Duo Central - SAML認証

本記事では、OneLoginからDuo CentralへのSAML シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

注意事項

SAML連携の設定手順

1. Duo側の設定（前半）

2. OneLogin側の設定

3. Duo側の設定（後半）

SAML SSOの動作確認

SAML SSOの無効化

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• DuoのRoleがOwnerの管理者アカウントをお持ちであること
• DuoのユーザーアカウントのUsernameが、OneLoginのアカウントに登録しているEmailアドレスであること

注意事項

• Duo CentralへSSOを行う場合、OneLoginのアプリポリシーとは関係なく、パスワード以外の認証要素を使用した二要素認証が求められます。そのため、エンドユーザーがDuo Centralへ初回ログインする際は新たな認証要素の登録をお願いいたします。
  

SAML連携の設定手順

1. Duo側の設定（前半）

1. 管理者アカウントでDuoの管理画面にログインし、［Single Sign-On］をクリックします
   
   
    
2. Duoの規約を確認したのち、チェックボックスをクリックしてチェックマークを入れ、［Active and Start Setup］をクリックします
   
   
    
3. ［Duo Central］をクリックします
   
   
    
4. ［Get Started］をクリックします
   
   
    
5. ［Activate Now］をクリックします
   
   
    
6. トグルボタンをクリックして Duo Central の Status を Online にします
   
   
    
7. 赤枠で囲ったURLをクリップボードへコピーします
   
   
    
8. ［Single Sign-On］をクリックします
   
   
    
9. ［Add SAML Identity Provider］をクリックします
   
   
    
10. Successfully added SAML identity provider と表示されることを確認します
    
    
     
11. Entity ID と Assertion Consumer Service URL をクリップボードへコピーします
    

2. OneLogin側の設定

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. SAML Custom Connector (Advanced) を検索し、選択します
   
   
    
5. 任意の Display Name を入力し、［Save］をクリックします
   例）Duo Central
   
   
    
6. Configuration タブに移動し、1. Duo側の設定（前半）手順11 でコピーした各値を貼り付けます
   例）
   Entity ID: https://sso-xxxxxxxx.sso.duosecurity.com/saml2/idp/XXXXXXXXXXXXXXXXXXXX/metadata , Assertion Consumer Service URL: https://sso-xxxxxxxx.sso.duosecurity.com/saml2/idp/XXXXXXXXXXXXXXXXXXXX/acs の場合
   
   
    
7. Login URL に 1. Duo側の設定（前半）手順7 でコピーした値を貼り付け、SAML initiator を Service Provider に変更します
   
   
    
8. SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
   
    
9. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
   
   
    
10. SSO タブに移動し、Issuer URL、SAML 2.0 Endpoint (HTTP)、SLO Endpoint (HTTP) をクリップボードへコピーします
    
    
     
11. View Details をクリックします
    
    
     
12. ［Download］をクリックします
    

3. Duo側の設定（後半）

1. Duo に管理者としてログインし、Single Sign-On をクリックします
   
   
    
2. ［SAML Identity Provider］をクリックします
   
   
    

3. 下記表を参考に設定を行い、［Save］をクリックします

   項目	内容
   Display Name	OneLogin
   Entity ID	2. OneLogin側の設定 手順10 でコピーしたIssuer URL
   Single Sign-On URL	2. OneLogin側の設定 手順10 でコピーしたSAML 2.0 Endpoint (HTTP)
   Single Logout URL	2. OneLogin側の設定 手順10 でコピーしたSLO Endpoint (HTTP)
   Logout Redirect URL	OneLoginのポータル画面URL 例）https://{subdomain}.onelogin.com/portal
   Certificate	2. OneLogin側の設定 手順12 でダウンロードしたPEMファイル
   Username normalization	None

   
   
   
    

4. Successfully saved. と表示されることを確認します
   

SAML連携の設定は以上です。

SAML SSOの動作確認

1. ブラウザで手順1.7でコピーしたURLにアクセスします。OneLoginのログイン画面が表示されるので、Duo CentralにSSOしたいアカウントでログインします。
   
   
    
2. 事前に設定した認証要素で2段階認証を行います
   
   
    
3. ［はい、これは私のデバイスです］をクリックします
   
   
    
4. Duo Centralにログインできることを確認します
   

SAML SSOの無効化

1. Duoに管理者アカウントでログインし、［Single Sign-On］をクリックします
   
   
    
2. ［OneLogin］をクリックします
   
   
    
3. ［Disable Source］をクリックします
   
   
    
4. ［Yes, disable this source］をクリックします
   
   
    
5. Status が Disable になっていることを確認します
   

SAML SSOの無効化は以上です。