SAML 2.0とは?
Gainsight Community SAML スキームは SAML 2.0 に基づいており、SPリダイレクトリクエスト; IdP POST レスポンス シナリオをサポートしています。 SAML 2.0 は、当事者間、具体的にはアイデンティティプロバイダーとサービス プロバイダー間で認証および認可データを交換するためのオープン スタンダードです。
重要な用語
- サービスプロバイダー: ユーザーに認可を与えるためにサードパーティサービスからの認証を必要とする側 (コミュニティ)。
- アイデンティティプロバイダー: ユーザーの ID 情報を作成、維持、管理するもう一方の側 (サーバ)。
SAML 2.0 フロー表現
SAML 2.0 プロセスがコミュニティ SSO アーキテクチャ全体にどのように連携されるか (以下の図のステップ #1 ~ 3) は、シングル サインオン (SSO): はじめにを参照してください。 。
- コミュニティ が、ユーザーをSSO URLへリダイレクトする。その際、生成される AuthnRequest (本記事の最後にある XML のサンプルをご参照) を添付したGETを伴う。
- サーバ はユーザーを認証し同意・許可を取得する。
- サーバ はユーザーのプロフィール データを取得する。
- サーバ はSAML 応答を生成し、それをアサーション コンシューマ サービス URL へポスト送信する
- コミュニティ はSAML 応答 (この記事の最後にある XML の例を参照)を受け取り、公開鍵を使用して検証し、IDを抽出する。
アサーション コンシューマ サービス URL は、 サービスプロバイダーのメタデータ (AssertionConsumerService.Location) または AuthnRequest (AssertionConsumerServiceURL)から取得することができます。
プロフィール データを取得後、 コミュニティ はコミュニティシングルサインオンのStep3に入ります。
CommunityでSAML 2.0 を設定する方法
サーバー設定
- SAML 2.0 互換性がある サーバ をセットアップし、次のエンドポイントを使用します。
- Single Sign-On
- コミュニティのControlにログインし、Integrations > SSO > End Users > SAML2 と進むことで、サービスプロバイダーのメタデータ を入手することができます。
サービスプロバイダーのメタデータ
このメタデータは、Communityから URL とダウンロードの両方で取得できます。
コミュニティ設定
- Control に管理者としてログインする。
- Integrations > SSO > End Users > SAML2 へ進む。
- 次の必須項目を入力する。
- Single Sign-On URL
- 公開鍵 (Public Key)
- Installを押す。
設定を完了したら、エンド ユーザーに対して SSO を有効にする前に、SSO テスト ツールを使用することをお勧めします。
コミュニティで SAML 2.0 を設定するために必要な権限
コミュニティで SAML 2.0 SSO を設定するには、「管理者」権限を持つコミュニティ アカウントが必要です。