idPの設定
IDaaSでSAML2.0をサポートしていれば、Powered BLUE Web for SSO/IDaaSと接続が出来ます。今回はidPとして日本国内のクラウド基盤で運用されて、基本機能を無償で使える GMOグローバルサイン社の TrustLogin を利用します。
TrustLoginの設定例
新規のSAMLアプリとして登録します
右上の +SAMLアプリ登録 をクリック
ここのメタデータ(xml)をダウンロードして、SP側にアップローします
ログインURLなどを指定
例 https://wp-sam.mubit.jp/develop-dep/
SP認証後の移行URL
例 https://wp-sam.mubit.jp/develop-dep/
エンティティID
例 https://wp-sam.mubit.jp/endpoint/metadata
NAMEID フォーマット
例 transient
グループアクセスでのコントロールが不要の場合には、idP側はここまでの設定です
attribute-value やロールを指定の場合 設定例1
グループアクセスでのコントロールを行なう場合には、SAML属性を指定します
SP側 attribute=”groups” value=”mbt” の場合
idP側 固定値 groups 固定値 mbt
*注意 固定値でアサインの場合、このログイン・テンプレートを利用の全ユーザーがターゲットのWeb(SP)へアクセス出来てしまいます
attribute-value やロールを指定の場合 設定例2(推奨)
SAMLのカスタム属性とTrustLoginのユーザー毎の設定でアクセスコントロールする
SP側 attribute=”groups” value=”mbt” の場合
idP側 SAMLカスタム属性 ”groups” を設定
TrustLoginのユーザー設定
TrustLoginのユーザー毎にSAMLカスタム属性 ”groups” を設定
アクセス可能なユーザーには valueとして ”mbt” をアサインします
*この「鈴木 一郎」というユーザーは SMAL属性値として
attribute=”groups” value=”mbt” という値を持つのでアクセスが可能になります
アクセス
https://wp-sam.mubit.jp/develop-dep/
初回
シングルサインオンでは、一度 idP/TrustLogin へのログイン
ターゲットのwebページ
SAML認証を設定のターゲットのWebページが表示されます
次は より安全に使うには …..