idP側の設定
IDaaSやidPでSAML2.0をサポートしていれば、「Powered BLUE Reverse Proxy for SSO/IDaaS」と接続が出来ます
TrustLogin
GMOグローバルサインのTrustLoginは、基本機能を無償で使えるIDaaSです。今回はidPとしてTrustLoginで接続してみます。
TrustLoginでの設定例
TrustLoginへは、SAMLの新規アプリとして登録します(カスタム・コネクター)
右上の 「+SAMLアプリ登録」 をクリック
ここのメタデータ(xml)をダウンロードして、SP側にアップローします
ログインURLなどを指定
例 https://wp-sam.mubit.jp/develop-dep/
SP認証後の移行URL
例 https://wp-sam.mubit.jp/develop-dep/
エンティティID
例 https://wp-sam.mubit.jp/endpoint/metadata
NAMEID フォーマット
例 transient
グループアクセスでのコントロールが不要の場合には、idP側のカスタム・コネクターはここまでの設定です
attribute-value やロールを指定の場合 設定例1
グループアクセスでのコントロールを行なう場合には、SAML属性を指定します
SP側 attribute=”groups” value=”mbt” の場合
idP側 固定値 groups 固定値 mbt
*注意 固定値でアサインの場合、このカスタム・コネクターを利用の全ユーザーがターゲットのWeb(SP)へアクセス出来てしまいます
attribute-value やロールを指定の場合 設定例2(推奨)
SAMLのカスタム属性とTrustLoginのユーザー毎の設定でアクセスコントロールする
SP側 attribute=”gropus” value=”mbt” の場合
idP側 カスタム・コネクターのSAMLカスタム属性 ”groups” を設定
TrustLoginユーザー設定
TrustLoginのユーザー毎にSAMLカスタム属性 ”groups” を設定
アクセス可能なユーザーには valueとして ”mbt” をアサインします
*この「鈴木 一郎」というユーザーは SMALカスタム属性値として
attribute=”groups” value= ”mbt” という値を持つのでアクセスが可能になります
アクセス
https://wp-sam.mubit.jp/develop-dep/
初回
初回は TrustLogin での認証後に、ターゲットのWebサイトへアクセスできます
ターゲットのwebサイトが表示
次は SAML認証のネットワーク構成例 …..