Liferay CloudでSSOを使用する
お客様は、SAML 2.0に準拠したシングルサインオンのアイデンティティプロバイダーを使用して、Liferayクラウドプラットフォームのユーザーを認証することができます。 このドキュメントでは、この統合を有効にするプロセスについて詳しく説明します。
SAMLを使用してSSOを実行するには、クライアント、サービスプロバイダー(SP)、アイデンティティプロバイダー(IdP)の3つのエージェントが必要です。 クライアントがサービスプロバイダーに接続しようとすると、サービスプロバイダーはクライアントをアイデンティティプロバイダーにリダイレクトします。 クライアントがIDプロバイダーによって認証された後、IDプロバイダーはクライアントの資格情報へのアクセスをサービスプロバイダーに許可します。
このシナリオでは、Liferay Cloudがサービスプロバイダとして機能し、Liferay Cloudにログインしようとするお客様がクライアント、そしてIdentity Providerはお客様が管理するエンタープライズディレクトリソリューションとなります。
Liferay Cloud プロジェクトで SSO を有効にする
Liferay Cloud プロジェクトで SSO を有効にするには、次の手順を実行する必要があります。
- Liferay Cloud チームへの IdP メタデータの提供
- Liferay Cloud チームは、提供された IdP データをインポートし、サービスプロバイダ (SP) メタデータを提供します。
- Liferay Cloud チームが提供する SP メタデータのインポート
Liferay CloudチームにIdentity Provider Metadataを提供する。
Liferay Cloud プロジェクトで SSO を有効にしたいクライアントは、 IdP システムのメタデータを提供する必要があり、それには次の情報が含まれている必要があります。
項目 | 説明 |
---|---|
IdP発行者 | ID発行者の名前。通常、 EntityDescriptor メタデータの EntityID 属性 |
IdPシングルサインオンURL | SAML 認証リクエストを受け取るリクエストエンドポイント(例: <http://adfs.customer.com/saml/sso)> |
IdP署名証明書 | SAMLメッセージおよびアサーション署名へのIdPの公開鍵証明書 |
IdPシングルサインオンHTTPメソッド(リクエストバインディング) | 認証要求を受信するために顧客のIDプロバイダーによってサポートされるHTTPメソッド。 有効な回答は POST (デフォルト)と GET のみです。 |
署名リクエスト | 顧客のIDプロバイダーに送信されたSAMLリクエストに署名する必要がある場合は、 TRUE に 設定します。 それ以外の場合は FALSE に設定します。 |
署名アルゴリズムのリクエスト(RSA) | Sign Requests が TRUE に設定されている場合は、署名に使用されるアルゴリズムを提供します。 現時点では、SHA-1(非推奨)およびSHA-256をサポートしています。 署名リクエストが無効になっている場合、この設定は不要です。 |
ADFS固有の情報
Microsoft ADFSを使用するクライアントは、SAMLを使用してSSOを設定するために必要な次の設定に注意する必要があります。
項目 | 説明 |
---|---|
IdP発行者URI | Generalタブの フェデレーションサービス識別子 にあり、デフォルト値は <http://domain/adfs/services/trust> である。 |
IdPシングルサインオンURL | デフォルト設定は / adfs/ls です。 例) <http://adfs.example.com/adfs/ls/> |
IdP署名証明書 | DERエンコードされたバイナリX.509証明書ファイル |
IdP メタデータが生成されたら、 Liferay Cloud チームにチケットを開きます。 . IdPメタデータは、XMLファイルまたはURLエンドポイント(<https://localhost:8080/c/saml/metadata>
が基本例)のいずれかの形式で送信することができる。
Liferay Cloud チームは、提供された IdP データをインポートし、サービスプロバイダのメタデータを提供します。
その後、Liferay Cloud チームは、以下の SP メタデータの値をクライアントに提供します。
項目 | 説明 |
---|---|
アサーションコンシューマサービス(ACS)URL | Liferay Cloud が受信した SAML レスポンス。 これは常に https://auth.liferay.cloudからのアドレスサーバーになります |
オーディエンスURL | 顧客のIDプロバイダーにアクセスするために使用されるURL Liferay Cloud |
Liferay Cloud チームが提供する SP メタデータをインポートする。
Liferay Cloud チームから SP メタデータを受信したら、IdP に SP メタデータの値を入力します。
SSOの使用
SSOを有効にすると、適切なアイデンティティプロバイダーを持つユーザーがSSOを使用して認証を行うことができます。
ユーザーがSSOで初めて認証すると、そのユーザーアカウントが変更され、それ以降はSSOを使用して認証する必要があります。
SSOを使用してLiferay Cloudにログインする場合。
[Login via SSO]をクリックします 。
[組織ID] フィールドに [会社名] を入力します。
[続行]をクリックします。
note組織のSSOで既に認証されている場合は、次の手順を実行する必要がない場合があります。
[Email Address] フィールドに Email Address を入力します。 これは、会社のデータベースまたはディレクトリサービス(LDAPやADFSなど)に保存されているメールアドレスと同じである必要があります。
[Password] フィールドに パスワード を入力します。 これは、会社のデータベースまたはディレクトリサービスに保存されているメールアドレスに関連付けられているパスワードと同じである必要があります。
[Log in]をクリックします。
ログインすると、ユーザーはすべてのプロジェクトと環境を確認できます。