一部のユーザーにはSAMLによる認証のみを許可し、残りのユーザーはLiferayのパスワードで認証することは可能でしょうか。
knowledge-article-header-disclaimer-how-to
knowledge-article-header-disclaimer
legacy-article
learn-legacy-article-disclaimer-text
問題
- この記事では、一部のユーザーがSAML Identity Provider(IdP)のみで認証し、他のユーザーはLiferayの認証情報でLoginポートレットで認証することが望ましいと思われるユースケースについて説明します。
解決策
- この解決策は明示的にすぐに利用できるものではありませんが、回避策は用意されています。
- LiferayをService Provider(SP)として有効にし、Identify Provider(IdP)に接続した後、Service Providerの設定で 「ログインポートレットの表示を許可する」設定が有効になっていることを確認します。 これを行うことで、SAML IdP ログイン要求と一致するものがない場合に、ログインポートレットを表示することができる。
このプロパティの公式説明は以下の通りです:
"ログイン要求に SAML IdP がマッチしない場合に、ログインポートレットを表示できるようにします。 このシナリオのユーザーは、Liferay DXPにローカルでログインします。"
- SAMLで認証しているユーザーをSAMLでのみ認証できるようにしたい場合は(Login PortletによるLiferayのパスワードではなく)、コントロールパネル > Users and OrganizationsからこれらのユーザーのLiferayパスワードを変更し、SAMLでのみ認証したいユーザーのパスワードを修正します。
- 何が起こるかというと、SAML で認証するユーザは、Identity Provider で認証されることになる。 SAML IdP内にエントリーがない残りのユーザーは、フォールバックにリダイレクトされ、Liferayの認証情報で認証されます。
did-this-article-resolve-your-issue
