フィードバックを送信

Liferay CloudでのSSOの使用

お客様は、SAML 2.0準拠のシングルサインオンIdentity Providerを使用して、Liferay Cloudプラットフォームでユーザーを認証することができます。 以下は、この統合を有効にするためのプロセスである。

SAML を使用して SSO を有効にするには、クライアント、サービスプロバイダ(SP)、 ID プロバイダ(IdP)の 3 つのエージェントが必要である。 クライアントがサービスプロバイダに接続しようとすると、サービスプロバイダはクライア ントを ID プロバイダにリダイレクトする。 ID プロバイダがクライアントを認証した後、ID プロバイダはサービスプロバイダにク ライアントのクレデンシャルへのアクセスを許可する。

このシナリオでは、Liferay Cloudはサービスプロバイダーとして機能します。Liferay Cloudにログインしようとしているお客様がクライアントです。 アイデンティティ・プロバイダーは、顧客が管理するエンタープライズディレクトリソリューションです。

Liferay CloudプロジェクトのSSOの有効化

  1. IdPが正しいユーザー・プロファイル・データ・マッピングを持っていることを確認する
  2. IdPメタデータをLiferay Cloudチームに提供する
  3. Liferay Cloudチームは、提供されたIdPデータをインポートし、サービス・プロバイダー(SP)メタデータを提供します
  4. Liferay Cloudチームが提供するSPメタデータのインポート

アイデンティティ・プロバイダとの正しいユーザ・プロファイル・データ・マッピングの設定

顧客がSSO経由でログインしようとすると、LiferayクラウドはIdPシステムにリクエストを送り、自身のユーザープロファイルデータと取得したレスポンスのマッチングを試みます。 レスポンスのユーザープロファイルデータが Liferay Cloud が期待するフィールドと一致するように IdP を設定する必要があります。

これらのフィールドは必須です:

*email : ユーザーのメールアドレス *firstName : ユーザーのファーストネーム *lastName : ユーザーの姓

Liferay Cloudチームにアイデンティティ・プロバイダーメタデータを提供する

SSOを有効にするには、以下の詳細を含むIdPシステムのメタデータをLiferay Cloudチームに提供する必要があります:

項目説明
IdP発行者通常は EntityDescriptor Metadata の EntityID 属性。
IdPシングルサインオンURLSAML 認証要求を受信する要求エンドポイント(例: <http://adfs.customer.com/saml/sso)>
IdP署名証明書SAMLメッセージおよびアサーション署名へのIdPの公開鍵証明書
IdPシングルサインオンHTTPメソッド(リクエストバインディング)顧客の ID プロバイダが認証要求を受信するためにサポートする HTTP メソッド。 有効な回答は、 POST (デフォルト)および GETのみです。
署名リクエスト顧客の ID プロバイダに送信される SAML 要求に署名する必要がある場合は、 TRUE に設定する。そうでない場合は FALSEに設定する。
署名アルゴリズムのリクエスト(RSA)Sign RequestsTRUEに設定されている場合は、署名に使用されるアルゴリズムを提供します。 現時点では、SHA-1(非推奨)およびSHA-256をサポートしています。 署名リクエストが無効になっている場合、この設定は不要です。

ADFS固有の情報

Microsoft ADFS を使用しているクライアントは、これらの設定(SAML を使用して SSO をセットアップするために必要)に注意する必要がある:

項目説明
IdP発行者URIGeneral タブの フェデレーション・サービス識別子 にあり、デフォルト値は http://domain/adfs/services/trustである。
IdPシングルサインオンURLデフォルト設定は /adfs/ls。 例: http://adfs.example.com/adfs/ls/
IdP署名証明書DERエンコードされたバイナリX.509証明書ファイル

IdP メタデータが生成されたら、 Liferay Cloud チーム にチケットをオープンします。 IdP メタデータは、XML ファイルまたは URL エンドポイント(たとえば、 https://[hostname]:[port]/c/saml/metadata)で送信できる。

Liferay Cloudチームは、提供されたIdPデータをインポートし、サービス・プロバイダーメタデータを提供する

その後、Liferay Cloudチームは以下のSPメタデータ値をクライアントに提供します:

項目説明
アサーションコンシューマサービス(ACS)URLLiferay Cloudが受信した SAML応答。 これは常に https://auth.liferay.cloudからのアドレスサーバーである。
オーディエンスURL顧客のIDプロバイダーにアクセスするために使用されるURL Liferay Cloud

Liferay Cloudチームが提供するSPメタデータのインポート

SPメタデータを受け取ったら、SPメタデータの値をIdPに入力する。

SSOの使用

SSOが有効化されると、適切なIDプロバイダを持つユーザーはそれを使って認証することができる。

warning

ユーザーが初めてSSOで認証すると、ユーザーアカウントは永久に変更され、それ以降はSSOを使用して認証しなければならない。

SSO を使って Liferay Cloud にログインします、

  1. https://console.liferay.cloud/login に移動します。

  2. Login via SSO]をクリックします 。

    ログインページの「SSOでログイン」ボタンを使用します。

  3. 組織ID] フィールドに [会社名] を入力します。

  4. 続行]をクリックします。

    note

    すでに組織のSSOを使用して認証している場合は、残りの手順は必要ないかもしれません。

  5. Email Address] フィールドに Email Address を入力します。 これは、会社のデータベースまたはディレクトリサービス(LDAPやADFSなど)に保存されているメールアドレスと同じである必要があります。

  6. Password] フィールドに パスワード を入力します。 これは、会社のデータベースまたはディレクトリサービスに保存されているメールアドレスに関連付けられているパスワードと同じである必要があります。

  7. Log in]をクリックします。

ログインすると、すべてのプロジェクトと環境が表示されます。

すべてのプロジェクトと環境が見える。

Capability:
Cloud
Resource Type:
Official Documentation
Feature:
Cloud Platform Administration
Cloud Platform Security
Deployment Approach:
Liferay PaaS