idPの設定
GMOグローバルサインのTrustLoginは、基本機能を無償で使える特徴があります
TrustLoginでの設定例
SAMLの新規アプリとして登録します(カスタム・コネクター)
右上の +SAMLアプリ登録 をクリックします
ここのメタデータ(xml)をダウンロードして、SP側にアップローします
ログインURLなどを指定
例 https://wp-sam.mubit.jp/blog/
SP認証後の移行URL
例 https://wp-sam.mubit.jp/blog/
エンティティID
例 https://wp-sam.mubit.jp/endpoint/metadata
NAMEID フォーマット
例 transient
グループアクセスでのコントロールが不要の場合には、idP側のカスタム・コネクターはここまでの設定です
https://wp-sam.mubit.jp/webmail/ のSAML認証も同様の設定を行います
attribute-value やロールを指定の場合 設定例1
グループアクセスでのコントロールを行なう場合には、SAML属性を指定します
SP側 attribute=”groups” value=”mbt” の場合
idP側 固定値 groups 固定値 mbt
*注意 固定値でアサインの場合、このカスタム・コネクターを利用の全ユーザーがターゲットのリバースプロキシ(SP)へアクセス出来てしまいます
attribute-value やロールを指定の場合 設定例2(推奨)
SAMLのカスタム属性とTrustLoginのユーザー設定でアクセスコントロールします
SP側 attribute=”gropus” value=”mbt” の場合
idP側 SAMLカスタム属性 groups を設定
TrustLoginユーザー設定
TrustLoginのユーザー毎にSAMLカスタム属性 ”groups” を設定
アクセス可能なユーザーには valueとして ”mbt” をアサインします
*この「鈴木 一郎」というユーザーは SMALカスタム属性値として
attribute=”groups” value= ”mbt” という値を持つのでアクセスが可能になります
アクセス
https://wp-sam.mubit.jp/blog/
https://wp-sam.mubit.jp/webmail/
初回
初回は TrustLogin での認証後に、ターゲットのWebサイトへアクセスできます
リバースプロキシ
https://wp-sam.mubit.jp/blog/ —-> https://sni-1.mubit.jp/blog/
リバースプロキシ先のターゲットのwebサイトが表示されます
https://wp-sam.mubit.jp/webmail/ —->https://sni-1.mubit,.jp/webmail/
リバースプロキシ先のターゲットのwebサイトが表示されます
HAやマルチAZ、独自認証など より安全に使うには …..