPメタデータの取得方法

ブラウザで https:/<AD FSのURL>/FederationMetadata/2007-06/FederationMetadata.xml にアクセスし、ファイルをダウンロードします。

連携設定手順

以下はWindows Server 2016 AD FSでの設定手順です。

  1. Windowsメニューから[AD FSの管理]を起動します。
    image

  2. [AD FSの管理]の左メニューから、[証明書利用者信頼]を選択します。
    image

  3. 右の[操作]メニューから[証明書利用者信頼の追加]を選択します。
    image

  4. [証明書利用者信頼の追加ウィザード]が開きます。[要求に対応する]にチェックが入っていることを確認し、[開始]ボタンをクリックします。
    image

  5. [証明書利用者についてのデータをファイルからインポートする]を選択します。CATからダウンロードしたSPメタデータファイルを、[フェデレーション メタデータ ファイルの場所]に指定します。[次へ]ボタンを押します。
    image

  6. [表示名]に任意の名前を入力します。[次へ]ボタンをクリックします。
    image

  7. CATの認証に使う、適切なアクセス制御ポリシーを選択し、[次へ]ボタンをクリックします。
    image

  8. 確認画面が表示されます。[次へ]をクリックします。
    image

  9. [このアプリケーションの要求発行ポリシーを構成する]がチェックされていることを確認し、[閉じる]をクリックします。
    image

  10. [要求発行ポリシーの編集]ダイアログが開きます。[規則の追加]をクリックします。
    image

  11. [要求規則テンプレート]に[LDAP 属性を要求として送信]が選択されていることを確認し、[次へ]をクリックします。
    image

  12. [要求規則名]に任意の名前を入力します。[属性ストア]で[Active Directory]を選択します。
    image

  13. [LDAP 属性の出力方向の要求の種類への関連付け]を設定します。[LDAP属性]はCATのログイン名とマッチングさせる属性を選択します。CATでEメール形式のログイン名を使っている場合は、[User-Principal-Name]または[E-Mail-Address]を選択します。その他の場合は、[SAM-Account-Name]を選択します。
    image

  14. [出力方向の要求の種類]は[名前 ID]を選択します。[完了]をクリックします。
    image

  15. 規則が追加されていることを確認し、[OK]をクリックします。以上で設定完了です。

IdP側の連携設定手順(Azure AD)

IdPメタデータの取得方法

連携設定手順の手順8を参照してください。

連携設定手順
  1. Azure ADのディレクトリのトップページに遷移します。

  2. 左メニューから[エンタープライズアプリケーション]を選択します。
    image

  3. [新しいアプリケーション]ボタンをクリックします。
    image

  4. [ギャラリー以外のアプリケーション]を選択します。
    image

  5. [名前]フィールドに任意の名前を入力し、[次へ]ボタンをクリックします。

    image

  6. [シングルサインオンの設定]を選択します。
    image

  7. [SAML]を選択します。
    image

  8. [SAML認証証明書]セクションの[フェデレーション メタデータ XML]の[ダウンロード]リンクをクリックし、IdPメタデータをダウンロードします。ダウンロードしたファイルはCAT側の設定に利用します。
    image

  9. [メタデータ ファイルをアップロードする]をクリックします。[ファイルの選択]をクリックし、CATからダウンロードしたSPメタデータファイルを選択します。[追加ボタン]をクリックします。
    image

  10. [基本的な SAML 構成]パネルが表示されます。[保存]をクリックします。以上で設定完了です。
    image

利用ユーザーの割り当て

CATを利用するユーザーを設定する必要があります。[ユーザーとグループ]メニューから、CATを利用するユーザーを割り当てて下さい。

image