マルチプロバイダー SSO を使用した SAML 2.0 構成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む8読むのに数分

    • マルチプロバイダー SSO 機能から SAML 2.0 SSO 構成を作成または更新できます。

    始める前に

    必要なロール:管理者

    このタスクについて

    注:
    Jakarta リリースから新たに、IdP 構成をアクティブ化する前にテスト接続機能を使用して構成を検証することが必要になりました。更新機能を使用して構成データを保存することはできますが、テスト接続が成功しないとアクティブな構成になりません。

    手順

    1. 移動先 すべて > マルチプロバイダー SSO > ID プロバイダー.
    2. 次のいずれかのオプションを実行します。
      • 構成を更新するには、SSO 設定レコードをクリックします。
      • 新しい構成を作成するには、 新規 > SAML.
    3. 新しい構成の場合は、次のいずれかの方法で IdP 情報を入力します。
      オプション説明
      メタデータ記述子 URL を使用 [URL] チェックボックスをクリックし、使用している IdP の URL を入力します。
      メタデータ記述子 XML ファイルを使用 [XML] チェックボックスをクリックし、使用している IdP から生成された XML データを貼り付けます。
      メタデータを手動入力 ポップアップウィンドウを閉じて、プロパティフィールドに手動でデータを入力します。
      [ID プロバイダー] フォームのすべての必須フィールドに入力する必要があります。IdP フォーム
      表 : 1. [マルチプロバイダー SSO (Multi-provider SSO)] フィールド
      プロパティ 必須 説明
      名前 あり IdP の名前を入力します。この IdP は自動リダイレクト Sys ID です。
      有効 はい IdP を認証に使用するには、[有効] を true に設定する必要があります。
      注:
      このプロパティを設定するオプションは、テスト接続が成功した後にのみ表示されます。
      デフォルト なし 自動リダイレクト IdP (旧称「プライマリ IdP」) は、ユーザーをベースインスタンス URL に自動的にリダイレクトします。このプロパティは、この IdP 構成をデフォルトとして設定します。
      自動リダイレクト IdP なし この IdP 構成を自動リダイレクト IdP として設定します。
      注:
      新しい自動リダイレクト IdP 構成をアクティブにすると、 glide_sso_id cookie が新しい自動リダイレクト IdP で更新されます。自動的に有効になる glide.authenticate.sso.update.idp.cookie システムプロパティは、この機能を制御します。
      ID プロバイダー URL あり IdP への URL を入力します。各 IdP URL は一意である必要があります。
      ID プロバイダーの AuthnRequest あり SingleSignOnService 要素から取得した HTTP リダイレクトバインディングへの URL を入力します。
      ID プロバイダーの SingleLogoutRequest なし SingleLogoutService 要素から取得した URL を入力します。
      ServiceNow のホームページ あり IdP が認証するインスタンスの URL (ログインページを含む) を入力します。例:https://yourinstance.service-now.com/navpage.do
      エンティティ ID/発行者 あり IdP が認証するインスタンスのベース URL (ログインページを除く) を入力します。例:https://yourinstance.service-now.com/
      対象者 URI あり IdP が認証するインスタンスのベース URL (ログインページを除く) を入力します。例:https://yourinstance.service-now.com/
      NameID ポリシー あり 統合で使用される NameIDFormat 要素の値を入力します。
      外部のログアウトのリダイレクト なし ログアウト後に統合がリダイレクトする URL を入力します。
      要件のリダイレクトに失敗 なし 失敗した認証要求をリダイレクトするための URL を入力します。デフォルトでは、これは IdP で設定されたエラーページまたはログアウトページの URL エンドポイントです。この値は glide.authenticate.failed_requirement_redirect フィールドに入力できます。
    4. オプション: [暗号化と署名] タブ
      注:
      暗号化と署名には独自の証明書を使用することをお勧めします。
      暗号化と署名
      表 : 2. [暗号化と署名] フィールド
      プロパティ 説明
      署名キーエイリアス SAML 2.0 SP Keystore に格納されているキーエントリの署名エイリアスを入力します。
      署名キーパスワード SAML 2.0 SP Keystore に格納されているキーエントリの署名パスワードを入力します。
      暗号化キーのエイリアス SAML 2.0 SP Keystore に格納されているキーエントリの暗号化エイリアスを入力します。
      暗号化キーのパスワード SAML 2.0 SP Keystore に格納されているキーエントリの暗号化パスワードを入力します。
      アサーションを暗号化 SAML 応答のアサーションを暗号化するには、このチェックボックスをオンにします。IDP 用に生成されたメタデータには、IDP が生成する SAML 応答のアサーションを暗号化するために使用する x509 証明書が埋め込まれています。
      署名アルゴリズムの署名 eSignature 認証用の SAML 2.0 Identity Provider AuthnRequest Consumer を示す URL を入力します。
      AuthnRequest に署名 このチェックボックスをオンにすると、IdP Single Sign-on サービスが署名済みの AuthnRequest を受信できるようになります。
      LogoutRequest の署名 このチェックボックスをオンにすると、IdP Single Sign-on サービスが署名済みの LogoutRequest を受信できるようになります。
      ログアウト応答に署名 このチェックボックスをオンにすると、IdP Single Sign-on サービスが署名付きのログアウト応答を受信できるようになります。
    5. オプション: [ユーザープロビジョニング] タブ
      [ユーザープロビジョニング] タブ
      表 : 3. [ユーザープロビジョニング] のフィールド
      プロパティ 説明
      自動プロビジョニングユーザー 自動ユーザープロビジョニングを有効にします。IdP によって提供される情報に基づいてユーザーがインスタンスユーザーテーブルに存在しない場合は、ユーザーを作成します。
      各ログイン時のユーザーレコードの更新 ユーザーが SAML を使用してログインするたびに、インスタンスユーザーテーブルのユーザー情報を IdP の情報で更新します。
    6. オプション: [詳細] タブ
      [詳細] タブ
      表 : 4. [詳細] フィールド
      プロパティ 説明
      ユーザーフィールド ユーザーを識別するために IdP に必要な値を含むユーザーテーブルのフィールドに入力します。これは応答の一部としての一意の ID です。たとえば、ユーザー名、従業員 ID などがあります。システムユーザーテーブルで、この一意の ID がユーザーの詳細と照合されます。
      NameID 属性 新しい NameID ポリシーを設定する場合を除き、このフィールドは空白のままにします。新しいポリシーを設定する場合、システムではログインするユーザーを識別するためのユーザーテーブルを使用する必要があります。ここで、システムは NameID トークンを、そのユーザーテーブルフィールドの名前と照合します。
      AuthnContextClass の作成 [パスワードで保護されたトランスポート (Password Protected Transport.)] などの特定のコンテキストクラスを指定するには、このチェックボックスをオンにします。チェックボックスをオフにすると、IdP によって最も適切なコンテキストクラスが選択されます。
      AuthnContextClassRef メソッド IdP がユーザーを認証するために使用するログインメカニズムの URN を入力します。
      AuthnRequest の強制 AuthnRequest を強制的に発生させるには、このチェックボックスをオンにします。
      Passive AuthnRequest か AuthnRequest がパッシブの場合は、このチェックボックスをオンにします。
      Single Sign-on スクリプト Single Sign-on スクリプトを選択します。デフォルトは MultiSSOV2_SAML2_custom です。
      ログアウト応答に署名 このフィールドにログアウト応答の詳細を入力します。
      クロックスキュー SAMLResponse ノンスを構成する 2 つの属性間の秒数を入力します。デフォルトは 60 です。有効な SAMLResponse は、notBeforenotOnOrAfter の日付と時刻の値の範囲内である必要があります。SAMLResponse メッセージのサンプルについては、「Sample SAML 2 Response with the SubjectConfirmation and SubjectConfirmationData Elements (SubjectConfirmation および SubjectConfirmationData 要素を含む SAML 2 応答のサンプル)」と、「Sample SAML 2 Response with the AudienceRestrictions and Audience Elements (AudienceRestrictions および Audience 要素を含む SAML 2 の応答サンプル)」を参照してください。
      IDP の SingleLogoutRequest のプロトコルバインディング SingleLogoutService 要素の [バインディング] 属性に記載されているサポート対象の値を 1 つ入力します。
      IDP プロパティのインポート元のメタデータ URL IdP プロパティはこの URL からインポートされます。設定すると、以前の証明書の有効期限が切れた場合に、IdP からの SAML 証明書の自動インポートが有効になります。
      注:
      SAML2 Update 1 からマルチプロバイダー SSO にアップグレードする場合、または SSO 接続を手動で設定する場合、IdP メタデータ URL は自動的に入力されません。
      要求 要求の一部としての一意の ID。ID にはユーザー名、従業員 ID などがあります。
      注:
      要求では、リダイレクトとポストバインディングの両方がサポートされています。このフィールドを設定するオプションは、テスト接続が成功した後にのみ表示されます。詳細については、「IdP 接続のテスト」を参照してください。
      応答 応答の一部としての一意の ID。ID にはユーザー名、従業員 ID などがあります。
      注:
      応答では、リダイレクトとポストバインディングの両方がサポートされています。このフィールドを設定するオプションは、テスト接続が成功した後にのみ表示されます。詳細については、「IdP 接続のテスト」を参照してください。