目次
※シングルサインオン機能は初期設定では無効になっています。
※本機能は、料金プランに応じてご利用いただけます。ご契約のプランでお使いいただけるかは、料金プランの「シングルサインオン」の項をご覧ください。
シングルサインオン機能(SAML認証)
Platioでは、Platioアプリ・データビューアーからミニアプリへのログインに、SAML認証によるシングルサインオンを利用することできます。Platioのシングルサインオンでは、SAML応答とアサーションへの署名をサポートするアイデンティティプロバイダーが必要です。
シングルサインオン機能では、SAMLアサーションに共通ユーザーのメールアドレスを使用して認証を行うため、共通ユーザー機能を有効にします。共通ユーザー機能については、Platio Studioガイドの「9. 共通ユーザー」を参照してください。
※ Platioアプリのシングルサインオン機能はバージョン3.3.0以降で対応しています。
シングルサインオン機能を設定して有効にする
シングルサインオン機能の設定を行うには、Platio Studioで共通ユーザー管理の画面を表示し、画面右上のメニューで「シングルサインオン」をクリックします。
シングルサインオン画面が表示されます。
シングルサインオン画面で、アイデンティティプロバイダーへの設定に必要な応答URL(ACS URL)と識別子(エンティティーID)がコピーできます。
アイデンティティプロバイダーからSAMLエントリーポイントURLとX.509 署名証明書を取得し、設定します。
「シングルサインオンを有効にする」をオンにして「保存」をクリックします。
【Platio Studioのシングルサインオン画面】
ここでは、次頁からMicrosoft Azure Active Directoryを例にして、アイデンティティプロバイダーとPlatio Studioでの設定手順を詳しく説明します。
設定手順(Microsoft Azure ADの場合)
手順概要
- Platio Studioのシングルサインオン画面で情報を取得
- 識別子(エンティティID)を取得
- 応答URL(Assertion Consumer Service URL)を取得
- AzureADでエンタープライズアプリケーションを作成
- Platioの手順1の情報を設定
- Platioの属性を追加
- ログインURL(SAMLエントリーポイントURL)を取得
- X.509署名証明書のファイルをダウンロード
- ユーザーを割り当て
- Platio Studioで(手順2で)取得した情報を設定
- SAMLエントリーポイントURLを設定
- X.509署名証明書を設定
- Platio Studioで共通ユーザーを追加してミニアプリに設定
1. Platio Studioのシングルサインオン画面で情報を取得
Platio Studioのシングルサインオン画面で、応答URL(ACS URL)と識別子(エンティティーID)をコピーします。
【Platio Studioのシングルサインオン画面】
2. AzureADでエンタープライズアプリケーションを作成
Azureへログインし、ポータル画面で「Azure Active Directory」をクリックします。
【Microsoft Azureの画面】
「エンタープライズアプリケーション」をクリックします。
「新しいアプリケーション」をクリックします。
「独自のアプリケーションの作成」をクリックします。
アプリ名を入力し、「ギャラリーに見つからないその他のアプリケーションを統合します」を選択して「作成」をクリックします。
※ここでは「PlatioSAML」という名前で作成しています。
切り替わった画面で「シングルサインオンの設定」で「作業の開始」をクリックします。
シングルサインオン方式の選択で「SAML」をクリックします。
ここからセットアップが始まります。
①基本的なSAML構成の「編集」をクリックします。
「識別子の追加」と「応答URLの追加」をそれぞれクリックします。
Platio Studioからコピーした識別子(エンティティID)と応答URL(Assertion Consumer Service URL)をペーストし、画面上部の「保存」をクリックします。
※ コピー元は手順「1. Platio Studioのシングルサインオン画面で情報を取得」を参照してください。
※ Platio Studioでは、応答URLが上段、識別子が下段に表示されています。入力する位置に注意してペーストして保存してください。
応答URLに送信するSAMLアサーションに「platioUserEmail」という属性で、Platioのユーザーのメールアドレスを設定するためにクレームを追加します。
②ユーザー属性とクレームの「編集」をクリックします。
「新しいクレームの追加」をクリックします。
名前に「platioUserEmail」を入力し、ソース属性のプルダウンリストから、Platioの共通ユーザーのメールアドレスとする属性「user.email」や「user.userprincipalname」などを選択します。
※ここの手順例ではuser.userprincipalnameを選択しています。
画面上部の「保存」をクリックします。一覧に追加されます。
③SAML証明書でPlatio Studioに設定する情報を取得します。
右上の「編集」をクリックします。
署名オプションで「SAML応答とアサーションへの署名」を選択します。
「保存」をクリックし、画面を閉じます。
③SAML証明書での証明書(Base64)の「ダウンロード」をクリックします。「(アプリ名).cer」のファイル名の証明書ファイルがダウンロードされます。
※ 後で Platio Studioの画面で読み込んで設定します。
④(アプリ名)のセットアップでログインURLの右のアイコンをクリックしてコピーし、取得しておきます。
※ 後で Platio Studioの画面でペーストして設定します。
アプリ作成直後はユーザーが作成されていないため、画面左のメニューから「ユーザーの追加」から利用するユーザーを追加します。
「ユーザーまたはグループの追加」をクリックします。
ユーザーの「選択されていません」をクリックします。
ユーザーをクリックし、「選択」をクリックします。
ユーザーが選択されました。「割り当て」をクリックします。
※ ここで追加(割り当て)したユーザーを、Platio Studioの共通ユーザーに追加します。
3. Platio Studioで取得した情報を設定
Platio Studioのシングルサインオン画面で、アイデンティティプロバイダー(ここでは、Microsoft Azure AD)から取得した「SAMLエントリーポイントURL」とX.509署名証明書の設定を行います。
※ 情報の取得は、手順「2. AzureADでエンタープライズアプリケーションを作成」を参照してください。
「SAMLエントリーポイントURL」へ、④のログインURLをペーストします。
「ファイルを選択(.pem, .cer)」をクリックし、③でダウンロードした(アプリ名).cerのファイルを選択して展開します。
【Platio Studioのシングルサインオン画面】
設定後、「シングルサインオンを有効にする」をオンにして「保存」をクリックします。
4. Platio Studioで共通ユーザーを追加してミニアプリに設定
アイデンティティプロバイダー(ここでは、Azure AD)の設定で、応答URLに送信するSAMLアサーションの「platioUserEmail」属性に設定するメールアドレスと同じメールアドレスの共通ユーザーをPlatio Studioで追加します。
Platio Studioの共通ユーザー画面を表示し、1つずつ共通ユーザーを追加する場合は「追加」をクリックします。
※ シングルサインオンが有効のとき、パスワードの指定は不要です。
【Platio Studioの共通ユーザー画面】
複数の共通ユーザーを追加する場合は、あらかじめ共通ユーザー情報を記述したCSVファイルをインポートします。インポートについては、Platio Studioガイド「9. 共通ユーザー」を参照してください。
共通ユーザーを追加した後、それぞれのミニアプリでユーザーを設定します。
下図はミニアプリのユーザー画面です。利用するユーザーを設定します。詳しくはPlatio Studioガイド「9. 共通ユーザー」を参照してください。
【Platio Studioのミニアプリのユーザー画面】
ミニアプリにユーザーを設定しないでログインするとエラーになります。
データビューアーの場合、下図のような画面になります。
【データビューアーのログインエラー】
設定手順(GMOトラスト・ログインの場合)
こちらのリンクをご確認ください。(GMOグローバルサイン社のページに遷移します)
ログイン認証(Microsoft Azure ADの場合)
シングルサインオンを有効にした後、Platioアプリ・データビューアーからミニアプリへのログインについて説明します。
Platioアプリからログイン
Platioアプリからミニアプリへアクセスすると、ログイン画面で「シングルサインオンでログイン」と表示されます。
「シングルサインオンでログイン」をタップすると、アイデンティティプロバイダー側のサインイン画面が表示されます。ユーザーとパスワードを入力してサインインをすると、通常のログインと同じログイン後の画面が表示されます。
データビューアーからログイン
データビューアーからミニアプリへアクセスすると、ログイン画面で「シングルサインオンでログインする」と表示されます。
「シングルサインオンでログインする」をタップすると、アイデンティティプロバイダー側のサインイン画面が表示されます。ユーザーとパスワードを入力してサインインをすると、通常のログインと同じログイン後の画面が表示されます。