SAML認証によるSSOについて

概要

troccoにてSAML認証によるSSOを行う方法についてのヘルプページです。

SSOについて

Single Sign On（SSO）とは、1組のID・パスワードによる認証を一度行うだけで、複数のWebサービスやアプリケーションにログインできるようにする仕組みのことです。
SSOを導入することで以下のようなメリットが考えれらます。

• 1組のID・パスワードを覚えるだけで良いため利便性が向上する。
• 利用するサービスの数だけ強力なパスワードを管理する手間がなくなる。
• 社員ごとに利用可能なサービスを一括で管理できるため、管理者の負担が軽減する。

SSOの認証方式にはいくつかありますが、troccoではSecurity Assertion Markup Language（SAML）方式を採用しています。SAML方式において、認証情報を提供する側（Onelogin、Okta、Azure ADなど）をIdentity Provider（IdP）、認証情報を利用する側（trocco）をService Provider（SP）と言います。

設定手順

IdP側の設定

IdPにSPとしてtroccoを登録します。登録の際には以下の情報を利用してください。

• Assertion Consumer Service（ACS）URL
  設定値はアカウントごとに異なります。troccoの管理 → セキュリティ → SAML認証を用いたSSOからご確認ください。

• SP Entity ID
  https://trocco.ioを設定してください。

• NameID Format
  Emailを設定してください。なお、本機能を利用するにはIdPとSPでユーザーのメールアドレスを一致させる必要があります。

上記を登録した後、必要なユーザーやグループをアサインします。

例）Oktaの場合

1. アプリケーションの追加
   Oktaの管理画面のメニューから、Applications → Applicationsと順にクリックします。

Create App Integrationをクリックしてください。

SAML 2.0を選択し、Nextをクリックしてください。

2. General Settings
   App Nameには「trocco」等の名称を入力してください。必要に応じてその他項目を設定してください。

なお、troccoのロゴはこちらからダウンロードできます。

3. Configure SAML
   Single sign on URLの設定値はアカウントごとに異なります。troccoの管理 → セキュリティ → SAML認証を用いたSSからご確認ください。

Audience URI (SP Entity ID) にはhttps://trocco.ioを、Name ID formatにはEmailAddressを設定してください。

4. Feedback
   Feedbackに回答し、Finishをクリックします。

5. ユーザ・グループのアサイン
   Assignments → Assignと順にクリックし、Assign to PeopleまたはAssign to Groupsをクリックすることで作成したアプリをユーザーやグループへアサインできます。

6. メタデータの取得
   Sign On → View Setup Instructionsと順にクリックします。

表示された画面の下部にあるOptional → Provide the following IDP metadata to your SP providerに表示されているメタデータをコピーし、troccoの管理画面に貼り付けます。

例）Azure ADの場合

Azure ADにて、識別子および応答URLの設定を行ってください。
サインオンURL、リレー状態、ログアウトURLの設定は不要となっております。

識別子

https://trocco.io/をご利用ください。

応答URL

trocco上の「SAML認証を用いたSSO」に表示されるURLをご利用ください。
SAML認証を用いたSSOは、troccoのトップページより、設定＞セキュリティの順でクリックすることで表示できます。

SP側の設定

troccoにIdPを登録します。設定 → セキュリティ → SAML認証を用いたSSOの有効にするを押下することで登録画面に進みます。登録にはIdP側で生成されたメタデータを使用します。
troccoへのログイン方法としてパスワード認証を無効にし、SSOのみを利用する場合にはログイン設定のチェックボックスをONにしてください。

ユーザ追加手順

今まで通り管理 → アカウント・ユーザー → ユーザー招待からユーザを追加できます。

この際、IdPでアサインしたユーザのメールアドレスとtroccoに追加するメールアドレスを必ず一致させてください。