フィードバックを送信
Tuning Security Settings
ご覧のページは、お客様の利便性のために一部機械翻訳されています。また、ドキュメントは頻繁に更新が加えられており、翻訳は未完成の部分が含まれることをご了承ください。最新情報は都度公開されておりますため、必ず英語版をご参照ください。翻訳に問題がある場合は、 こちら までご連絡ください。

Liferay CloudでのSSOの使用

お客様は、SAML 2.0 準拠のシングル サインオン ID プロバイダーを使用して、Liferay Cloud プラットフォームでユーザーを認証できます。 この統合を有効にするプロセスは次のとおりです。

SAML で SSO を有効にするには、クライアント、サービス プロバイダー (SP)、および ID プロバイダー (IdP) の 3 つのエージェントが必要です。 クライアントがサービス プロバイダーに接続しようとすると、サービス プロバイダーはクライアントを ID プロバイダーにリダイレクトします。 アイデンティティ プロバイダーがクライアントを認証した後、アイデンティティ プロバイダーはサービス プロバイダーにクライアントの資格情報へのアクセスを許可します。

このシナリオでは、Liferay Cloudはサービスプロバイダーとして機能します。Liferay Cloudにログインしようとしているお客様がクライアントです。 アイデンティティ・プロバイダーは、顧客が管理するエンタープライズディレクトリソリューションです。

Liferay CloudプロジェクトのSSOの有効化

  1. IdP に正しいユーザープロファイルデータマッピングがあることを確認する

  2. IdPメタデータをLiferay Cloudチームに提供する

  3. Liferay Cloudチームは、提供されたIdPデータをインポートし、サービス・プロバイダー(SP)メタデータを提供します

  4. Liferay Cloudチームが提供するSPメタデータのインポート

アイデンティティプロバイダで正しいユーザープロファイルデータマッピングを構成する

顧客が SSO 経由でログインしようとすると、Liferay Cloud は IdP システムにリクエストを送信し、取得した応答と独自のユーザー プロファイル データを照合しようとします。 レスポンス内のユーザープロファイルデータが、Liferay Cloud が期待するフィールドにマップされるように、IdP を構成する必要があります。

以下のフィールドは必須です:

  • メール: ユーザーのメールアドレス
  • firstName: ユーザーの名
  • lastName: ユーザーの姓

Liferay Cloudチームにアイデンティティ・プロバイダーメタデータを提供する

SSO を有効にするには、次の詳細を含む IdP システムのメタデータを Liferay Cloud チームに提供する必要があります。

項目説明
IdP発行者アイデンティティ発行者の名前。通常は EntityID 属性、 EntityDescriptor メタデータ
IdPシングルサインオンURLSAML認証リクエストを受信するリクエストエンドポイント(例: <http://adfs.customer.com/saml/sso>
IdP署名証明書SAMLメッセージおよびアサーション署名へのIdPの公開鍵証明書
IdPシングルサインオンHTTPメソッド(リクエストバインディング)認証リクエストを受信するために顧客の ID プロバイダーがサポートする HTTP メソッド。 有効な回答は、 POST (デフォルト)と GETのみです。
署名リクエスト顧客のアイデンティティプロバイダに送信されるSAMLリクエストに署名する必要がある場合は、 TRUE に設定し、それ以外の場合は FALSEに設定します。
署名アルゴリズムのリクエスト(RSA)Sign RequestsTRUEに設定されている場合は、署名に使用されるアルゴリズムを提供します。 現時点では、SHA-1(非推奨)およびSHA-256をサポートしています。 署名リクエストが無効になっている場合、この設定は不要です。

ADFS固有の情報

Microsoft ADFS を使用するクライアントは、次の設定に注意する必要があります (SAML を使用して SSO を設定するために必要です)。

項目説明
IdP発行者URI全般タブs フェデレーション サービス識別子 にあり、デフォルト値は http://domain/adfs/services/trustです。
IdPシングルサインオンURLデフォルト設定は /adfs/lsです。 例: http://adfs.example.com/adfs/ls/
IdP署名証明書DERエンコードされたバイナリX.509証明書ファイル

IdP メタデータが生成されたら、 Liferay Cloud チームにチケットを開いてください。 IdP メタデータは、XML ファイルまたは URL エンドポイント (例: https://[hostname]:[port]/c/saml/metadata) を使用して送信できます。

Liferay Cloudチームは、提供されたIdPデータをインポートし、サービス・プロバイダーメタデータを提供する

Liferay Cloud チームは、次の SP メタデータ値をクライアントに提供します。

項目説明
アサーションコンシューマサービス(ACS)URLLiferay Cloudが受信した SAML応答。 これは常に https://auth.liferay.cloudからのアドレスサーバーです。
オーディエンスURLLiferay Cloudが顧客のアイデンティティプロバイダにアクセスするために使用するURL

Liferay Cloudチームが提供するSPメタデータのインポート

SP メタデータを受け取ったら、SP メタデータの値を IdP に入力します。

SSOの使用

SSO が有効になると、適切な ID プロバイダーを持つユーザーはそれを使用して認証できるようになります。

警告

ユーザーは、SSO を使用してログインする前に、Liferay Cloud コンソールでアカウントを作成する必要があります。 ユーザーが初めて SSO を使用して認証すると、ユーザー アカウントが永続的に変更され、それ以降は SSO を使用して認証する必要があります。

SSOを使用してLiferay Cloudにログインするには、

  1. https://console.liferay.cloud/login に移動します。

  2. SSO 経由でログインをクリックします。

    ログイン ページの [SSO 経由でログイン] ボタンを使用します。

  3. 会社名組織 ID フィールドに入力します。

  4. 続行をクリックします。

    組織のの SSO を使用してすでに認証されている場合は、残りの手順は必要ない可能性があります。

  5. メールアドレスメールアドレス フィールドに入力します。 これは、会社のデータベースまたはディレクトリ サービス (LDAP や ADFS など) に保存されている電子メール アドレスと同じである必要があります。

  6. パスワードパスワード フィールドに入力します。 これは、会社のデータベースまたはディレクトリ サービスに保存されている電子メール アドレスに関連付けられているパスワードと同じである必要があります。

  7. ログインをクリックします。

ログインすると、すべてのプロジェクトと環境が表示されます。

すべてのプロジェクトと環境が表示されます。

Capability:
Cloud
Resource Type:
Official Documentation
Feature:
Cloud Platform Administration
Cloud Platform Security
Deployment Approach:
Liferay PaaS