Liferay CloudでSSOを使用する

Liferay CloudでSSOを使用する

お客様は、SAML 2.0に準拠したシングルサインオンのアイデンティティプロバイダーを使用して、Liferayクラウドプラットフォームのユーザーを認証することができます。 このドキュメントでは、この統合を有効にするプロセスについて詳しく説明します。

SAMLを使用してSSOを実行するには、クライアント、サービスプロバイダー(SP)、アイデンティティプロバイダー(IdP)の3つのエージェントが必要です。 クライアントがサービスプロバイダーに接続しようとすると、サービスプロバイダーはクライアントをアイデンティティプロバイダーにリダイレクトします。 クライアントがIDプロバイダーによって認証された後、IDプロバイダーはクライアントの資格情報へのアクセスをサービスプロバイダーに許可します。

このシナリオでは、Liferay Cloudがサービスプロバイダとして機能し、Liferay Cloudにログインしようとするお客様がクライアント、そしてIdentity Providerはお客様が管理するエンタープライズディレクトリソリューションとなります。

Liferay Cloud プロジェクトで SSO を有効にする

Liferay Cloud プロジェクトで SSO を有効にするには、次の手順を実行する必要があります。

  1. Liferay Cloud チームへの IdP メタデータの提供
  2. Liferay Cloud チームは、提供された IdP データをインポートし、サービスプロバイダ (SP) メタデータを提供します。
  3. Liferay Cloud チームが提供する SP メタデータのインポート

Liferay CloudチームにIdentity Provider Metadataを提供する。

Liferay Cloud プロジェクトで SSO を有効にしたいクライアントは、 IdP システムのメタデータを提供する必要があり、それには次の情報が含まれている必要があります。

項目 説明
IdP発行者 ID発行者の名前。通常、 EntityDescriptor メタデータの EntityID 属性
IdPシングルサインオンURL SAML 認証リクエストを受け取るリクエストエンドポイント(例: <http://adfs.customer.com/saml/sso)>
IdP署名証明書 SAMLメッセージおよびアサーション署名へのIdPの公開鍵証明書
IdPシングルサインオンHTTPメソッド(リクエストバインディング) 認証要求を受信するために顧客のIDプロバイダーによってサポートされるHTTPメソッド。 有効な回答は POST (デフォルト)と GETのみです。
署名リクエスト 顧客のIDプロバイダーに送信されたSAMLリクエストに署名する必要がある場合は、 TRUEに 設定します。 それ以外の場合は FALSEに設定します。
署名アルゴリズムのリクエスト(RSA) Sign RequestsTRUEに設定されている場合は、署名に使用されるアルゴリズムを提供します。 現時点では、SHA-1(非推奨)およびSHA-256をサポートしています。 署名リクエストが無効になっている場合、この設定は不要です。

ADFS固有の情報

Microsoft ADFSを使用するクライアントは、SAMLを使用してSSOを設定するために必要な次の設定に注意する必要があります。

項目 説明
IdP発行者URI Generalタブの フェデレーションサービス識別子 にあり、デフォルト値は <http://domain/adfs/services/trust>である。
IdPシングルサインオンURL デフォルト設定は / adfs/lsです。 例) <http://adfs.example.com/adfs/ls/>
IdP署名証明書 DERエンコードされたバイナリX.509証明書ファイル

IdP メタデータが生成されたら、 Liferay Cloud チームにチケットを開きます。 . IdPメタデータは、XMLファイルまたはURLエンドポイント(<https://localhost:8080/c/saml/metadata> が基本例)のいずれかの形式で送信することができる。

Liferay Cloud チームは、提供された IdP データをインポートし、サービスプロバイダのメタデータを提供します。

その後、Liferay Cloud チームは、以下の SP メタデータの値をクライアントに提供します。

項目 説明
アサーションコンシューマサービス(ACS)URL Liferay Cloud が受信した SAML レスポンス。 これは常に https://auth.liferay.cloudからのアドレスサーバーになります
オーディエンスURL 顧客のIDプロバイダーにアクセスするために使用されるURL Liferay Cloud

Liferay Cloud チームが提供する SP メタデータをインポートする。

Liferay Cloud チームから SP メタデータを受信したら、IdP に SP メタデータの値を入力します。

SSOの使用

SSOを有効にすると、適切なアイデンティティプロバイダーを持つユーザーがSSOを使用して認証を行うことができます。

warning

ユーザーがSSOで初めて認証すると、そのユーザーアカウントが変更され、それ以降はSSOを使用して認証する必要があります。

SSOを使用してLiferay Cloudにログインする場合。

  1. https://console.liferay.cloud/login に移動します。

  2. Login via SSO]をクリックします 。

    ログインページ

  3. 組織ID] フィールドに [会社名] を入力します。

  4. 続行]をクリックします。

    note

    組織のSSOで既に認証されている場合は、次の手順を実行する必要がない場合があります。

  5. Email Address] フィールドに Email Address を入力します。 これは、会社のデータベースまたはディレクトリサービス(LDAPやADFSなど)に保存されているメールアドレスと同じである必要があります。

  6. Password] フィールドに パスワード を入力します。 これは、会社のデータベースまたはディレクトリサービスに保存されているメールアドレスに関連付けられているパスワードと同じである必要があります。

  7. Log in]をクリックします。

ログインすると、ユーザーはすべてのプロジェクトと環境を確認できます。

プロジェクトページ