Liferay CloudでのSSOの使用
お客様は、SAML 2.0準拠のシングルサインオンIdentity Providerを使用して、Liferay Cloudプラットフォームでユーザーを認証することができます。 以下は、この統合を有効にするためのプロセスである。
SAML を使用して SSO を有効にするには、クライアント、サービスプロバイダ(SP)、 ID プロバイダ(IdP)の 3 つのエージェントが必要である。 クライアントがサービスプロバイダに接続しようとすると、サービスプロバイダはクライア ントを ID プロバイダにリダイレクトする。 ID プロバイダがクライアントを認証した後、ID プロバイダはサービスプロバイダにク ライアントのクレデンシャルへのアクセスを許可する。
このシナリオでは、Liferay Cloudはサービスプロバイダーとして機能します。Liferay Cloudにログインしようとしているお客様がクライアントです。 アイデンティティ・プロバイダーは、顧客が管理するエンタープライズディレクトリソリューションです。
Liferay CloudプロジェクトのSSOの有効化
- IdPが正しいユーザー・プロファイル・データ・マッピングを持っていることを確認する
- IdPメタデータをLiferay Cloudチームに提供する
- Liferay Cloudチームは、提供されたIdPデータをインポートし、サービス・プロバイダー(SP)メタデータを提供します
- Liferay Cloudチームが提供するSPメタデータのインポート
アイデンティティ・プロバイダとの正しいユーザ・プロファイル・データ・マッピングの設定
顧客がSSO経由でログインしようとすると、LiferayクラウドはIdPシステムにリクエストを送り、自身のユーザープロファイルデータと取得したレスポンスのマッチングを試みます。 レスポンスのユーザープロファイルデータが Liferay Cloud が期待するフィールドと一致するように IdP を設定する必要があります。
これらのフィールドは必須です:
*email : ユーザーのメールアドレス *firstName : ユーザーのファーストネーム *lastName : ユーザーの姓
Liferay Cloudチームにアイデンティティ・プロバイダーメタデータを提供する
SSOを有効にするには、以下の詳細を含むIdPシステムのメタデータをLiferay Cloudチームに提供する必要があります:
項目 | 説明 |
---|---|
IdP発行者 | 通常は EntityDescriptor Metadata の EntityID 属性。 |
IdPシングルサインオンURL | SAML 認証要求を受信する要求エンドポイント(例: <http://adfs.customer.com/saml/sso)> |
IdP署名証明書 | SAMLメッセージおよびアサーション署名へのIdPの公開鍵証明書 |
IdPシングルサインオンHTTPメソッド(リクエストバインディング) | 顧客の ID プロバイダが認証要求を受信するためにサポートする HTTP メソッド。 有効な回答は、 POST (デフォルト)および GET のみです。 |
署名リクエスト | 顧客の ID プロバイダに送信される SAML 要求に署名する必要がある場合は、 TRUE に設定する。そうでない場合は FALSE に設定する。 |
署名アルゴリズムのリクエスト(RSA) | Sign Requests が TRUE に設定されている場合は、署名に使用されるアルゴリズムを提供します。 現時点では、SHA-1(非推奨)およびSHA-256をサポートしています。 署名リクエストが無効になっている場合、この設定は不要です。 |
ADFS固有の情報
Microsoft ADFS を使用しているクライアントは、これらの設定(SAML を使用して SSO をセットアップするために必要)に注意する必要がある:
項目 | 説明 |
---|---|
IdP発行者URI | General タブの フェデレーション・サービス識別子 にあり、デフォルト値は http://domain/adfs/services/trust である。 |
IdPシングルサインオンURL | デフォルト設定は /adfs/ls 。 例: http://adfs.example.com/adfs/ls/ |
IdP署名証明書 | DERエンコードされたバイナリX.509証明書ファイル |
IdP メタデータが生成されたら、 Liferay Cloud チーム にチケットをオープンします。 IdP メタデータは、XML ファイルまたは URL エンドポイント(たとえば、 https://[hostname]:[port]/c/saml/metadata
)で送信できる。
Liferay Cloudチームは、提供されたIdPデータをインポートし、サービス・プロバイダーメタデータを提供する
その後、Liferay Cloudチームは以下のSPメタデータ値をクライアントに提供します:
項目 | 説明 |
---|---|
アサーションコンシューマサービス(ACS)URL | Liferay Cloudが受信した SAML応答。 これは常に https://auth.liferay.cloudからのアドレスサーバーである。 |
オーディエンスURL | 顧客のIDプロバイダーにアクセスするために使用されるURL Liferay Cloud |
Liferay Cloudチームが提供するSPメタデータのインポート
SPメタデータを受け取ったら、SPメタデータの値をIdPに入力する。
SSOの使用
SSOが有効化されると、適切なIDプロバイダを持つユーザーはそれを使って認証することができる。
ユーザーが初めてSSOで認証すると、ユーザーアカウントは永久に変更され、それ以降はSSOを使用して認証しなければならない。
SSO を使って Liferay Cloud にログインします、
-
[Login via SSO]をクリックします 。
-
[組織ID] フィールドに [会社名] を入力します。
-
[続行]をクリックします。
noteすでに組織のSSOを使用して認証している場合は、残りの手順は必要ないかもしれません。
-
[Email Address] フィールドに Email Address を入力します。 これは、会社のデータベースまたはディレクトリサービス(LDAPやADFSなど)に保存されているメールアドレスと同じである必要があります。
-
[Password] フィールドに パスワード を入力します。 これは、会社のデータベースまたはディレクトリサービスに保存されているメールアドレスに関連付けられているパスワードと同じである必要があります。
-
[Log in]をクリックします。
ログインすると、すべてのプロジェクトと環境が表示されます。