intra-mart Accel Platform SAML認証セットアップガイド 第6版 2022-06-01

4.5. PingFederate

PingFederate をIdP としてSAML 認証を行うための設定例を説明します。

4.5.1. バージョン

以下のバージョンを前提として説明します。

  • PingFederate Ver 8.x.x

4.5.2. 前提条件

  • PingFederate の初期設定が完了していること
  • PingFederate が使用する証明書を登録していること
    以下の説明では署名アルゴリズムが「RSA SHA256」の証明書を前提として説明します。
  • PingFederate のアダプタを登録していること
    以下の説明ではLDAP(Active Directory) 連携するアダプタを前提として説明します。

4.5.3. 設定方法

4.5.3.1. PingFederate のメタデータ(テンプレート)をダウンロード

  • PingFederate の管理者でログインしてPingFederate のメタデータをダウンロードします。
    「Server Configuration」→「Metadata Export」からダウンロード可能です。

    注意

    • この時点でダウンロードしたメタデータは intra-mart Accel Platform で対応できない情報を含んだテンプレートです。
      IdP 新規作成およびPingFederate に intra-mart Accel Platform 登録完了後、メタデータを再ダウンロードしてIdP 情報を更新します。

4.5.3.2. intra-mart Accel Platform にPingFederate を登録

IdP 新規登録画面からPingFederate を以下の設定で新規登録します。
記載のない項目はIdP の設定に応じて変更してください。
IdP 新規登録時の設定例
状態
有効
IdPメタデータ
PingFederate からダウンロードしたメタデータの内容
ユーザコード取得方法
要素(NameID)から取得する
シングルサインオン
有効
証明書設定
署名と暗号化で同じ証明書を使用する
証明書
証明書情報の内容
秘密鍵のパスフレーズ
秘密鍵のパスフレーズ
秘密鍵
秘密鍵情報の内容

コラム

  • PingFederate に intra-mart Accel Platform を登録する場合、署名処理の設定に関わらず証明書情報を求められます。
    署名しない場合も証明書情報を登録してください。

4.5.3.3. intra-mart Accel Platform のメタデータをダウンロード

IdP新規登録後、IdP 一覧画面からメタデータをダウンロードします。

4.5.3.4. PingFederate に intra-mart Accel Platform を登録

PingFederate の管理者でログインして intra-mart Accel Platform を登録します。
「IdP Configuration」→「SP CONNECTIONS」→「Create New」から登録可能です。
SP Connection の設定例
Connection Type
BROWSER SSO PROFILES
Connection Options
BROWSER SSO
Import Metadata
ダウンロードした intra-mart Accel Platform のメタデータをインポート
General Info
初期入力されている値

Browser SSO の設定例
SAML Profiles
SP-INITIATED SSO, SP-INITIATED SLO, IDP-INITIATED SSO
Assertion Lifetime
初期入力されている値

Assertion Creation の設定例
Identity Mapping
STANDARD
Attribute Contract
初期入力されている値
Authentication Source Mapping
事前に登録したアダプター

IdP Adapter Mapping の設定例
ADAPTER INSTANCE
事前に登録したアダプター
Mapping Method
USE ONLY THE ADAPTER CONTRACT VALUES IN THE SAML ASSERTION
Attribute Contract Fulfillment
Attribute Contract:SAML_SUBJECT
Source:Adapter
Value:username
Issuance Criteria
設定なし

Protocol Settings の設定例
Assertion Consumer Service URL
初期入力されている値
SLO Service URLs
初期入力されている値
Allowable SAML Bindings
POST, REDIRECT
Signature Policy
初期入力されている値
Encryption Policy
初期入力されている値

Credentials の設定例
Digital Signature Settings
SIGNING CERTIFICATE:事前に登録した証明書
SIGNING ALGORITHM:RSA SHA256
Signature Verification Settings
設定なし

Activation & Summary の設定例
Connection Status
ACTIVE

4.5.3.5. PingFederate のメタデータをダウンロード

  • PingFederate のメタデータをダウンロードします。
    「IdP Configuration」→「SP CONNECTIONS」→「Export Metadata」からダウンロード可能です。

4.5.3.6. intra-mart Accel Platform のPingFederate を更新

改めてダウンロードしたメタデータの内容を「IdPメタデータ」に貼り付けて更新します。

4.5.3.7. intra-mart Accel Platform ユーザとPingFederate ユーザをマッピング

テナント管理者でログインしてSAMLユーザマッピング(管理)画面から intra-mart Accel Platform のユーザコードとPingFederate のユーザ名をマッピングしてください。

コラム

  • LDAP(Active Directory)連携アダプタを使用する場合
    PingFederate のログイン画面でユーザ名を「Administrator」と入力したとするとレスポンスにも「Administrator」が返却されます。

4.5.4. PingFederate のユーザで intra-mart Accel Platform にログイン

上記設定が完了すると intra-mart Accel Platform の一般ユーザログイン画面にPingFederate のログイン画面に遷移するボタンが表示されます。
ボタンを押下してPingFederate のログイン画面でログインすると intra-mart Accel Platform にログインします。

4.5.5. 注意事項

4.5.5.1. intra-mart Accel Platform のメタデータが変更された場合

IdPの設定を更新して intra-mart Accel Platform のメタデータに変更があった場合はPingFederate に再登録する必要があります。

4.5.5.2. SAML Profiles について

intra-mart Accel Platform のSAML 認証は「IDP-INITIATED SLO」に対応していません。
「SAML Profiles」設定時にはチェックをはずしてください。

4.5.5.3. Protocol Settings のAllowable SAML Bindings について

intra-mart Accel Platform のSAML 認証は「ARTIFACT」、「SOAP」バインディングに対応していません。
「Allowable SAML Bindings」設定時にはチェックをはずしてください。

4.5.5.4. 署名アルゴリズムについて

  • intra-mart Accel Platform のSAML 認証は署名アルゴリズム「EC」に対応していません。
    署名アルゴリズム「RSA」を選択してください。
  • intra-mart Accel Platform のSAML 認証は署名アルゴリズム「RSA」のうち「RSA SHA384」、「RSA SHA512」に対応していません。
    「RSA SHA1」または「RSA SHA256」を選択してください。