エンタープライズ向けシングルサインオン(SSO)のサポート
当社のシングルサインオン(SSO)機能は、エンタープライズユーザー向けにセキュリティアサーションマークアップ言語(SAML)バージョン2を採用しています。これにより、既存の企業アカウント情報でログインできるため、dmarcianアカウントへのアクセスが迅速化され、管理すべきパスワードが1つ減ります。
当社のSSOを利用すれば、組織のセキュリティおよびアクセスポリシーを遵守しつつ、dmarcian上のすべてのアカウントに対するSSOアクセスとユーザー権限を一元的に管理できます。
SSOの設定の詳細に入る前に、まずは基本的な概念と用語について説明しましょう:
認証
認証とは、システム内でユーザーを識別する方法を指します。通常、これはログインプロセスを通じて行われます。従来、ユーザーは認証情報(ユーザー名とパスワード)を提供してアカウントを登録し、その後それらを使用してログインを行ってきました。
これまではこれで十分でしたが、やはり限界があります。 例えば、社内にdmarcianへのアクセス権を付与したい従業員が数名いる場合、どうすればよいでしょうか?以前は、その従業員たちをアカウントに新しいユーザーとして追加し、それぞれに個別の認証情報を設定するしか方法がありませんでした。ユーザーがさらに複雑なパスワードを覚えるのは不便なため、多くの場合、異なるアプリケーションへの登録で同じパスワードを使い回す傾向があります。その結果、ある認証情報が漏洩した場合、他のアカウントがハッキングされるリスクが高まってしまいます。
フェデレーテッド・アイデンティティ
フェデレーテッド・アイデンティティは、社内で利用するアプリケーションごとに異なる認証情報を持つというユーザーの課題を解決するのに役立ちます。各アプリケーションにユーザー認証情報を保存させる代わりに、企業は中央のアイデンティティ・インフラストラクチャ(アイデンティティ・プロバイダー、IdP)を利用し、サードパーティによる安全なユーザー認証を可能にすることができます。これが、Secure Assertion Markup Language(SAML)などのフェデレーテッド・プロトコルの誕生につながったのです。
このガイドでは、以下の用語を使用します:
- サービスプロバイダー(SP)とは、サービスを提供する事業体のことです――dmarcian。
- IDプロバイダー(IdP)とは、IDを提供するエンティティのことです。このチュートリアルではIdPとしてOktaを使用しますが、この手順はSAMLをサポートする他のどのオプションでも同様です。
- SAMLリクエスト(認証リクエストとも呼ばれる)とは、ユーザーがdmarcianにログインしようとする際に、dmarcianがIdPに送信するものです。
- ユーザー認証が成功すると、IdPによってSAMLレスポンスが生成されます。このレスポンスには、認証されたユーザーに関する情報(例えばメールアドレスなど)が含まれています。このレスポンスはdmarcianに送信され、認証されたユーザーが誰であるかが通知されることで、アクセスが許可されます。
基本的な準備が整ったところで、いよいよ実践に移りましょう。SSOを設定してみましょう!
SSOの設定方法
この手順では、IdPとしてOktaを使用しますが、他のIdPを使用する場合も手順はほぼ同様です。Microsoft Office 365(Azure AD)固有の設定手順については、こちらをご覧ください。
ステップ 1 – IdP に dmarcian を追加する
dmarcianにログインし、画面右上の「ユーザープロフィール」に移動して、「設定」を選択してください。新しいSAMLシングルサインオン設定ページが表示されます。ここでは、SSOがデフォルトで無効になっていますので、有効にしてください。
Oktaにdmarcianをサービスプロバイダーとして追加する際、SSO設定ページからいくつかの情報をコピーする必要があるため、そのページは開いたままにしておいてください。
以下の重要な注意事項に従い、この公式ガイドに従ってOktaにdmarcianを追加してください:
手順 8 では、Assertion Consumer Service の URL を「シングルサインオン URL」として、Entity ID を「オーディエンス URI(SP Entity ID)」として貼り付けます。
ステップ9では、少なくともユーザーのメールアドレスを属性ステートメントとして追加することを忘れないでください。また、入力した名前を必ず保存してください。後でdmarcianでSSOを設定する際に必要になります。
手順11(IDプロバイダーのメタデータファイルをダウンロードして保存する)では、このファイルも必要になります。
ステップ 2 – dmarcian で認証を設定し、ログイン URL を変更する
素晴らしい!OktaでdmarcianをSPとして認識するように設定できたので、次はdmarcian側の認証プロセスを設定しましょう。あと少しです。次の手順に従ってください。
dmarcianの SAML シングルサインオン設定ページに戻ってください(前の手順でページを開いたままにしておきました)。
IdPのメタデータファイルを直接アップロードしてください。また、Oktaで設定したメール属性のステートメント名も必ず入力してください。
御社のユーザーがdmarcianにログインする際に使用するログインURLを変更してください(任意。URLの形式を特に指定しない場合は、デフォルト値が設定されます)。
「保存」をクリックしてください。エラーがなければ、SSOの設定は完了です!
オプション設定:すべてのユーザーにSSOを必須とする。デフォルトでは、SSOが有効になっている場合でも、アカウント所有者と管理者はユーザー名とパスワードを使用してログインできます。このオプションを有効にすると、すべてのユーザーにSSOログインが必須となります。
ステップ3 – ユーザーを追加し、アクセス制御を設定し、ユーザーにログインURLを通知する
認証プロセスの設定は完了しましたが、IdP経由でdmarcianにログインできるユーザーを追加する必要があります。これは、どのユーザーがアプリケーションを利用できるかを完全に管理できるよう、当社が採用した厳格なポリシーです。
「設定の管理」→「ユーザー管理」に移動して、ユーザーリストを整理してください。
「設定の管理」→「アクセス制御」に移動し、各ユーザーがdmarcianで実行できる操作を設定してください。
おめでとうございます!
シングルサインオンの設定が完了しました!
Microsoft Office 365(Azure AD)でのdmarcian SSOの設定
当社のSSOはAzure Marketplaceでアプリとして提供されており、ここから直接セットアップできます。
注:このチュートリアルでは、アプリの全体的な統合について説明しており、すべてのリージョンのURLが記載されています。設定を行う際は、必ず適切なインスタンスのURLを使用してください。
この会話を続けたいですか?dmarcianフォーラムへどうぞ
