SAML 2.0 を使用した SSO(シングル・サイン・オン)の検証・有効化の手順をご紹介します。
以下の IdP で検証しヘルプページをご用意しておりますが、ここにない IdP でも SAML 2.0 に対応していれば登録することができます。下記の手順をご確認ください。
▷Google Workspace
▷Microsoft Entra ID (旧 Azure AD)
▷Okta
▷OneLogin
IDプロバイダ(IdP)の登録の手順
以下では IdP によらない一般的な流れを説明します。
1. IdP に TUNAG の情報を登録
TUNAGのSSO設定ページの「エンティティID」と「ACSターゲットURL」を IdP 側に登録します。
SLO(シングル・ログアウト)をご利用の場合は「SLOターゲットURL」もIdP側に登録してください。
※SLOについては、IdPによってSLO機能自体が存在していない、もしくは機能は存在しているがTUNAGではご利用できない場合がございます。詳しくは各IdPごとのヘルプをご覧ください。
登録後、メタデータファイル(XML形式)をダウンロードします。
2. TUNAG に IdP の情報を登録
メールアドレスのドメインと先程ダウンロードしたメタデータをアップロードし、画面下部の「登録」をクリックします。
※メタデータファイルを利用する場合は、残りのフォームへの入力は不要です。
※メタデータファイルを利用した場合、「SLOターゲットURL」に値が登録されることがあります。SLOの利用を希望しない場合は、再度編集を行って記載された内容を削除をしてください。
SSO の有効化
動作検証
IdP の登録後、SSO の動作検証をします。
1. 「指定したユーザーのみ有効にする」にチェックを入れて「更新」をクリックします
2. サイドバーから「ユーザー」→「ユーザー一覧」をクリックします
ログイン方法を変えたいユーザーを検索し、「編集」をクリックします。
3. 下までスクロールし、「SSOテストログインの対象にする」にチェックを入れて「更新」をクリックします
※この項目はSSO設定ページにて「指定したユーザーのみ有効にする」にチェックが入っているときのみ表示されます
4. テストログインの対象になったユーザーで、SSO によるログインが成功するか確認してください
TUNAG のログイン画面でメールアドレスを入力した後、以下のような挙動になれば正常に動作しています。
・IdP にログイン済みの場合、そのまま TUNAG のタイムラインに遷移
・IdP にログインしていない場合、IdP のログイン画面に遷移し、IdP でのログインが成功すると TUANG のタイムラインに遷移
|モバイルアプリでのみログインできないとき
モバイルアプリから IdP にログインする際にクライアント証明書が必要な場合、TUNAG のアプリ内からはクライアント証明書を参照できないためログインができません。
TUNAG の SSO 設定にて外部認証を有効化することで、SSO 時に外部ブラウザを起動し、外部ブラウザにて IdP の認証を行うことができるようになります。
SSO の有効化
上記手順で検証が完了したら、ユーザー全体に対してSSOを有効化します。
「すべてのユーザーで有効にする」にチェックを入れて「更新」をクリックします。これにより、すべてのユーザーで SSO ログインが有効になります。
|一部のユーザーにのみパスワード認証を許可したい場合
「パスワード認証を許可する」にチェックを入れることで、特定のユーザーのみパスワードによる認証を利用できるようになります。ユーザー編集画面にて「認証方法」の項目で「パスワード認証」を選択し、「更新」をクリックします。
SLO(シングルログアウト)の有効化
「IdP情報」の「SLOターゲットURL」に値が設定されている、かつSSOが有効化された状態であれば自動的にSLOも適用されます。
|動作検証
SSOによりログインした状態で、TUNAGのログアウト操作を行い、その後SSOによるログイン操作を行ってください
この際、IdP側のログイン画面が表示されていればSLOの設定が正常に動作しています。
|SLOについての注意事項
SLOは『Microsoft Entra ID (旧 Azure AD)』および『One Login』のみ設定することができます。