SAML2.0の設定例
http://wp-sam.mubit.jp/ 以下の指定ディレクトリにSAML2.0の認証を設定する例です
- idP
「 OneLogin」 - SP 「Powered BLUE Web for SSO/IDaaS」
を利用します。
idPとSPにそれぞれ、SAML認証の設定を行います。
Web/SP側の設定
「Powered BLUE Web for SSO/IDaaS」にSPとなるWebを運用する仮想サイトを作成します
以下のサイトを作成します
例 http://wp-sam.mubit.jp/
Webサーバの有効化
Webサーバーを有効にする にチェックを入れます
仮想サイトのSSL化
SAML認証に際しては、WebサイトのSSL化が必須です。
SSLのサーバー証明書としては
- サイトのSSL自己証明
- パブリックなSSLサーバー証明書のインポート
- Let’s EncryptでのSSLサーバー証明書
に対応しています。
自己証明の場合
SSLを有効にする にチェックを入れます
パブリックなSSLサーバー証明書の場合
必要情報を記載して「署名リクエストの作成」ボタンで作成したテキストを、SSLサーバー証明書を発行する機関へ送付します。
- 「署名リクエストの作成」でファイルを保存
- 作成された「署名リクエスト」 ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付
- 公的機関で発行された、サーバー証明書を 「インポート」 します
- 中間証明書のインポートにも対応しています
SSLサーバー証明書が発行されたら「インポート」ボタン操作でSSLサーバー証明書をインポートします
Let’s Encryptを利用の場合
サーバーのフリープラグイン機能を利用して、Let’s Encryprt プログラムをインポートします
FreeSSLを選択
インストールボタンをクリック
Let’s Encryptインストール後に 有効にする にチェックを入れます
Webサイト
作成した仮想サイトには、デフォルトでindex.htmlが自動作成されています。このindex.htmlファルを適宜変更して、Webページを作成する もしくは フリープラグインでWordPressをインストールしてWebページを作成する事も出来ます。
デフォルトのindex.html
https://wp-sam.mubit.jp/index.html
WordPressインストール
フリープラグインでWordPressを選択します。
WordPressを「インストールボタン」を押すだけで、簡単にインストール&セットアップ出来ます。
Powered BLUE 対応のWordPressのインストールパッケージは、WordPress本体のインストールやセットアップなどを簡単化しています。機能などは通常のRedHat/CentOS 対応のWordPressと同一です。
WordPressの作成
「ブログを追加する」 ボタンを押します
パスの指定
WordPressをインストールする https://wp-sam.mubit.jp サイトのパスを指定します
今回は /develop-dep を指定
https://wp-sam.mubit.jp/develop-dep にWordPressがインストールされます
「ブログをインストールする」 ボタンを押します
尚、WordPressは同一サイト内に複数のインストールが出来ます
例 「ブログの追加する」 ボタンを押して
sales-dep
support-dep
などを指定して複数のWordPressをインストール
https://wp-sam.mubit.jp/develop-dep/
https://wp-sam.mubit.jp/support-dep/
https://wp-sam.mubit.jp/sales-dep/
のディレクトリにそれぞれ、個別のWordPressがインストールされました
WordPressのアップデート
WordPressはインストール後に、アップデートも可能です。
WordPressへの各種プラグインや操作&変更などは、通常のWordPressと同様の操作や運用が出来ます。
phpの有効化
WordPressのindex.phpが動作するように、phpにチェックを入れて有効にします
SAML2.0設定
SAMLのエンドポイントのパス 例 / を指定します(環境に合わせて適宜、変更してください)
idP側で作成のxmlのメタデータをインポートします
idP側で作成のメタデータ(xml)をアップロードします
SAML2.0の認証をかけたいdirを設定します
例
- /develop-dep
- /sales-dep
- /support-dep
SAML認証のディレクトリ(アクセスURL)
https://wp-sam.mubit.jp/develop-dep/
https://wp-sam.mubit.jp/sales-dep/
https://wp-sam.mubit.jp/support-dep/
この3つのURLには、idP側のSAML認証が設定されていないとアクセスができません。なおSPとなるWebサーバー側には、ユーザーアカウントは不要です。
上記の3つのURLがSAML認証に対応の「アクセスURL」となります。
グループでのアクセスコントロールが無い場合には、SP側の設定はここまでです
attributeの指定
グループでのWebへのアクセスコントロールを行なう場合に、attributeを追加設定します
それぞれのパスに対して、idP側で設定の attribute-value もしくは ロール の指定が出来ます
SP側で attribute=”groups” value=”mbt” というattribute value でのアクセスを許可の場合の設定例
SAMLの有効化
設定のサイトのSAMLを有効にします
次は idP/OneLoginの設定例 …..