- 22 Feb 2024
- 印刷
- ダークライト
- PDF
SAML認証によるSSOについて
- 更新日 22 Feb 2024
- 印刷
- ダークライト
- PDF
概要
troccoにてSAML認証によるSSOを行う方法についてのヘルプページです。
SSOについて
Single Sign On(SSO)とは、1組のID・パスワードによる認証を一度行うだけで、複数のWebサービスやアプリケーションにログインできるようにする仕組みのことです。
SAML認証によるSSOは、有償オプションであるチーム機能をご契約いただいた場合にご利用いただけます。
トライアルを希望される場合や、ご契約を希望される場合は、営業担当者またはカスタマーサクセスまでお問い合わせください。
SSOを導入するメリット
以下のようなメリットが考えられます。
- 1組のID・パスワードを記録するだけでよいため、利便性が向上する。
- 利用するサービスの数だけパスワードを管理する必要性がなくなる。
- 社員ごとに利用可能なサービスを一括で管理できるため、管理者の負担が軽減する。
SAML認証について
troccoでは、SSOの認証方式としてSecurity Assertion Markup Language(SAML)方式を採用しています。
SAML方式では、認証情報を提供する側がIdentity Provider(IdP)、認証情報を利用する側がService Provider(SP)と定義されます。
以下では、IdP(Okta、Entra ID、Onelogin、GMOトラスト・ログインなど)とSP(trocco)に分けて、それぞれの設定手順を説明します。
troccoでは、SSOのログインフローとしてIdP Initiated SSOを採用しています。
SSOを利用してtroccoにログインする際は、IdP(Okta、Entra ID、Onelogin、GMOトラスト・ログインなど)側からログインしてください。
なお、GMOトラスト・ログインのIdP側の設定手順に関しては、trocco のSAML認証の設定方法よりご確認いただけます。
設定手順
事前準備
IdP側の設定を行う際に、troccoが指定するAssertion Consumer Service URL(ACS_URL)が必要となります。
ACS_URLは、troccoアカウントごとに異なります。
trocco画面右上のメールアドレス部分>アカウントセキュリティを順にクリックし、SAML認証を使用したSSO配下にあるURLを確認してください。
IdPにtroccoを登録する際、アプリロゴのアップロードが必要となることがあります。
troccoのロゴは、弊社ホームページからダウンロードできます。
IdP側の設定
大きく以下の3つの設定を行います。
- IdPに、troccoをSPとして登録する
- 登録したSP(trocco)に、ユーザーやグループをアサインする
- IdPメタデータを取得する
IdPにtroccoを登録する際に必要となる情報
以下は、IdPにtroccoをSPとして登録する際に必要となる情報です。
- Assertion Consumer Service URL(ACS_URL)
- 事前準備にて取得したACS_URLを指定します。
- SP Entity ID
https://trocco.io
を指定します。
- NameID Format
Email
(またはEmailAddress
)を指定します。
IdPによっては、入力項目名に別の名称が用いられることがあります。以下は代表的な例です。
- ACS_URL:Single sign on URL
- SP Entity ID:Audience URI
以下で、Oktaを例に設定手順を説明します。
STEP1 troccoをSPとして登録する
Oktaの管理画面のメニューから、Applications>Applicationsの順にクリックします。
Create App Integrationをクリックします。
SAML 2.0を選択し、Nextをクリックします。
General Settingsにて適宜設定を行い、Nextをクリックします。
- App Nameには
trocco
と入力してください。
- App Nameには
Configure SAMLにて適宜設定を行い、Nextをクリックします。
- IdPにtroccoを登録する際に必要となる情報を参照し、各設定値を指定してください。
- IdPにtroccoを登録する際に必要となる情報を参照し、各設定値を指定してください。
Feedbackに適宜回答し、Finishをクリックします。
STEP2 ユーザーやグループをアサインする
Assignments>Assignの順にクリックし、Assign to PeopleまたはAssign to Groupsから適宜アサインしてください。
STEP3 IdPメタデータを取得する
Sign On>View Setup Instructionsの順にクリックします。
表示された画面の下部にあるOptionalをクリックします。
Provide the following IDP metadata to your SP providerが表示されます。
表示されているメタデータを記録してください。
Entra ID(旧Azure AD)をご利用の場合は、サインオンURL、リレー状態、ログアウトURLの設定は不要です。
識別子および応答URLの設定を行ってください。
- 識別子
https://trocco.io/
を指定します。
- 応答URL
- 事前準備にて取得したACS_URLを指定します。
trocco(SP)側の設定
troccoにIdPメタデータを登録します。
trocco画面右上のメールアドレス部分>アカウントセキュリティを順にクリックし、SAML認証を使用したSSOから有効にするをクリックします。
STEP3 IdPメタデータを取得するで取得した値を入力し、保存をクリックします。
troccoへのログイン方法としてパスワード認証を無効にし、SSOのみを利用する場合は、SAML認証によるログインを必須にするを有効にしてください。
SAML認証の設定を行う前と同様に、ユーザーを招待できます。
ただしこの際に、IdPでアサインしたユーザーのメールアドレスとtroccoに追加するメールアドレスを必ず一致させてください。