Documentation

DXP CloudでのSSOの使用

顧客はSAML 2.0準拠のシングルサインオンIDプロバイダーを使用して、DXP Cloudプラットフォームに対してユーザーを認証できます。 このドキュメントでは、この統合を有効にするプロセスについて詳しく説明します。

SAMLを使用してSSOを実行するには、クライアント、サービスプロバイダー(SP)、アイデンティティプロバイダー(IdP)の3つのエージェントが必要です。 クライアントがサービスプロバイダーに接続しようとすると、サービスプロバイダーはクライアントをアイデンティティプロバイダーにリダイレクトします。 クライアントがIDプロバイダーによって認証された後、IDプロバイダーはクライアントの資格情報へのアクセスをサービスプロバイダーに許可します。

このシナリオでは、DXP Cloudはサービスプロバイダーとして機能します。 DXP Cloudにログインしようとしているお客様がクライアントです。 IDプロバイダーは、顧客が管理するエンタープライズディレクトリソリューションです。

DXP CloudプロジェクトのSSOの有効化

DXP CloudプロジェクトでSSOを有効にするには、次の手順を実行する必要があります:

  1. IdPメタデータをDXP Cloudチームに提供する

  2. DXP Cloudチームは提供されたIdPデータをインポートし、サービスプロバイダー(SP)メタデータを提供します

  3. Liferay DXP Cloudチームが提供するSPメタデータをインポートする

IDプロバイダーメタデータをDXP Cloudチームに提供する

DXP CloudプロジェクトでSSOを有効にしたいクライアントは、次の情報を含む必要がある [IdP] システムのメタデータを提供する必要があります:

フィールド

説明

IdP発行者

ID発行者の名前。通常、 EntityDescriptor メタデータの EntityID 属性

IdPシングルサインオンURL

SAML認証を受信するリクエストエンドポイント(例:http://adfs.customer.com/saml/sso)

IdP署名証明書

SAMLメッセージおよびアサーション署名へのIdPの公開鍵証明書

IdPシングルサインオンHTTPメソッド(リクエストバインディング)

認証要求を受信するために顧客のIDプロバイダーによってサポートされるHTTPメソッド。 有効な回答は POST (デフォルト)と GETのみです。

署名リクエスト

顧客のIDプロバイダーに送信されたSAMLリクエストに署名する必要がある場合は、 TRUEに 設定します。 それ以外の場合は FALSEに設定します。

署名アルゴリズムのリクエスト(RSA)

Sign RequestsTRUEに設定されている場合は、署名に使用されるアルゴリズムを提供します。 現時点では、SHA-1(非推奨)およびSHA-256をサポートしています。 署名リクエストが無効になっている場合、この設定は不要です。

ADFS固有の情報

Microsoft ADFSを使用するクライアントは、SAMLを使用してSSOを設定するために必要な次の設定に注意する必要があります。

フィールド

説明

IdP発行者URI

[全般]タブの フェデレーションサービス識別子 にあり、デフォルト値は http://domain/adfs/services/trustです。

IdPシングルサインオンURL

デフォルト設定は / adfs/lsです。 例: http://adfs.example.com/adfs/ls/

IdP署名証明書

DERエンコードされたバイナリX.509証明書ファイル

IdPメタデータが生成されたら、 はDXP Cloudチームでチケットを開きます 。 IdPメタデータは、XMLファイルまたはURLエンドポイントのいずれかの形式で送信できます( https:// localhost:8080/c/saml/metadata は基本的な例です)。

DXP Cloudチームは提供されたIdPデータをインポートし、サービスプロバイダーのメタデータを提供します

DXP Cloudチームは、次のSPメタデータ値をクライアントに提供します。

フィールド

説明

アサーションコンシューマサービス(ACS)URL

DXP Cloudが受信したSAML応答。 これは常に https://auth.liferay.cloudからのアドレスサーバーになります

オーディエンスURL

顧客のIDプロバイダーにアクセスするために使用されるURL Liferay Cloud

Liferay DXP Cloudチームが提供するSPメタデータをインポートする

DXP CloudチームからSPメタデータを受け取ったら、SPメタデータ値をIdPに入力します。

SSOの使用

SSOを有効にすると、適切なアイデンティティプロバイダーを持つユーザーがSSOを使用して認証を行うことができます。

警告

ユーザーがSSOで初めて認証すると、そのユーザーアカウントが変更され、それ以降はSSOを使用して認証する必要があります。

SSOを使用してDXP Cloudにログインするには:

  1. https://console.liferay.cloud/login に移動します。

  2. SSO経由でログイン クリックします 。

    ログインページ

  3. 組織ID] フィールドに [会社名] を入力します。

  4. 続行]をクリックします。

    注釈

    組織のSSOで既に認証されている場合は、次の手順を実行する必要がない場合があります。

  5. Email Address] フィールドに Email Address を入力します。 これは、会社のデータベースまたはディレクトリサービス(LDAPやADFSなど)に保存されているメールアドレスと同じである必要があります。

  6. パスワード] フィールドに パスワード を入力します。 これは、会社のデータベースまたはディレクトリサービスに保存されているメールアドレスに関連付けられているパスワードと同じである必要があります。

  7. ログイン]をクリックします。

ログインすると、ユーザーはすべてのプロジェクトと環境を確認できます。

プロジェクトページ