SAML 認証を設定する

構築済みの IdP と Convi.BASE を連携し、SAML 認証を設定する手順を説明します。

SAML 認証とは

Security Assertion Markup Language(SAML)認証は、Identity Provider(IdP)に登録されたユーザーアカウントを使って、Convi.BASE にシングルサインオン(SSO)できる機能です。
SSO を導入すると、異なるサービスに 1 つのアカウントでログインできるようになります。
アカウントが一元化されるため、サービスによって異なる ID やパスワードを発行する必要がなく、情報システム部門においてアカウントを管理しやすくなります。

Convi.BASE の SAML 認証

Convi.BASE はサービスプロバイダー(SP)として動作し、SP-Initiated SSO に対応しています。

SAML 認証を利用するには、SAML 認証オプションの契約が必要です。
詳細はヘルプセンターにお問い合わせください。

接続できる IdP

Convi.BASE で SAML 認証を設定するには、SAML 2.0 に対応している IdP が必要です。
IdP の構築方法は、IdP を提供するベンダーにお問い合わせください。

SAML 認証を設定する

手順 1:IdP に Convi.BASE の情報を登録する

IdP に Convi.BASE の情報を直接入力する方法と、メタデータファイルを使って登録する方法があります。

方法1:Convi.BASE の情報を直接入力する

  1. [環境設定]をクリックします。
    画面キャプチャ:環境設定が枠線で囲まれている

  2. 「組織設定」セクションで、[SAML 認証]をクリックします。

  3. 「IdP(Identify Provider)側の設定」に記載されている情報に基づいて、IdP に Convi.BASE の情報を設定します。
    NameID には、Convi.BASE のログイン ID に使用している管理項目の項目名を設定します。

    画面キャプチャ:IdP に登録する情報が表示されている

    • 識別子(エンティティID)
      SP を一意に特定するための ID です。
    • 応答 URL
      SP のエンドポイント URL(ACS)です。

  4. 手順 2 に進みます。

方法2:メタデータファイルを使って登録する

  1. [環境設定]をクリックします。
    画面キャプチャ:環境設定が枠線で囲まれている

  2. 「組織設定」セクションで、[SAML 認証]をクリックします。

  3. [SP メタデータをダウンロード]をクリックします。
    画面キャプチャ:SP メタデータをダウンロードが枠線で囲まれている

  4. 出力されたメタデータファイル(XML 形式)を使って、IdP に Convi.BASE の情報を登録します。

  5. 手順 2 に進みます。

手順 2:Convi.BASE に IdP の情報を登録する

IdP の情報を直接入力する方法と、メタデータファイルを使って登録する方法があります。

方法1:Convi.BASE の情報を直接入力する

  1. 「SAML 認証を有効にする」のチェックボックスを選択します。
    画面キャプチャ:SAML 認証を有効にするが選択されている

  2. 「SSO エンドポイント URL」に、SAML リクエストの送信先を設定します。
    画面キャプチャ:SSO エンドポイント URL が枠線で囲まれている

  3. 「証明書」に、IdP が署名に使用する公開鍵の証明書ファイル(X.509)を添付します。
    画面キャプチャ:証明書が枠線で囲まれている

  4. [保存する]をクリックします。

    画面を閉じずに、手順3 に進んでください。

方法2:メタデータファイルを使って登録する

  1. IdP のメタデータファイル(XML 形式)を準備します。

  2. 「SAML 認証を有効にする」のチェックボックスを選択します。
    画面キャプチャ:SAML 認証を有効にするが選択されている

  3. [IdP メタデータをアップロード]をクリックして、IdP のメタデータファイルをアップロードします。
    画面キャプチャ:IdP メタデータをアップロードが枠線で囲まれている

  4. [保存する]をクリックします。

    画面を閉じずに、手順3 に進んでください。

手順 3:シングルサインオンでログインできることを確認する

  1. 別の Web ブラウザーを開き、Convi.BASE にアクセスします。

  2. [ログイン]をクリックします。
    画面キャプチャ:ログインが枠線で囲まれている

  3. ログイン後の画面が表示されることを確認します。

証明書を更新する

  1. [環境設定]をクリックします。
    画面キャプチャ:環境設定が枠線で囲まれている

  2. 「組織設定」セクションで、[SAML 認証]をクリックします。

  3. 「証明書」の[ファイルを選択]をクリックし、新しい証明書を指定します。 画面キャプチャ:ファイルを選択ボタンが枠線で囲まれている

  4. [保存する]をクリックします。

    画面を閉じずに、次の手順に進んでください。

  5. 別の Web ブラウザーを開き、Convi.BASE にアクセスします。

  6. [ログイン]をクリックします。
    画面キャプチャ:ログインが枠線で囲まれている

  7. ログイン後の画面が表示されることを確認します。

トラブルシューティング

SAML 認証の設定に失敗した場合の対処方法を説明します。

管理者が Convi.BASE にログインできなくなった

対処方法

一度 SAML 認証の設定を無効にして、再設定する必要があります。
ヘルプセンターに連絡してください。

特定のメンバーが Convi.BASE にログインできない

次のいずれかが原因です。

原因 1:IdP と Convi.BASE の両方にアカウントが存在していない

IdP と Convi.BASE の両方に、ログインするメンバーのアカウントが必要です。
たとえば、メンバーのアカウントが Convi.BASE に存在しない場合、ログインしようとすると次のようなメッセージが表示されます。 

ログインに失敗しました。ログイン ID に kobayashi-yuta@example.com を持つメンバーがメンバーテーブルに存在しません。
対処方法

IdP と Convi.BASE の両方にアカウントを作成してください。
メンバーを追加する(アカウントの追加)
IdP の NameID に該当する項目には、Convi.BASE のログイン ID を指定する必要があります。

原因 2:ログインしたメンバーに役割(権限)が割り当てられていない

Convi.BASE にログインするメンバーのアカウントには、役割を設定する必要があります。
役割が割り当てられていない場合、次のようなメッセージが表示されます。

CBERR-40006: 指定された操作に対する権限がありません。(jp.co.netreqs.cbee.core.service.OrganizationService#getCurrentMember)
対処方法

Convi.BASE にログインするメンバーのアカウントに、いずれかの役割を設定してください。
役割(権限)を割り当てる

IdP にログインしても Convi.BASE のログイン画面が表示される

IdP の応答 URL(Assertion Consumer Service URL;ACS URL)に、Convi.BASE のログイン URL が指定されています。

対処方法

「SAML 認証」画面の「IdP(Identify Provider)側の設定」で確認した「応答 URL (Assertion Consumer Service URL)」の値を、ACS URL に指定してください。
IdP が SP メタデータを使った設定に対応している場合には、SP メタデータを使って登録する方法をお勧めします。
方法2:メタデータファイルを使って登録する

results matching ""

    No results matching ""