App設定の各項目の内容をまとめています。
一部用語については略称を用いています。
SP : サービスプロバイダ。SSO先のアプリケーションの事。
IdP : アイデンティティプロバイダ。この資料内ではYubiOn Portalの事。
その他、各種用語については「SSO用語集」をご確認ください。
| 項目 | 内容 |
|---|---|
| IdPログインURL | SPで設定するIdPのエンドポイントURLです。 SPによっては「シングルサインオンURL」、「IdPエンドポイントURL」、「AuthnRequest URL」といった表記をしている場合もあります。 |
| IdPエンティティID | SPで設定するIdPのエンティティIDです。 SPによっては指定する必要がない場合もあります。 SPによって、「IdP発行者」といった表記をしている場合もあります。 |
| アプリケーション名 | YubiOn Portal内で、SSO Appログイン画面などに表示されるアプリケーションの名前です。 SSOの通信内容には含まれませんので、組織内で識別しやすい名前を指定してください。 |
| SPログインURL | SPが指定するログインURLを設定します。 YubiOn Portal上のアプリログインアイコンをクリックした時、またはSPからの認証要求にSPログインURLの指定がなかった時に使用します。 SPによっては「ACS(Assertion Consumer Service) URL」、「SPエンドポイントURL」、「SAMLResponse URL」といった表記をしている場合もあります。 |
| SPエンティティID | SPが指定するエンティティIDを設定します。 YubiOn Portalではこの欄が省略された場合、SPログインURLをSPエンティティIDとして指定して通信を行います。 SPによって、「SP発行者」、「Audience」、「証明書利用者識別子(Relying party identifier)」といった表記をしている場合もあります。 |
| ユーザーID値設定 | SPに渡すユーザーID値を設定します。 SAML規格上では「NameID」という名称ですが、多くのSPでは「ユーザーID」といった表記になっており、YubiOn Portalでもそのような表記にしています。 指定方法の詳細はこちらをご確認ください。 |
| 以下、詳細設定 | |
| ユーザーID形式 | ユーザーIDの形式(型)を設定します。 多くの場合「形式未定義」で問題ありませんが、SPによっては型を厳密に判定するものがあります。 そういった場合はSPの指示に従って、「メールアドレス」を選択するか、「その他」でSPが要求している型を設定します。 SAML規格上では「NameID」の「Format」という表記になっています。 SAML規格上では、「形式未定義」は「urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified」、「メールアドレス」は「urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress」と定義されています。 これら以外のNameID Formatを指定する必要がある場合は「その他」でSAML規格上の名前を直接指定します。 |
| デフォルトリレー値 | SSO AppログインからSPにログインする際に渡すRelayState値を設定します。 SPの実装によっては、この値を適切に指定する事でログイン後に表示するページを指定する事が可能です。 また、多くのSPでは空欄で問題ありませんが、SPによっては空であると正常に動かず、「/」などを指定する必要がある場合もあります。 |
| デフォルトリクエストメソッド | YubiOn Portal(IdP)からSSOを開始する場合(IdP-Initiated)にSPにSAMLを送信する方法を設定します。 HTTP-Redirect形式とHTTP-POST形式があり、SPによってはどちらか一方しか受け付けない仕様になっているものもあります。 |
| セッションタイムアウト値 | SSOによるログインセッションの有効期間を設定します。 SSOログイン後、この値で指定した時間が経過すると再度SSOログインをする必要がありますが、SPによってはこの値を無視して独自のタイムアウト期間を設けているものもあります。 |
| IdP-Initiated設定 | YubiOn Portal(IdP)からのSSOログイン(IdP-Initiated)に対応しているかどうかを設定します。 YubiOn Portal上のアプリログインアイコンをクリックした時、対応している場合はSPログインURLに対してSAMLレスポンスを送信します。 対応していない場合はSPログインURLに単純に遷移します。 SPによっては、SP-Initiatedのみに対応しており、IdP-Initiatedに対応していないものもあります。 |
| SP署名検証 | SPからの認証要求の署名を検証するかどうかを設定します。 SPによって、認証要求(AuthnRequest)に署名を行うもの、行わないもの、選択できるものがあります。 当項目を「しない」に設定することでどのパターンでも対応できますが、可能であれば「する」に設定して署名を検証した方がよりセキュアです。 この項目を「する」に設定した場合、SP証明書の設定が必要になります。 |
| SP証明書 | SPからの認証要求の署名を検証するための証明書を設定します。 SP署名検証を「する」にしている場合、この項目を設定する必要があります。 YubiOn PortalではPEM形式と呼ばれる、「—–BEGIN CERTIFICATE—–」から始まって「—–END CERTIFICATE—–」で終了するテキスト形式の証明書に対応しています。 もしSPが別形式の証明書を提供する場合、PEM形式に変換して設定してください。 |
| 項目 | 内容 |
|---|---|
| アトリビュート名 | SPにアトリビュートを渡す際の識別名称を設定します。 SPが受け付けるアトリビュート名とその意味については、SPのマニュアルをご参照ください。 |
| アトリビュート別名 | アトリビュートの内容を示す名前を設定します。 この設定項目はSSOの通信自体には使用しません。 アトリビュート名が直感的ではない形式の場合などに、YubiOn Portal上で区別しやすくするための別名設定です。 SAML規格上では、SPメタデータの規格に「Attribute」の「FriendlyName」として規定されており、SPのマニュアルによっては「フレンドリ名」といった名称で記載がある場合もあります。 |
| アトリビュート値 | SPに渡すアトリビュート値を設定します。 SAML規格上ではこの値の形式も指定ができますが、YubiOn Portalでは一律「文字列形式」としてアトリビュート値を送信します。 |