このトピックでは、IDaaS(Identity as a Service)でシングルサインオン(SSO)を構成する方法について説明します。
SSO を実装する前に、SSO を構成する必要があります。
このトピックでは、すべてのアプリケーションに共通する以下の SSO 構成項目について説明します。
SSO ステータス
アプリケーションアカウント
承認済みスコープ
構成手順の詳細については、さまざまなアプリケーションテンプレートのドキュメントを参照してください。
アプリケーションテンプレートの種類 | プロトコル | 参照 |
アプリケーションマーケットプレイスの事前統合済みテンプレート | SAML 2.0 | |
標準プロトコル - セキュリティアサーションマークアップ言語(SAML) | SAML 2.0 | |
標準プロトコル - Open ID Connect(OIDC) | OIDC | |
独自開発アプリケーション | OIDC |
SSO ステータス
アプリケーションをアクティブ化した後、アプリケーションのすべての機能は無効になります。構成を容易にするために、SSO ステータスは自動的に [有効] に変更されます。変更を有効にするには、[保存] をクリックする必要があります。
SSO 機能が無効になっているアプリケーションは、ユーザーポータルに表示されません。
アプリケーションアカウント
アプリケーションアカウントは、アプリケーション内のユーザーの一意の識別子です。ユーザーがアプリケーションに SSO リクエストを送信すると、IDaaS はアプリケーションアカウントをアプリケーションに渡します。次に、アプリケーションはアカウントをログオン状態にして SSO を実装します。
アプリケーションにアカウントが存在する場合は、アカウントが IDaaS のアカウントにマッピングされているかどうかを確認します。アカウントが IDaaS のアカウントにマッピングされていない場合は、ユーザーのバッチ同期を実行するか、事前にアプリケーションでアカウントを作成します。
SAML ベースのアプリケーションの場合、アプリケーションでアプリケーションアカウントルールを構成できます。詳細については、「SAML ベースのアプリケーションのアカウントの構成」を参照してください。
OIDC ベースのアプリケーションまたは独自開発アプリケーションの場合、IDaaS は id_tokn の関連値を渡します。詳細については、「OIDC id_token 拡張値の入力」を参照してください。
承認済みスコープ
次のオプションのいずれかを選択して、アプリケーションにアクセスできるユーザーを指定できます。
オプション | 説明 |
すべてのユーザー | IDaaS のすべてのアカウントは、追加の承認なしでアプリケーションにアクセスできます。 |
手動 | アプリケーションの [承認] タブで、アプリケーションにアクセスできる組織とアカウントを指定する必要があります。詳細については、「アプリケーションの承認」を参照してください。 |