Elastic Desktop Service (EDS) とIDプロバイダー (IdP) の間にSecurity Assertion Markup Language (SAML) ベースのシングルサインオン (SSO) を実装するには、サービスプロバイダー (SP) として機能するElastic Desktop ServiceとIdPの間に相互信頼を確立する必要があります。 この場合、Elastic Desktop Service側とIdP側の両方でSAML設定を構成する必要があります。 その後、エンドユーザーがEDS端末にログオンした後にSSOを実装できます。 このトピックでは、SAML 2.0ベースSSOを設定する方法について説明します。
背景情報
シングルサインオン (SSO) は、シングルサインオンで複数の信頼できるアプリケーションシステムに効率的にアクセスできる安全な通信テクノロジーです。 SSOは、IDフェデレーションに基づいてログオンを実装します。
詳細は、「ログイン設定の構成」をご参照ください。
オフィスネットワークでのSSOの設定
手順1: IdPでElastic Desktop Serviceを信頼できるSAML SPとして設定する
Elastic Desktop ServiceコンソールでSAML SPメタデータファイルを取得します。
EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、
を選択します。上部ナビゲーションバーの左上でリージョンを選択します。
[Officeネットワーク] ページで、SSOを有効にしている目的のオフィスネットワークを見つけ、[オフィスネットワークID] をクリックします。
[オフィスネットワーク] の詳細ページで、[その他の情報] セクションを見つけ、[表示] をクリックしてセクションを展開し、[アプリケーションメタデータ] の右側にある [メタデータファイルのダウンロード] をクリックします。
IdPでSAML SPを作成し、ダウンロードしたメタデータファイルを使用してElastic Desktop Serviceを信頼できるSAML SPとして設定します。
手順2: Elastic Desktop ServiceでIdPを信頼できるSAML IdPとして設定する
[その他の情報] セクションで、[SSO] をオンにします。 次に、オフィスネットワークのSSOが有効になります。
SSOを有効にすると、EDS端末のログインページがIdPのログインページに置き換えられます。
IdPメタデータの右側にある [ファイルのアップロード] をクリックし、IdPメタデータファイルをEDSコンソールにアップロードします。
説明メタデータファイルはXML形式で、IdPのログインアドレスとX.509証明書が含まれています。 証明書は、IdPによって発行されたSAMLアサーションの有効性を検証するために使用されます。
手順3: IdPユーザーに一致するユーザーを作成する
Elastic Desktop ServiceコンソールでIdPユーザーと一致するユーザーを作成します。 詳細については、コンビニエンスアカウントの作成または「エンタープライズADアカウントの作成と管理」トピックのエンタープライズADアカウントの作成セクションをご参照ください。
ユーザーを作成するときに、ユーザーのパスワードを指定できます。 ユーザーのパスワードは、同じ名前のIdPユーザーのパスワードと異なる場合があります。
組織でのSSOの設定
手順1: Elastic Desktop ServiceでIdPを信頼できるSAML IdPとして設定する
左側のナビゲーションウィンドウで、
を選択します。 [ユーザーと組織] ページで、[エンタープライズIDソース] タブをクリックします。[エンタープライズIDソース] ページで、ビジネス要件に基づいて次の操作を実行します。
エンタープライズIDソースを追加していない場合は、[SAML] をクリックしてエンタープライズIDソースを追加します。
エンタープライズIDソースを追加した場合は、左上隅の [エンタープライズIDソースの追加] をクリックします。 [エンタープライズIDソースの追加] パネルで、[SAML] をクリックします。
[エンタープライズIDソースの追加] パネルで、次のパラメーターを設定し、[確認] をクリックします。
パラメーター
説明
エンタープライズIDソース名
IdPを識別するために使用されるエンタープライズIDソースの名前。
エンタープライズIDソースタイプ
エンタープライズIDソースのタイプ。 [SAML] を選択します。
IdPメタデータ
IdPメタデータ。 [ファイルのアップロード] をクリックして、IdPのメタデータファイルをアップロードします。
ユーザーアカウントタイプ
アカウントのタイプ。 有効な値: コンビニエンスアカウントとエンタープライズADアカウント。 エンタープライズADアカウントを選択した場合は、ADドメイン名も選択する必要があります。
手順2: IdPでElastic Desktop Serviceを信頼できるSAML SPとして設定する
Elastic Desktop ServiceコンソールでSAML SPメタデータファイルを取得します。
左側のナビゲーションウィンドウで、
を選択します。 [ユーザーと組織] ページで、[エンタープライズIDソース] タブをクリックします。[エンタープライズIDソース] ページで、管理するエンタープライズIDソースを見つけ、[操作] 列の [編集] をクリックします。
[エンタープライズIDソースの編集] パネルで、[アプリケーションメタデータ] の下にある [ファイルのダウンロード] をクリックします。
IdPでSAML SPを作成し、ダウンロードしたメタデータファイルを使用してElastic Desktop Serviceを信頼できるSAML SPとして設定します。
手順3: IdPユーザーに一致するユーザーを作成する
Elastic Desktop ServiceコンソールでIdPユーザーと一致するユーザーを作成します。 詳細については、コンビニエンスアカウントの作成または「エンタープライズADアカウントの作成と管理」トピックのエンタープライズADアカウントの作成セクションをご参照ください。
ユーザーを作成するときに、ユーザーのパスワードを指定できます。 ユーザーのパスワードは、同じ名前のIdPユーザーのパスワードと異なる場合があります。
関連ドキュメント
Elastic Desktop ServiceとIdP間のSSOのベストプラクティスの詳細については、以下のトピックを参照してください。