OneLoginをSAML IDプロバイダーとして構成する

以下の手順を完了して、SAML IDプロバイダーとしてOneLoginを構成します。

  1. OneLogin SAML統合を構成する

  2. Auth0でSAML接続を構成します。

  3. 接続をテストする。

前提条件

OneLogin開発者アカウントが必要です。

OneLoginを構成する

  1. OneLogin Dashboardにログインし、[Apps(アプリ)]>[Add Apps(アプリの追加)]の順にクリックします。

  2. SAMLを検索し、[SAML Test Connector (IdP w/attr)(SAMLテストコネクター(属性付きIdP))]を選択します。

  3. 必要に応じて、アプリの[Display Name(表示名)]を変更します。

  4. [Save(保存)]をクリックします。

  5. [SSO]タブに移動し、SAML 2.0エンドポイント(HTTP)SLOエンドポイント(HTTP)の各値をコピーします。

  6. [X.509 Certificate(X.509証明書)]フィールドで[View Details(詳細を表示する)]リンクをクリックします。

  7. X.509証明書のonelogin.pemをダウンロードします。

Auth0接続を構成する

  1. [Dashboard]>[Authentication(認証)]> [Enterprise(エンタープライズ)]>[SAMLP]に移動して、+のアイコンをクリックすると、新規接続を作成できるページにリダイレクトされます。

  2. この接続に適切な構成設定を入力するよう求められます。入力必須のフィールドは次のとおりです。

    設定 説明
    Sign In URL(サインインURL) OneLoginアプリを設定したときに記録したSAML 2.0エンドポイント(HTTP)の値。
    Sign Out URL(サインアウトURL) OneLoginアプリを設定したときに記録したSLOエンドポイント(HTTP)の値。
    X509 Signing Certificate(X509署名証明書) OneLoginからダウンロードした証明書。証明書をAuth0に直接アップロードする必要があります。

  3. [Save(保存)]をクリックして続行します。

  4. 次のウィンドウには2つの選択肢が表示されます。

    1. ドメイン管理者の場合は、[Continue(続行)]をクリックして、SAML IDプロバイダー設定の手順に従います。

    2. ドメイン管理者でない場合は、ドメイン管理者が設定を完了できるよう、提供されたURLを渡します。

Auth0の構成値

SAMLアプリケーションの構成を終了するには、管理者はAuth0に関する次の情報が必要になります。

  • SAMLのコンシューマーURLhttps://{yourDomain}/login/callback

  • SAMLのオーディエンスurn:auth0:{yourTenant}:yourConnectionName

OneLoginアプリの[Configuration(構成)]タブに戻る前に、ポストバックURLエンティティIDの値もコピーします。

Auth0値 OneLogin構成フィールド
Post-back URL(ポストバックURL) ACS (Consumer) URL and Recipient(ACS(コンシューマー)URLと受信者)
Entity ID(エンティティID) Audience(オーディエンス)

さらに、ACS(コンシューマー)URL検証の有効な正規表現を入力します。例:

[-a-zA-Z0-9@:%._\+~#=]{2,256}\.[a-z]{2,6}\b([-a-zA-Z0-9@:%_\+.~#?&//=]*)

接続をテストする

接続をテストする前に:

  • テストに使用できるOneLoginユーザーがいることを確認します。いない場合は、OneLoginダッシュボードの[Users(ユーザー)]タブでユーザーを追加します。

  • 新しいAuth0 SAMLP接続がアプリケーションに関連付けられていることを確認します(そうでない場合、「invalid_request:接続は無効です」エラーが発生します)。

SAML接続の横にある[Try(試行)]ボタンをクリックします。すべての操作が正常に実行されると、接続が機能することを知らせるページにリダイレクトされます。

IdP起点SSO

OneLoginでは、ユーザーにアプリケーションポータル/ランチャーが用意されています。この機能を利用したい場合は、OneLoginダッシュボードでconnectionパラメーターを含めるようにSAMLのコンシューマーURLを変更(https://{yourDomain}/login/callback?connection=onelogin-customerなど)する必要があります。onelogin-customerをAuth0接続の名前に置き換えるようにしてください。

最後に、接続用のIdPを起点とするログインを有効にし、SAMLアサーションが使用された後にユーザーがリダイレクトされるアプリケーションを選ぶようにします。詳細については、「IDプロバイダー起点のシングルサインオンを構成する」をお読みください。

接続マッピングを編集する

OneLoginとAuth0を変更することなくそのままで使用すると、OneLoginを使ってログインし、Auth0 Dashboardで作成されたユーザーには、持っておきたい一部のプロファイル情報がありません。

追加のユーザー情報を収集するには、OneLoginダッシュボードで適切なパラメーターを編集し、パラメーターをSAMLアサーションに含め、Auth0接続でマッピングを作成します。

ユーザープロファイル属性

標準のユーザープロファイル属性が作成したい機能には十分でないことがあります。その場合は、カスタム属性を使ってSAMLトークンを強化します。基本的な例を使って説明します。

SAMLトークンには、数ある中でも特に2つの属性、FirstNameLastNameが含まれています。名と姓が連結されたFullNameと呼ばれる新しいカスタム属性を追加しましょう。

  1. OneLoginダッシュボードでアプリを編集します。

  2. [Parameters(パラメーター)]タブで、[Add Parameter(パラメーターを追加)]をクリックします。

  3. ポップアップが表示されたら、[Field name(フィールド名)]テキストボックスを使って新しいカスタム属性の名前を設定します。[Include in SAML assertion(SAMLアサーションに含める)]フラグにチェックが入っていることを確認します。[Save(保存)]をクリックします。

  4. 作成した新しい属性が表示されます。[Value(値)]フィールドをクリックします。このフィールドには現在、[- No default -(- デフォルトなし -)]が表示されています。

  5. [Value(値)]ドロップダウンメニューをクリックし、[- Macro -(- マクロ -)]を選択します。

  6. テキストボックスで値を{firstname} {lastname}に設定します。[Save(保存)]をクリックします。

  7. 変更をテストします。[Auth0 Dashboard]>[Authentication(認証)]>[Enterprise(エンタープライズ)]>[SAML]に戻ります。SAML接続で、[Try(試行)]ボタンをクリックします。結果には新しい属性FullNameが含まれているはずです。

OneLoginヘルプセンターで属性マクロの詳細をご覧いただけます。

新しいパラメーターをSAMLアサーションに追加する

EmailAddress情報をログインにどのように追加するのかデモンストレーションをお見せします。この情報は、すでに送信している2つのフィールドの連結句よりも長いものです。

  1. ユーザーのEmailAddressをマッピングする前に、このフィールドをカスタムパラメーターとしてOneLoginダッシュボードに追加する必要があります。[Field name(フィールド名)]EmailAddress[Value(値)]Emailにそれぞれ設定します。

  2. 上記セクションでユーザープロファイルのカスタマイズに必要な手順が詳しく記載されています。

  3. 変更を済ませたら保存し、接続テストをもう一度行います。

  4. Auth0ユーザーを確認し、EmailAddress情報が含まれており、値が正しいことを確認します。

これで、Auth0でユーザー情報をマッピングする準備ができました。

  1. SAML[Settings(設定)]セクションに進み、[Mappings(マッピング)]タブに移動します。メールアドレスには、以下のマッピングをコピーし、テキストボックスに貼り付けます。

  2. 変更を保存し、接続を再試行します。ログインに成功したら、[Dashboard]>[User Management(ユーザー管理)]>[Users(ユーザー)]の順に進み、ログインを確認します。該当するユーザーの追加情報が表示されます。