メインコンテンツへスキップ

概要

Security Assertion Markup Language (SAML) 2.0 は、ID プロバイダー (IdP) とサービスプロバイダー (SP) の間で認証および認可データを交換するために使用されるオープンスタンダードです。組織で SAML SSO を有効にすると、ユーザーは個別のログイン認証情報を管理することなく、企業の ID プロバイダーを使用して認証できます。

SAML SSO の利点

  • セキュリティの強化: 企業の ID プロバイダーを通じて認証を 一元化できます
  • ユーザーエクスペリエンスの向上: 1 つの認証情報セットですべての企業アプリケーションにアクセスできます。
  • ユーザー管理の簡素化: ユーザープロビジョニングを 自動化できます

前提条件

SAML SSO を設定する前に、以下の要件を満たしていることを確認してください。
  • 管理者権限: 組織内の管理者権限が 必要です
  • ID プロバイダー権限: 組織の ID プロバイダー (IdP) 内でアプリケーションを設定する権限が 必要です
  • DNS アクセス権限: 検証目的で組織のメールドメインに TXT レコードを追加する権限が 必要です
image

設定プロセス

SAML 設定プロセスは、以下のステップに従います。 image

ステップ 1: メールドメインの検証

SAML を設定する前に、まず会社のメールドメインの所有権を検証して、検証済みドメインのメールアドレスを持つユーザーのみが組織の SSO を通じてログインできるようにする必要があります。 詳細な手順については、「ドメイン検証」をご参照ください。

ステップ 2: SAML 設定の作成

組織の SAML 設定を作成します。システムは SP 証明書とプライベートキーを自動的に生成します。
  1. 管理者は [Organization Settings] > [Security & Identity] に移動します。
  2. [SAML Configuration] をクリックします。
初期化後、Qoder は以下の情報を自動的に生成します。この情報は、ID プロバイダー (IdP) を 設定する際に 必要です。
  • SP エンティティ ID
  • SP メタデータ URL
  • SP ACS (アサーションコンシューマーサービス) URL
  • SP 証明書とプライベートキー
生成される SP 情報の例:
フィールド値の例
SP エンティティ IDhttps://qoder.com/saml/metadata/{org_id}
SP メタデータ URLhttps://qoder.com/saml/metadata/{org_id}
SP ACS URLhttps://qoder.com/sso/callback/saml/{org_id}
image

ステップ 3: ID プロバイダー (IdP) の設定

次の 2 つの方法のいずれかで IdP を 設定できます

方法 A: 自動設定 (推奨)

IdP がメタデータ URL を提供している場合は、この方法を使用して自動設定を行います。
  1. [SAML Configuration] ページで、[Identity Provider Metadata Configuration] セクションを見つけます。
  2. [Import from URL] 設定モードを選択します。
  3. IdP メタデータ URL を入力します (例: https://your-idp.example.com/app/metadata)。
  4. [Save] をクリックします。
システムは以下の情報を自動的に取得して解析します。
  • IdP エンティティ ID
  • SSO URL
  • 署名証明書

方法 B: 手動設定

IdP がメタデータ URL を提供していない場合は、以下の手順に従って手動で 設定します
  1. [SAML Configuration] ページで、[Manual Configuration] モードを選択します。
  2. 以下のフィールドに入力します。
    • IDP Entity ID: ID プロバイダーのエンティティ識別子。
    • IDP SSO URL: SSO ログインエンドポイント URL。
    • IDP Public Certificate: PEM 形式の署名証明書 (オプションですが推奨)。
  3. [Save] をクリックします。
image

ステップ 4: 属性マッピングの設定

SSO は自動ユーザープロビジョニングとマッピングをサポートしています。ID プロバイダー (IdP) からのユーザー属性とシステムフィールドの マッピング を設定する必要があります。
  1. [SAML Configuration] ページで、[Attribute Mapping] セクションまでスクロールします。
  2. 属性マッピングを設定します。
    • Email Attribute: ユーザーのメールアドレスに 対応する IdP の属性名。
    • Name Attribute: ユーザーの表示名に 対応する 属性名。
  3. [Save] をクリックします。

ステップ 5: 設定のテスト

有効化する前に、SAML 設定をテストして、すべての設定が正しいことを 確認してください
  1. [SAML Configuration] ページで、[Test SSO] ボタンをクリックします。
  2. システムは一連の検証チェックを実行します。
  3. テスト結果を確認します。
image

ステップ 6: SAML の有効化

テストに合格したら、SAML SSO を有効化できます。
  1. [SAML Configuration] ページで、すべてのテストチェックに合格していることを確認します。
  2. [Enable SSO] トグルをクリックします。
  3. 表示されるダイアログボックスで有効化を確認します。
有効化後:
  • SAML ステータスが [Active] に変更されます。
  • 組織メンバーは SAML SSO を使用してログインできるようになります。
  • 検証済みメールドメインを持つユーザーは、自動的に SAML SSO ログインにルーティングされます。
重要な推奨事項:SAML を有効化した後、現在の管理者は すぐにログアウトしないでください。代わりに、検証済みドメインの別のユーザーアカウントを使用して SSO ログインをテストし、設定を検証してください。これにより、SSO 設定に問題がある場合でも、管理者は設定にアクセスして調整を行うことができ、ロックアウトされることを回避できます。