cybozu.com ヘルプ

SAML認証を使用したシングルサインオンを設定する

Security Assertion Markup Language(SAML)とは、異なるセキュリティドメイン間で認証情報を連携するための、XMLベースの標準仕様です。
SAML認証を設定すると、社内のIdentity Provider(IdP)に登録されたユーザーアカウントで、cybozu.comにシングルサインオン(SSO)できます。 
cybozu.comはSAML 2.0に対応し、Service Provider(SP)として動作します。

ここではSAML認証を使用したSSOの流れ、およびcybozu.comの設定手順を説明します。
  • 本ページでは、構築済みのIdPとcybozu.comをSAML認証で連携する方法を説明します。
    IdPの構築方法、およびSAML認証でcybozu.comにログインする端末の設定は、各製品ベンダーにお問い合わせください。
  • cybozu.comをSPとしてSAML認証で連携するには、SAML 2.0に対応したIdPが必要です。
  • 次の方法でcybozu.comにアクセスする場合、SAML認証は行われません。cybozu.comに登録したログイン情報でログインします。
    • セキュアアクセスを使用する
    • Cybozu Desktop 2を使用する
    • ケータイを使用する
    • 次のスマートフォンアプリを使用する
      • KUNAI
      • kintone モバイル
      • サイボウズ Office 新着通知
      • メールワイズ for iOS
  • IdPで設定したSessionNotOnOrAfter属性は、cybozu.comでは無視されます。

SAML認証を使用したSSOの流れ

SAML認証を有効にすると、cybozu.comはSP InitiatedなSSOを行います。
SAMLリクエストとSAMLレスポンスには、次のバインディングを使用します。
  • SAMLリクエスト:HTTP Redirect Binding
  • SAMLレスポンス:HTTP POST Binding
cybozu.comがユーザーを認証する流れは、次のとおりです。
  1. ユーザーがcybozu.comにアクセスする。
  2. cybozu.comがSAMLリクエストを生成する。
  3. ユーザーが、SPからSAMLリクエストを受け取る。
  4. IdPがユーザーを認証する。
  5. IdPがSAMLレスポンスを生成する。
  6. ユーザーが、IdPからSAMLレスポンスを受け取る。
  7. cybozu.comがSAMLレスポンスを受け取り、検証する。
  8. SAMLレスポンスの内容に問題がない場合は、ユーザーがcybozu.comにログインした状態になる。

Identity Providerとcybozu.comをSAML認証で連携する

IdPとcybozu.comをSAML認証で連携するには、IdPとcybozu.comの両方で設定を行います。
IdPにcybozu.comを登録する
cybozu.comをSPとして設定するため、IdPに次の情報を登録します。
  • cybozu.comのエンドポイントURL:https://(サブドメイン名).cybozu.com/saml/acs
  • エンティティID:https://(サブドメイン名).cybozu.com
    URLの最後に"/"(スラッシュ)をつけないでください。
  • ユーザーを識別する要素:NameID
  • cybozu.comをSPとして登録する際に、メタデータファイルを使用することもできます。
    メタデータファイルを入手するには、「cybozu.com共通管理」の「ログインのセキュリティ設定」画面で「SAML認証を有効にする」を選択し、[Service Providerメタデータのダウンロード」をクリックします。
cybozu.comでSAML認証を設定する
cybozu.comでSAML認証を有効化し、IdPの情報を設定します。

手順:

  1. 「cybozu.com共通管理」画面の「セキュリティ」の[ログイン]をクリックします。
  2. 「SAML認証を有効にする」を選択します。
  3. 必要な項目を設定します。
    • Identity ProviderのSSOエンドポイントURL(HTTP-Redirect)
      SAMLリクエストの送信先を設定します。
    • cybozu.comからのログアウト後に遷移するURL
      cybozu.comからログアウトした後に表示される、IdPのURLを設定します。
    • Identity Providerが署名に使用する公開鍵の証明書
      RSAかDSAのアルゴリズムで生成された、公開鍵の証明書ファイルを添付します。
      X.509形式の証明書のみ利用できます。
  4. [保存]をクリックします。
  5. SAML認証を使用してログインするユーザーのログイン名を確認します。
    cybozu.comのユーザーのログイン名に、NameIDに関連付けた値が登録されているかどうかを確認します。
  6. SAML認証を使用してcybozu.comにSSOできるかどうかを確認します。
    次の操作ができれば、設定は完了です。
    • cybozu.comにアクセスすると、IdPの認証に成功し、ログイン後の画面が表示される。
    • ログイン後の画面で、右上のユーザー名 > [ログアウト]の順にクリックすると、正常にログアウトできる。
      kintoneの画面を表示している場合は、をクリックして、[ログアウト]をクリックします。