メインコンテンツまでスキップ

SAML認証の設定

SAML認証の基本的な設定方法について説明します。

注記

Accel-Mart Quick上の操作は、「Accel-Mart Quick システム管理者」ロールを持つユーザで実施してください。

備考

各IdPとの具体的な連携方法の説明については以下のページを参照してください。

IdPにAccel-Mart Quickの情報を登録する

Accel-Mart QuickをSP(Service Provider)として設定するための情報をIdP(Identity Provider)に登録します。

Entity IDの設定

SPを一意に識別するためのIDとしてAccel-Mart QuickのベースURLを設定します。
https://ホスト名.accel-mart.com/imart を設定します。

注記

Entity IDはIdPによって以下のような別名で記述されている場合があります。

  • 「Identifier」
  • 「Audience」
  • 「エンティティID」
  • 「SP Entity ID」
  • 「SPエンティティID」

Assertion Consumer Service URLの設定

SAML Responseを受け取るURLです。

  • シングルサインオンの場合はそれぞれ以下を設定します。
    • HTTP-POSTバインディング: https://ホスト名.accel-mart.com/imart/saml/profile/sso_response/post
    • HTTP-REDIRECTバインディング: https://ホスト名.accel-mart.com/imart/saml/profile/sso_response/redirect
  • シングルログアウトの場合はそれぞれ以下を設定します。
    • HTTP-POSTバインディング: https://ホスト名.accel-mart.com/imart/saml/profile/slo_response/post
    • HTTP-REDIRECTバインディング: https://ホスト名.accel-mart.com/imart/saml/profile/slo_response/redirect
注記

Assertion Consumer Service URLはIdPによっては以下のような別名で記述されている場合があります。

  • 「Endpoint URL」
  • 「エンドポイントURL」
  • 「バインディングURL」
  • 「Reply URL」
  • 「ACS URL」

SAML Responseの署名の設定

Accel-Mart QuickではSAML Response全体かSAML Assertionのどちらかのデジタル署名を必須にしています。IdP側にてSAML Response全体またはSAML Assertionのデジタル署名を行うように設定してください。

注記

SAML Assertionの署名はIdPによっては以下のような別名で記述されている場合があります。

  • 「Sign assertions」
  • 「Assertion Signature」

IdPメタデータダウンロード

IdPの管理画面からSAML 2.0メタデータ形式のXMLをダウンロードします。

以下はIdPメタデータの例(抜粋)です。

<md:EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
     xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
     xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
     xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
     entityID="https://www.example.com/realms/myrealm">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:KeyDescriptor use="signing">
            . . . . .
    </md:IDPSSODescriptor>
</md:EntityDescriptor>

Accel-Mart QuickにIdPの情報を設定する

Accel-Mart QuickにIdPの情報を設定します。

  1. メニュー「管理」-「外部システム連携設定」-「SAML認証設定」-「Idp一覧」をクリックし、「IdP一覧」画面を表示します。

  2. 「IdP一覧」画面内の新規登録リンクをクリックし、「IdP新規作成」画面を表示します。

基本設定

SAML認証を行う上で必須の設定を行います。

項目名設定値
状態「有効」を選択するとログイン画面にSAML認証用のログインボタンが表示されます。
IdP名ログイン画面に表示されるSAML認証用のログインボタンのラベルを設定します。ロケールごとに表示を変更したい場合、ロケール情報のアコーディオンからそれぞれのロケールにラベルを設定してください
IdPメタデータIdPメタデータダウンロード」 でダウンロードしたIdPメタデータの内容を貼り付けます。

ログインボタン設定

ログイン画面に表示されるSAML認証用のログインボタンの装飾に関する設定を行います。

項目名設定値
ボタンカラーログイン画面に表示されるログインボタンの色を設定します。
ボタンアイコンログイン画面に表示されるログインボタンにアイコンを設定します。
ソート順ログイン画面に表示されるログインボタンの並び順を設定します。複数のIdPを登録した際に指定した順番の位置にログインボタンが表示されます。

高度な設定

SAML認証を行う上での応用的な設定を行います。

項目名設定値
ユーザコード取得方法SAML Assertionからユーザコードを取得する方法を選択します。NameID Formatの仕様に基づいてユーザコードを取得しない場合は「属性名を指定して取得する」を選択し、ユーザコードを取得するための属性名を指定します。
マッピング未検出対応SAML Assertionから取得したユーザコードに対してIdPとAccel-Mart Quickのユーザコード間のマッピングが存在しない場合の挙動を設定します。マッピングが存在しない際にログインエラーとして扱いたい場合は「エラーとする」を選択します。マッピングが存在しない際にIdP側のユーザコードとしてログインさせたい場合は「IdPのユーザコードでログインを試みる」を選択します。「IdPのユーザコードでログインを試みる」を選択した場合でもIdPのユーザコードと同一のユーザコードのユーザがAccel-Mart Quickに存在しない場合はログインエラーとして扱います。
(シングルサインオン)リクエスト送信時のデフォルトバインディングSAML Requestを送信する際のバインディングを選択します。
(シングルサインオン)署名処理SAML Requestに対してデジタル署名を行う場合に有効化します。有効化した場合は、「IdP一覧」画面の「SPメタデータダウンロード」のリンクからSPメタデータを取得し、IdP側にアップロードしてください。SPメタデータではなく証明書単位でのアップロードが必要なIdPについては「IdP一覧」画面の「証明書ダウンロード」リンクから証明書を取得し、IdP側にアップロードしてください。
(シングルサインオン)SAMLアサーション暗号化処理SAML Assertionに対して暗号化を行う場合に有効化します。有効化した場合は、「IdP一覧」画面の「SPメタデータダウンロード」のリンクからSPメタデータを取得し、IdP側にアップロードしてください。SPメタデータではなく証明書単位でのアップロードが必要なIdPについては「IdP一覧」画面の「証明書ダウンロード」リンクから証明書を取得し、IdP側にアップロードしてください。
(シングルサインオン)暗号化アルゴリズムSAML Assertionに対して暗号化を行う際の暗号化アルゴリズムを選択します。
シングルログアウトシングルログアウトを行う場合に有効化します。
(シングルログアウト)リクエスト送信時のデフォルトバインディングシングルログアウトのリクエストを送信する際のバインディングを選択します。
(シングルログアウト)署名処理シングルログアウトのリクエストに対してデジタル署名を行う場合に有効化します。有効化した場合は、「IdP一覧」画面の「SPメタデータダウンロード」のリンクからSPメタデータを取得し、IdP側にアップロードしてください。SPメタデータではなく証明書単位でのアップロードが必要なIdPについては「IdP一覧」画面の「証明書ダウンロード」リンクから証明書を取得し、IdP側にアップロードしてください。
(シングルログアウト)シングルログアウトリクエスト暗号化処理シングルログアウトのリクエストに対して暗号化を行う場合に有効化します。有効化した場合は、「IdP一覧」画面の「SPメタデータダウンロード」のリンクからSPメタデータを取得し、IdP側にアップロードしてください。SPメタデータではなく証明書単位でのアップロードが必要なIdPについては「IdP一覧」画面の「証明書ダウンロード」リンクから証明書を取得し、IdP側にアップロードしてください。
(シングルログアウト)デフォルト暗号化アルゴリズムシングルログアウトのリクエストに対して暗号化を行う際の暗号化アルゴリズムを選択します。

SAML認証の強制設定

ログイン画面に通常のログインフォームを表示せずSAML認証によるログインをユーザに強制したい場合に設定を行います。

  1. メニュー「管理」-「外部システム連携設定」-「SAML認証設定」-「SAML認証環境設定」をクリックし、「SAML認証環境設定」画面を表示します。

  2. 「SAML認証環境設定」画面内の「SAML認証をユーザに強制する」のチェックを有効化します。

    注意

    Accel-Mart Quickシステム管理者は、以下のURLへアクセスすることでSAML認証を回避してパスワード認証によりログインできます。
    https://ホスト名.accel-mart.com/imart/login?saml_disabled=true
    上記のURLは、SAML認証の設定に失敗した場合やIdPに障害が発生した場合に個社環境にログインできなくなってしまう状況を回避するためのもので、無効化できません。

SAMLユーザマッピング設定

IdPとAccel-Mart Quickのユーザコードの体系が異なる場合、IdPで認証したユーザがAccel-Mart Quickではどのユーザでログインするかをマッピングします。

SAMLユーザマッピング(1件ずつ)

  1. メニュー「管理」-「外部システム連携設定」-「SAML認証設定」-「SAMLユーザマッピング」をクリックし、「SAMLユーザマッピング」画面を表示します。

  2. 「SAMLユーザマッピング」画面の「新規作成」ボタンからマッピング情報を1件ずつ登録できます。

    項目名設定値
    IdPマッピングを登録したいIdPを選択します。
    IdPユーザIdP側のユーザコードを入力します。
    ユーザAccel-Mart Quickのユーザ(ユーザコード)を選択します。

SAMLユーザマッピングの一括インポート

「インポート」ボタンからはCSVファイルでマッピング情報を一括登録できます。
「エクスポート」ボタンから登録済みのマッピング情報をCSVファイルでダウンロードできます。

注記
  • 「インポートモード」に「全件削除してインポート」を選択した場合
    対象のIdPのマッピング情報を全て削除後、CSVファイルのマッピング情報を登録します。
  • 「インポートモード」に「更新モードでインポート」を選択した場合
    CSVファイル内のIdPユーザコードとAccel-Mart Quickのユーザコードのマッピング情報を削除後、CSVファイルのマッピング情報を登録します。

インポートするCSVのフォーマットは1列目にはIdPのユーザコード、2列目にはAccel-Mart Quickのユーザコードを指定します。ユーザコードにダブルコーテーションまたはカンマが含まれていればエスケープします。以下はCSVファイルの例です。

aoyagi@domainname,aoyagi
ikuta@domainname,ikuta
hayashi@domainname,hayashi
katayama@domainname,katayama
maruyama@domainname,maruyama
"sekine""domainname",sekine
"ueda,domainname",ueda