SAML認証によるSSOについて
  • 21 May 2024
  • PDF

SAML認証によるSSOについて

  • PDF

Article Summary

概要

TROCCOにてSAML認証によるSSOを行う方法についてのヘルプページです。

SSOについて

Single Sign On(SSO)とは、1組のID・パスワードによる認証を一度行うだけで、複数のWebサービスやアプリケーションにログインできるようにする仕組みのことです。

プラン上の制約

SAML認証によるSSOは、Essentialプラン以上の契約アカウントでのみ、ご利用いただけます。

SSOを導入するメリット

以下のようなメリットが考えられます。

  • 1組のID・パスワードを記録するだけでよいため、利便性が向上する。
  • 利用するサービスの数だけパスワードを管理する必要性がなくなる。
  • 社員ごとに利用可能なサービスを一括で管理できるため、管理者の負担が軽減する。

SAML認証について

TROCCOでは、SSOの認証方式としてSecurity Assertion Markup Language(SAML)方式を採用しています。
SAML方式では、認証情報を提供する側がIdentity Provider(IdP)、認証情報を利用する側がService Provider(SP)と定義されます。
以下では、IdP(Okta、Entra ID、Onelogin、GMOトラスト・ログインなど)とSP(TROCCO)に分けて、それぞれの設定手順を説明します。

SSOのログインフロー

TROCCOでは、SSOのログインフローとしてIdP Initiated SSOを採用しています。
SSOを利用してTROCCOにログインする際は、IdP(Okta、Entra ID、Onelogin、GMOトラスト・ログインなど)側からログインしてください。

なお、GMOトラスト・ログインのIdP側の設定手順に関しては、TROCCO のSAML認証の設定方法よりご確認いただけます。

設定手順

事前準備

IdP側の設定を行う際に、TROCCOが指定するAssertion Consumer Service URL(ACS_URL)が必要となります。
ACS_URLは、TROCCOアカウントごとに異なります。
TROCCO画面右上のメールアドレス部分>アカウントセキュリティを順にクリックし、SAML認証を使用したSSO配下にあるURLを確認してください。

saml-authentication-sso-001.png

TROCCOロゴの取得方法

IdPにTROCCOを登録する際、アプリロゴのアップロードが必要となることがあります。
TROCCOのロゴは、弊社ホームページからダウンロードできます。

IdP側の設定

大きく以下の3つの設定を行います。

  1. IdPに、TROCCOをSPとして登録する
  2. 登録したSP(TROCCO)に、ユーザーやグループをアサインする
  3. IdPメタデータを取得する

IdPにTROCCOを登録する際に必要となる情報

以下は、IdPにTROCCOをSPとして登録する際に必要となる情報です。

  • Assertion Consumer Service URL(ACS_URL)
  • SP Entity ID
    • https://trocco.ioを指定します。
  • NameID Format
    • Email(またはEmailAddress)を指定します。
入力項目名について

IdPによっては、入力項目名に別の名称が用いられることがあります。以下は代表的な例です。

  • ACS_URL:Single sign on URL
  • SP Entity ID:Audience URI

以下で、Oktaを例に設定手順を説明します。

STEP1 TROCCOをSPとして登録する

  1. Oktaの管理画面のメニューから、ApplicationsApplicationsの順にクリックします。
    image.png

  2. Create App Integrationをクリックします。
    image.png

  3. SAML 2.0を選択し、Nextをクリックします。
    image.png

  4. General Settingsにて適宜設定を行い、Nextをクリックします。

    • App Nameにはtroccoと入力してください。
      image.png
  5. Configure SAMLにて適宜設定を行い、Nextをクリックします。

  6. Feedbackに適宜回答し、Finishをクリックします。
    image.png

STEP2 ユーザーやグループをアサインする

AssignmentsAssignの順にクリックし、Assign to PeopleまたはAssign to Groupsから適宜アサインしてください。
image.png

STEP3 IdPメタデータを取得する

  1. Sign OnView Setup Instructionsの順にクリックします。
    image.png

  2. 表示された画面の下部にあるOptionalをクリックします。
    Provide the following IDP metadata to your SP providerが表示されます。
    表示されているメタデータを記録してください。

Entra ID(旧Azure AD)をご利用の場合

Entra ID(旧Azure AD)をご利用の場合は、サインオンURL、リレー状態、ログアウトURLの設定は不要です。
識別子および応答URLの設定を行ってください。

  • 識別子
    • https://trocco.io/を指定します。
  • 応答URL

TROCCO(SP)側の設定

TROCCOにIdPメタデータを登録します。

  1. TROCCO画面右上のメールアドレス部分>アカウントセキュリティを順にクリックし、SAML認証を使用したSSOから有効にするをクリックします。
    saml-authentication-sso-002.png

  2. STEP3 IdPメタデータを取得するで取得した値を入力し、保存をクリックします。
    002-p.png

ログイン方法としてパスワード認証を無効にしたい場合

TROCCOへのログイン方法としてパスワード認証を無効にし、SSOのみを利用する場合は、SAML認証によるログインを必須にするを有効にしてください。

ユーザーの追加方法について

SAML認証の設定を行う前と同様に、ユーザーを招待できます。
ただしこの際に、IdPでアサインしたユーザーのメールアドレスとTROCCOに追加するメールアドレスを必ず一致させてください。


この記事は役に立ちましたか?