SSOCircleをSAML IDプロバイダーとして構成する

以下の手順を完了して、SAML IDプロバイダーとしてSSOCircleを構成します。

  1. SSOCircleメタデータを取得する。

  2. Auth0でエンタープライズ接続を構成する。

  3. SSOCircleを IDプロバイダーとして構成する。

  4. 接続をテストする。

前提条件

SSOCircleアカウントが必要です。

SSOCircleメタデータを取得する

  1. SSOCircleのIDPページにナビゲートして統合に必要なメタデータを参照します。XMLファイルが表示されます。

  2. このページから、以下の属性を保存する必要があります:

    1. HTTP-Redirectタイプを伴うSingleSignOnService属性のロケーションURL。

    2. HTTP-Redirectタイプを伴うSingleLogoutService属性のロケーションURL。

  3. SSOCircle CA証明書をダウンロードして保存します。

Auth0でエンタープライズ接続を構成

  1. Go to [Dashboard]>[Authentication(認証)]> [Enterprise(エンタープライズ)]>[SAMLP]に移動して、+のアイコンをクリックし、新規接続を作成できるページを開きます。

  2. この接続に適切な構成を設定します。入力必須のフィールドは以下のみです:

    設定 説明
    接続名 Auth0の接続名。 myoktaconnection
    サインインURL ユーザーログイン要求が送信されるOkta URL。

    これは、前に記録した__IDプロバイダーのシングルサインオンURL__です。    		 https://my_okta_tenant_name.okta.com/app/ my_okta_tenant_namemy_okta_saml_app_integration_name/ dakflkbzevu5i5zBi939/sso/saml
    X509署名証明書 Oktaテナントの公開鍵の署名証明書。

    前にダウンロードした__X509証明書__をアップロードします。    		 myOktaTenantSigningCertificate.pem

  3. マッピングを設定時、以下のJSONを使ってSSOCircleからSAML属性を正しくマッピングします。 

    {
      "email": "EmailAddress",
      "given_name": "FirstName",
      "family_name": "LastName"
    }

    Was this helpful?

    /

  4. [Save(保存)]をクリックします。次のウィンドウには2つの選択肢が表示されます:

    1. ドメイン管理者の場合は、 [Continue(続行)]をクリックして、SAML IDプロバイダー設定の手順に従います。

    2. ドメイン管理者でない場合は、ドメイン管理者が設定を完了できるよう、提供されたURLを渡します。

Auth0 SAML接続のメタデータへは、以下のフォーマットでURLを使用してアクセスできます。: https://{yourDomain}/samlp/metadata?connection={yourConnectionName}.

次のステップでこのメタデータをSSOCircleに渡す必要があります。

SSOCircleをIDプロバイダーとして構成

  1. SSOCircleアカウントにログインします。ユーザープロファイルのページが開き、左側にナビゲーションバーが表示されます。

  2. [Metadata(メタデータ)]をクリックします。

  3. [Add New Service Provider(新規サービスプロバイダの追加)]を選択して、以下の情報を入力し、新規サービスプロバイダー(この場合はAuth0 )を設定します。

    設定 説明
    FQDN of the ServiceProvider(サービスプロバイダーのFQDN) auth0.com
    Attributes to send in assertion(アサーションに送信する属性) EmailAddressボックスにチェックを入れます。
    Insert your metadata information:(メタデータ情報を挿入:) Auth0接続を構成した後にダウンロードしたXMLメタデータを貼り付けます。

  4. [Submit(送信)]をクリックします。

接続をテストする

Auth0アプリケーションの作成

  1. Auth0 Dashboard[Applications(アプリケーション]ページを開き、[+ New Application(新規アプリケーション)]をクリックします。

  2. 新規アプリケーションに関する基本情報を入力します。アプリケーションのタイプは[Regular Web Applications(通常のWebアプリケーション)]を選択します。

  3. [Create(作成)]をクリックして設定を完了し、アプリケーションの作成プロセスを開始します。アプリケーションの詳細ページが開きます。

  4. [Settings(設定)]をクリックします。

  5. [Allowed Callback URL(許可されているコールバックURL)]フィールドに、ユーザーが認証後にリダイレクトされる先も含めて許可するコールバックURLのリストを入力します。ここで入力するURLは、 後で行うステップで作成するHTMLコード内のcallback URLと合致しなくてはなりません。通常はお使いのアプリケーションのURLを入力しますが、ここでは例示目的のため、ユーザーは単にAuth0 JWT Toolに送られます。

  6. [Save Changes(変更を保存)]をクリックします。

  7. [Settings(設定)]の先頭に戻り、[Connections(接続)]をクリックします。

  8. [Enterprise(エンタープライズ)]セクションにスクロールします。上記ステップで作成したSAML接続行を検索し、トグルを切り替えてSAML接続を有効にします。

エンタープライズ接続のテスト

  1. 接続をテストするには、「エンタープライズ接続のテスト」で説明する手順に従います。

  2. ここでは、ログインと同意が求められます。

  3. さらに、「Your session has timed out(セッションがタイムアウトしました)」というメッセージが表示された場合は、メッセージの下にある [Return to Login page(ログインページに戻る)]リンクをクリックします。

アプリケーションにログインできない場合は、ご利用のブラウザーの履歴とクッキーをクリアしてからもう一度テストしてください。ブラウザーがHTMLの最新バージョンを選択していない場合もあります。

SSOをトラブルシュートする際は、多くの場合インタラクションのHTTPトレースが役立ちます。HTTPトラフィックをブラウザーからキャプチャして分析するツールはさまざまです(「HTTPトレース」でニーズに合ったツールを検索してみてください)。HTTPトレーサーを取得した後、ログインシーケンスを最初から最後までキャプチャしてトレースを分析し、GET要求のシーケンスでエラーがどこで発生したかを確認します。以下を確認します:

  • 元々のサイトからIDPへのリダイレクト

  • 資格情報のポスト(ログインが求められた場合)

  • コールバックURLへのリダイレクト。

お使いのブラウザーでは必ずクッキーとJavaScriptを有効にしてください。

HTMLで指定されているコールバックURLが、 Auth0アプリケーション[Settings(設定)]タブの[Allowed Callback URLs(許可されているコールバックURL)]のリストと一致することを確認してください。