メインコンテンツへスキップ

Salesforce SSO時のMFA必須化に対するOneLoginの修正対応(6月25日更新)

ApplicationsにないSAMLアプリを自作する

ペンティオ サポート担当者
  • 作成日
  • 更新日

本記事では、OneLoginのSAMLカスタムコネクタを使用し、組織独自の内部アプリケーションなど Applicationsカタログ に掲載されていないアプリへのSAML シングルサインオン(SSO)の設定手順をご案内します。本コネクタは、多様な設定オプションを細かく調整することにより、独自の認証要件を満たすことが可能です。

本記事でご紹介する SAML Custom Connector (Advanced) は汎用的なコネクタではございますが、全てのサービスにおいて確実な動作を保証するものではございません

また、SAML SSOに対応している一部のサービスでは、SAML認証を有効にするとパスワードによるログインができなくなる場合がございます。設定に不備がある状態でSAML SSOを有効にするとサービスにログインできなくなる可能性があるため、ご注意ください。サービスからロックアウトされた場合の補償はいたしかねます

ご自身での構築が困難な場合は、ペンティオヘルプセンター リクエストを送信 をご利用ください。

 

目次

前提条件

OneLogin SAMLカスタムコネクタの設定

1. OneLoginが主導(IdP-Initiated SSO)の場合

2. SSO先のSPが主導(SP-Initiated SSO)の場合

SAML SSOの動作確認

 

前提条件

  • OneLoginのライセンスが StarterEnterpriseUnlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
  • OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること

 

OneLogin SAMLカスタムコネクタの設定

1. OneLoginが主導(IdP-Initiated SSO)の場合

  1. OneLoginに管理者でログインし、[管理]をクリックします
    OneLoginに管理者でログインし、管理をクリックします

     
  2. Applications メニューから[Applications]を選択します
    ApplicationsメニューからApplicationsを選択します

     
  3. Add App]をクリックします
    Add Appボタンをクリックします

     
  4. SAML Custom Connector (Advanced) と検索し、該当コネクタを選択します


     
  5. 任意の Display Name を入力します


     
  6. 任意のアイコンをアップロードし、[Save]をクリックします


     
  7. Configuration タブに移動し、任意の RelayState を入力します
    *OneLoginのユーザーポータルから(IdP-Initiated)ではなく、SSO先のSPから(SP-Initiated)開始する一部のワークフローでは、SPがSAMLリクエストにRelayStateパラメータを含める場合があり、その場合はここで入力された値が上書きされることがあります。


     
  8. 任意の Audience (EntityID) を入力します


     
  9. SPがACS URLと照合するSAMLアサーションの受信先となるエンドポイントURL、Recipient を入力します


     
  10. OneLoginがSAMLレスポンスを正しいURLに送信するための正規表現、ACS (Consumer) URL Validator* を入力します


     
  11. SPによる処理のためOneLoginがSAMLレスポンスをPOSTすべきURL、ACS (Consumer) URL* を入力します


     
  12. Parameters タブに移動し、NameID value フィールドを選択します


     
  13. NameIDにマッピングする任意の Value を選択し、[Save]をクリックします
    *カスタムユーザーフィールドを利用するには、OneLoginのライセンスが Unlimited または Advanced, Professional(新料金体系)のいずれかである必要があります。


     
  14. add parameter[+]をクリックし、SAMLアサーションに渡す任意の属性を追加します


     
  15. SSO タブに移動し、SAML Signature AlgorithmSHA-256 に変更します


     
  16. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします

 

2. SSO先のSPが主導(SP-Initiated SSO)の場合

  1. 1. OneLoginが主導(IdP-Initiated SSO)の場合 における全ての手順を完了します
     
  2. Configuration タブに移動し、SPの Login URL を入力します


     
  3. SAML initiatorService Provider に変更し、[Save]をクリックします

 

OneLogin SAMLカスタムコネクタの設定は以上です。

 

SAML SSOの動作確認

  1. プロファイルメニュー > ログアウト を選択します


     
  2. OneLoginに設定したコネクタを割り当てたテストユーザーでログインします


     
  3. 設定した Display Name または Discription で検索し、該当コネクタを選択します


     
  4. 下記のいずれかのフローでSSOされることを確認します
    • OneLoginが主導(IdP-Initiated SSO)の場合: SPに遷移し、SAML認証が完了します
    • SSO先のSPが主導(SP-Initiated SSO)の場合:
      1. 2. SSO先のSPが主導(SP-Initiated SSO)の場合 で設定したSPのログインURLに遷移します
      2. メールアドレスを入力するとSAML認証が完了します

 

SAML SSOの動作確認は以上です。

関連記事

運営会社: ペンティオ株式会社サービス利用規程

CONFIDENTIAL

当ウェブサイトに掲載されている情報は一般公開されているコンテンツを除き、当社の承諾なくご契約者様以外への開示・転送・転載することはできません