intra-mart Accel Platform SAML認証セットアップガイド 第6版 2022-06-01

3.1. 操作

3.1.1. SAML認証環境設定

intra-mart Accel Platform の一般ユーザログイン画面にある通常のログインフォームを表示するかどうかを変更する場合、システム管理者でログインして「システム管理」→「SAML認証設定」→「SAML認証環境設定」を選択してください。

コラム

3.1.2. IdP一覧

intra-mart Accel Platform に登録したIdP を確認する場合、システム管理者でログインして「システム管理」→「SAML認証設定」→「IdP一覧」を選択してください。「SPメタデータダウンロード」のアイコンをクリックすると intra-mart Accel Platform のメタデータをダウンロードできます。

3.1.3. IdP新規作成

intra-mart Accel Platform にIdP を登録する場合、システム管理者でログインして「システム管理」→「SAML認証設定」→「IdP一覧」を選択してください。一覧画面の「新規登録」ボタンからIdP 情報を登録します。
登録後、IdP を一意に識別するための「プロバイダID」が発行されます。「プロバイダID」は一般ユーザログイン画面を経由せずSAML 認証して intra-mart Accel Platform にログインする際に使用します。詳細は「 一般ユーザログイン画面を経由せずSAML 認証してログインする方法 」を参照してください。

コラム

「IdP表示方法」に「動的に判定する」を選択した場合
「クラス名」の入力が必須です。入力するクラスの詳細は「SAML認証プログラミングガイド 」の「 SAML認証のボタン表示方法を制御する 」を参照してください。

コラム

バーチャルテナントによる複数テナント の場合、IdP で認証済みのユーザが intra-mart Accel Platform にログインするテナントを決定するため、「テナント解決方法」の「クラス名」の入力が必須です。入力するクラスの詳細は「SAML認証プログラミングガイド 」の「 SAML認証時のテナントIDの解決方法をカスタマイズする 」を参照してください。

3.1.4. IdP更新

intra-mart Accel Platform に登録したIdP の情報を更新か削除する場合、システム管理者でログインして「システム管理」→「SAML認証設定」→「IdP一覧」から「IdP名」のリンクを選択してください。

3.1.5. SAMLユーザマッピング(管理)

IdP で認証したユーザが intra-mart Accel Platform ではどのユーザでログインするかのマッピングをテナント毎に一括して登録・更新・削除する場合、テナント管理者でログインして「サイトマップ」→「SAML認証」→「SAMLユーザマッピング(管理)」を選択してください。
「新規作成」ボタンからマッピング情報を1件ずつ登録できます。「インポート」ボタンからはCSV ファイルでマッピング情報を一括登録できます。また、「エクスポート」ボタンから登録済みのマッピング情報をCSV ファイルでダウンロードできます。

コラム

  • 「インポートモード」に「全件削除してインポート」を選択した場合
    対象のIdP のマッピング情報を全て削除後、CSV ファイルのマッピング情報を登録します。
  • 「インポートモード」に「更新モードでインポート」を選択した場合
    CSV ファイル内のIdP ユーザと iAP ユーザのマッピング情報を削除後、CSV ファイルのマッピング情報を登録します。

3.1.5.1. SAMLユーザマッピングCSV フォーマット

インポートするCSV のフォーマットは1列目にはIdP のユーザコード、2列目には intra-mart Accel Platform のユーザコードを指定します。ユーザコードにダブルコーテーションまたはカンマが含まれていればエスケープします。以下はCSV ファイルの例です。
aoyagi@domainname,aoyagi
ikuta@domainname,ikuta
hayashi@domainname,hayashi
katayama@domainname,katayama
maruyama@domainname,maruyama
"sekine""domainname",sekine
"ueda,domainname",ueda

3.1.6. SAMLユーザマッピング

ログインしている intra-mart Accel Platform ユーザとIdP ユーザをマッピングする場合、「サイトマップ」→「SAML認証」→「SAMLマッピング」を選択してください。「新規作成」ボタンからマッピング情報を登録します。

3.1.7. 一般ユーザログイン

登録したIdP の「状態」と「シングルサインオン」が「有効」であり、「IdP表示方法」の表示条件を満たすと一般ユーザログイン画面にSAML 認証でログインするボタンが表示されます。
ボタンを押下した先のIdP ログイン画面でログインすると intra-mart Accel Platform のログイン後のページへ遷移します。

コラム

  • IdP 登録時、「マッピング未検出対応」に「エラーとする」を選択した場合
    SAMLユーザマッピングを登録する必要があります。
    マッピング情報が見つからなければログインエラー画面に遷移します。
  • IdP 登録時、「マッピング未検出対応」に「IdPのユーザコードでログインを試みる」を選択した場合
    マッピング情報が見つからず、IdP のユーザコードに一致するユーザが intra-mart Accel Platform に存在すれば一致したユーザでログインします。
    IdP のユーザコードに一致するユーザが存在しなければログインエラー画面に遷移します。

3.1.8. ログアウト(認証元からもログアウト)

登録したIdP の「シングルログアウト」が「有効」であり、SAML認証で intra-mart Accel Platform にログインした場合
通常の「ログアウト」と「ログアウト(認証元からもログアウト)」の二種類のログアウト方法を選ぶことが可能です。
  • 通常のログアウト
    intra-mart Accel Platform からのみログアウトします。
    一般ユーザログイン画面のSAML 認証でログインするボタンを押下するとIdP でユーザコードを入力することなく intra-mart Accel Platform にログインします。
  • ログアウト(認証元からもログアウト)
    intra-mart Accel Platform とIdP 両方からログアウトします。
    一般ユーザログイン画面のSAML 認証でログインするボタンを押下すると再びIdP でユーザコードの入力を求められます。

3.1.9. 一般ユーザログイン画面を経由せずSAML 認証してログインする方法

注意

この機能を利用するには認可設定画面で認可ポリシーの許可を行う必要があります。デフォルトの設定では許可していません。ポリシーを設定するリソースと対象者は下記の通りです。
認可ポリシーの許可を行うリソース
「SAML認証済みユーザリダイレクトサービス」
ポリシーを設定する対象者
「ゲストユーザ」
「認証済みユーザ」
  • 下記URL から intra-mart Accel Platform の一般ユーザログイン画面を経由せずSAML 認証してログインできます。
    <SAML 認証するIdP のプロバイダID> はIdP 一覧画面から確認できます。<SAML 認証後の遷移先パス> にはコンテキストパス以降のURLを指定してください。指定がない場合はホーム画面に遷移します。
    • IdP を1件のみ登録している場合
      http://<HOST>:<PORT>/<CONTEXT_PATH>/samlsso/<SAML 認証後の遷移先パス>
    • IdP を2件以上登録している場合
      http://<HOST>:<PORT>/<CONTEXT_PATH>/samlsso/<SAML 認証するIdP のプロバイダID>/<SAML 認証後の遷移先パス>

    コラム

    下記構築例でSAML 認証後に「サイトマップ」→「個人設定」→「パスワード」のパスワード画面へ遷移する場合、URL は次の通りです。
    • IdP を1件のみ登録している場合:
      http://localhost:8080/imart/samlsso/user/settings/password
    • IdP を2件以上登録している場合:
      http://localhost:8080/imart/samlsso/8eb1m9psf19lxwv/user/settings/password
    項目
    <HOST> 「ローカル環境(localhost)」
    <PORT> 「8080」ポート
    <CONTEXT_PATH> 「imart」
    <SAML 認証するIdP のプロバイダID> 「8eb1m9psf19lxwv」