4.5. PingFederate
PingFederate をIdP としてSAML 認証を行うための設定例を説明します。
PingFederate の初期設定が完了していること
PingFederate が使用する証明書を登録していること
以下の説明では署名アルゴリズムが「RSA SHA256」の証明書を前提として説明します。
PingFederate のアダプタを登録していること
以下の説明ではLDAP(Active Directory) 連携するアダプタを前提として説明します。
PingFederate の管理者でログインしてPingFederate のメタデータをダウンロードします。
「Server Configuration」→「Metadata Export」からダウンロード可能です。
注意
この時点でダウンロードしたメタデータは intra-mart Accel Platform で対応できない情報を含んだテンプレートです。
IdP 新規作成およびPingFederate に intra-mart Accel Platform 登録完了後、メタデータを再ダウンロードしてIdP 情報を更新します。
IdP 新規登録画面からPingFederate を以下の設定で新規登録します。
記載のない項目はIdP の設定に応じて変更してください。
IdP 新規登録時の設定例
|
|
|
PingFederate からダウンロードしたメタデータの内容
|
|
|
|
|
|
|
|
|
|
|
|
|
コラム
PingFederate に intra-mart Accel Platform を登録する場合、署名処理の設定に関わらず証明書情報を求められます。
署名しない場合も証明書情報を登録してください。
IdP新規登録後、IdP 一覧画面からメタデータをダウンロードします。
PingFederate の管理者でログインして intra-mart Accel Platform を登録します。
「IdP Configuration」→「SP CONNECTIONS」→「Create New」から登録可能です。
SP Connection の設定例
|
|
|
|
|
ダウンロードした intra-mart Accel Platform のメタデータをインポート
|
|
|
Browser SSO の設定例
|
SP-INITIATED SSO, SP-INITIATED SLO, IDP-INITIATED SSO
|
|
|
Assertion Creation の設定例
|
|
|
|
Authentication Source Mapping
|
|
IdP Adapter Mapping の設定例
|
|
|
USE ONLY THE ADAPTER CONTRACT VALUES IN THE SAML ASSERTION
|
Attribute Contract Fulfillment
|
Attribute Contract:SAML_SUBJECT
Source:Adapter
Value:username
|
|
|
Protocol Settings の設定例
Assertion Consumer Service URL
|
|
|
|
|
|
|
|
|
|
Credentials の設定例
Digital Signature Settings
|
SIGNING CERTIFICATE:事前に登録した証明書
SIGNING ALGORITHM:RSA SHA256
|
Signature Verification Settings
|
|
Activation & Summary の設定例
|
|
PingFederate のメタデータをダウンロードします。
「IdP Configuration」→「SP CONNECTIONS」→「Export Metadata」からダウンロード可能です。
改めてダウンロードしたメタデータの内容を「IdPメタデータ」に貼り付けて更新します。
テナント管理者でログインしてSAMLユーザマッピング(管理)画面から intra-mart Accel Platform のユーザコードとPingFederate のユーザ名をマッピングしてください。
コラム
LDAP(Active Directory)連携アダプタを使用する場合
PingFederate のログイン画面でユーザ名を「Administrator」と入力したとするとレスポンスにも「Administrator」が返却されます。
上記設定が完了すると intra-mart Accel Platform の一般ユーザログイン画面にPingFederate のログイン画面に遷移するボタンが表示されます。
ボタンを押下してPingFederate のログイン画面でログインすると intra-mart Accel Platform にログインします。
IdPの設定を更新して intra-mart Accel Platform のメタデータに変更があった場合はPingFederate に再登録する必要があります。
intra-mart Accel Platform のSAML 認証は「IDP-INITIATED SLO」に対応していません。
「SAML Profiles」設定時にはチェックをはずしてください。
intra-mart Accel Platform のSAML 認証は「ARTIFACT」、「SOAP」バインディングに対応していません。
「Allowable SAML Bindings」設定時にはチェックをはずしてください。
intra-mart Accel Platform のSAML 認証は署名アルゴリズム「EC」に対応していません。
署名アルゴリズム「RSA」を選択してください。
intra-mart Accel Platform のSAML 認証は署名アルゴリズム「RSA」のうち「RSA SHA384」、「RSA SHA512」に対応していません。
「RSA SHA1」または「RSA SHA256」を選択してください。