Documentation

DXP CloudでのSSOの使用

顧客はSAML 2.0準拠のシングルサインオンIDプロバイダーを使用して、DXP Cloudプラットフォームに対してユーザーを認証できます。 このドキュメントでは、この統合を有効にするプロセスについて詳しく説明します。

SAMLを使用してSSOを実行するには、クライアント、サービスプロバイダー(SP)、アイデンティティプロバイダー(IdP)の3つのエージェントが必要です。 クライアントがサービスプロバイダーに接続しようとすると、サービスプロバイダーはクライアントをアイデンティティプロバイダーにリダイレクトします。 クライアントがIDプロバイダーによって認証された後、IDプロバイダーはクライアントの資格情報へのアクセスをサービスプロバイダーに許可します。

このシナリオでは、DXP Cloudはサービスプロバイダーとして機能します。 DXP Cloudにログインしようとしているお客様がクライアントです。 IDプロバイダーは、顧客が管理するエンタープライズディレクトリソリューションです。

DXP CloudプロジェクトでSSOを有効にする

DXP CloudプロジェクトでSSOを有効にするには、次の手順を実行する必要があります:

  1. DXPクラウドチームへのIdPメタデータの提供

  2. DXP Cloudチームは、提供されたIdPデータをインポートし、サービスプロバイダ(SP)メタデータを提供します。

  3. Liferay DXP Cloud チームが提供する SP メタデータをインポートする。

DXPクラウドチームへのIDプロバイダメタデータの提供

DXP CloudプロジェクトでSSOを有効にしたいクライアントは、次の情報を含む必要がある [IdP] システムのメタデータを提供する必要があります:

Field

Description

IdP発行者

ID発行者の名前。通常、 EntityDescriptor メタデータの EntityID 属性

IdPシングルサインオンURL

SAML認証を受信するリクエストエンドポイント(例:http://adfs.customer.com/saml/sso)

IdP署名証明書

SAMLメッセージおよびアサーション署名へのIdPの公開鍵証明書

IdPシングルサインオンHTTPメソッド(リクエストバインディング)

認証要求を受信するために顧客のIDプロバイダーによってサポートされるHTTPメソッド。 有効な回答は POST (デフォルト)と GETのみです。

署名リクエスト

顧客のIDプロバイダーに送信されたSAMLリクエストに署名する必要がある場合は、 TRUEに 設定します。 それ以外の場合は FALSEに設定します。

署名アルゴリズムのリクエスト(RSA)

Sign RequestsTRUEに設定されている場合は、署名に使用されるアルゴリズムを提供します。 現時点では、SHA-1(非推奨)およびSHA-256をサポートしています。 署名リクエストが無効になっている場合、この設定は不要です。

ADFS固有の情報

Microsoft ADFSを使用するクライアントは、SAMLを使用してSSOを設定するために必要な次の設定に注意する必要があります。

項目

説明

IdP発行者URI

[全般]タブの フェデレーションサービス識別子 にあり、デフォルト値は http://domain/adfs/services/trustです。

IdPシングルサインオンURL

デフォルトは /adfs/lsです。 例: http://adfs.example.com/adfs/ls/

IdP署名証明書

DERエンコードされたバイナリX.509証明書ファイル

IdPメタデータが生成されたら、 DXP Cloudチームでチケットを開きます 。 IdPメタデータは、XMLファイルまたはURLエンドポイント(https://localhost:8080/c/saml/metadata が基本例)のいずれかの形式で送信することができる。

DXPクラウドチームは、提供されたIdPデータをインポートし、サービスプロバイダのメタデータを提供する。

その後、DXPクラウドチームは、以下のSPメタデータの値をクライアントに提供します。

項目

説明

アサーションコンシューマサービス(ACS)URL

DXP Cloudが受信したSAML応答。 これは常に https://auth.liferay.cloudからのアドレスサーバーになります

オーディエンスURL

顧客のIDプロバイダーにアクセスするために使用されるURL Liferay Cloud

Liferay DXP Cloud チームが提供する SP メタデータをインポートする。

DXP CloudチームからSPメタデータを受け取った後、IdPにSPメタデータの値を入力します。

SSOの使用

SSOを有効にすると、適切なアイデンティティプロバイダーを持つユーザーがSSOを使用して認証を行うことができます。

警告

ユーザーがSSOで初めて認証すると、そのユーザーアカウントが変更され、それ以降はSSOを使用して認証する必要があります。

SSOを使用してDXP Cloudにログインするには:

  1. https://console.liferay.cloud/loginに移動します。

  2. Login via SSO]をクリックします 。

    ログインページ

  3. 組織ID] フィールドに [会社名] を入力します。

  4. 続行]をクリックします。

    注釈

    組織のSSOで既に認証されている場合は、次の手順を実行する必要がない場合があります。

  5. Email Address] フィールドに Email Address を入力します。 これは、会社のデータベースまたはディレクトリサービス(LDAPやADFSなど)に保存されているメールアドレスと同じである必要があります。

  6. Password] フィールドに パスワード を入力します。 これは、会社のデータベースまたはディレクトリサービスに保存されているメールアドレスに関連付けられているパスワードと同じである必要があります。

  7. Log in]をクリックします。

ログインすると、ユーザーはすべてのプロジェクトと環境を確認できます。

プロジェクトページ