PingFederateをSAML IDプロバイダーとして構成する

PingFederateは、企業向けにID管理、シングルサインオン、およびAPIセキュリティを提供するフェデレーションサーバーです。PingFederateをIDプロバイダーとして構成するには、PingFederateの指示の完全版を参照してください。

IDプロバイダーとしてPingFederateを使用するようにAuth0を構成するには、主にデフォルト値とAuth0テナントのメタデータファイルを使用して、Auth0テナントに必要な構成パラメーター値をアップロードします。何らかの理由でメタデータのアップロードに失敗した場合、最も重要な構成パラメーターは以下のとおりです。

  • エンティティID:urn:auth0:{yourTenant}:{yourConnectionName}

  • Assertion Consumer ServiceURL:https://{yourDomain}/login/callback

  • ログアウトURL:https://{yourDomain}/logout

  • SAML要求に対するHTTPリダイレクトバインディング

  • SAML応答に対するHTTP-POSTバインディング

  1. https://YOUR_DOMAIN/samlp/metadata?connection=YOUR_CONNECTION_NAMEからAuth0メタデータファイルをダウンロードします。カスタムドメインを設定済みの場合は、必ずそれを使用してください。このファイルをアップロードして、Auth0テナント情報をPingFederate構成にインポートします。

  2. PingFederatedアカウントにサインオンし、[SP Connections(SP接続)]セクションから[Create New(新規作成)]を選択します。

  3. SP接続を構成します。

    • [Browser SSO Profiles(ブラウザーのSSOプロファイル)][Connection Type(接続タイプ)]に選択します。

    • [Browser SSO(ブラウザーのSSO)][Connection Options(接続オプション)]に選択します。

  4. 手順1でダウンロードしたメタデータファイルをアップロードします。エンティティID接続名ベースURLは、メタデータファイルの情報に基づいて自動入力されます。

  5. ブラウザーのSSOを構成します。

    • [SAML Profiles(SAMLプロファイル)][SP-Initiated SSO][SP-Initiated SLO]を選択します。

    • [Assertion Creation(アサーション作成)]セクションに移動し、[Configure Assertion(アサーションの構成)]をクリックします。次の2つの画面では、すべてのデフォルト設定を受け入れます。

  6. [IdP Adapter Mapping(IdPアダプターマッピング)]セクションに移動します。ここでユーザーの認証が行われます。すでにPingFederateのインストールで構成済みかもしれません。1つを選択するか、新しく追加します。Auth0で必要とされるのはNameIdentifierクレームのみです。他のすべての属性は、エンドアプリケーションに渡されます。

  7. プロトコルの設定を構成します。プロトコルの設定の値はメタデータファイルからインポートされます。次に、Assertion Consumer Service URLとサインアウトURLが表示されます。[Next(次へ)]をクリックして、[Allowable SAML Bindings(許可されるSAMLバインド)]セクションに進みます。

  8. [POST][Redirect(リダイレクト)]は有効のままにしておきます。[SAML Assertion(SAMLアサーション)]が常に署名されていることを確認してください。

  9. 資格情報を構成します。[Digital Signature Settings(デジタル署名設定)]で、署名する証明書を選択し、<KeyInfo>要素に含めるオプションにチェックが入っていることを確認します。

  10. 受信要求に署名するために使用される証明書を構成します。Auth0証明書(https://{yourTenant}.auth0.com/pemを使用)をダウンロードして、ここにアップロードすることができます。Auth0はデフォルトでSAMLRequestsに署名しますが、接続の設定時にこれを変更することができます。

  11. 設定を確認し、[Active(アクティブ)]または[Inactive(非アクティブ)]に設定します。

  12. 画面下部の[Save(保存)]をクリックします。メイン画面に新しいSP接続が表示されるはずです。

IdP起点SSO

IdP起点SSOを使用する場合は、必ずAssertion Consumer Service URLに接続パラメーターを含めてください:https://{yourDomain}/login/callback?connection={yourConnectionName}

受信するSAML応答をルーティングするようにAuth0を構成する方法については、「IDプロバイダー起点のシングルサインオンを構成する」をお読みください