SAML認証の設定

Magic Podの使い方 > エンタープライズプランの機能 > SAML認証の設定

※SAML認証はエンタープライズプランをご契約頂いた方のみお使いいただけます。

目次

  1. 組織の設定
  2. 既存ユーザの認証設定
  3. SAML認証でログインする
  4. 新規Magic Podユーザを追加する
  5. SAML認証設定済みメンバーの確認
  6. SAML認証を必須にする
  7. その他

1. 組織の設定

組織の設定画面から、その組織で使用するSAML認証の設定を追加することができます。(図1)

図1: SAML認証の有効化

「利用する(SAML認証でないユーザーも追加可)」を選択し、次の情報を入力してください

  1. Identity ProviderのエンドポイントURL (HTTP Redirect)
  2. Identity ProviderのログアウトURL (HTTP Redirect)
  3. Identity Providerの識別子 (Azure ADで必須)
  4. Identity Providerが署名に利用する公開鍵の証明書

1はMagic Podへのシングルサインオン時に、Identity Providerのログイン画面を表示するために使います。

2はIdentity ProviderからログアウトするためのURLとなります。このURLはMagic Podからログアウトする時のリダイレクト先として使われます。つまり、Magic Podからログアウトすると、Identity Providerからもログアウトします。1

3は必要に応じて入力してください。Azure Active DirectoryによるSAML認証の場合、この項目の入力が必要です。

4はIdentity Providerの公開鍵をテキストで入力してください。入力内容ですが、こちらでデコードできれば問題ないはずです。

なお、SAML認証の性質上、シングルサインオンのログイン画面でメールアドレスを入力することで、1と3と4の内容は組織外のユーザーにも見える可能性があります。これはSAML認証をサポートしている他のクラウドサービスでも同様で、正しいIdentity ProviderのURLと公開鍵を指定していればセキュリティ上の問題はありませんが、接続元IPアドレス制限(組織データ)を組み合わせて使用することで、1と3と4の内容を組織外のユーザーに見えなくすることもできます。

以下は入力例となります。(図2) 実際の入力内容については組織ごとに異なりますので、担当部署等にご確認ください。

図2: 入力例

次はユーザの認証設定を変更します。(個々のユーザが認証設定を変えるまでは従来通りのID・パスワード認証/GitHub認証が使えます)

2. 既存ユーザの認証設定

まず、ユーザーメニューから「アカウント設定」を選択します。(図3)

図3: アカウント設定

すると、SAMLを有効化した組織のユーザーの場合、「認証設定」という項目が表示されるので、ここで「SAML認証を利用する」をクリックしてSAML認証に切替えてください。(図4)

図4: SAML認証を利用する

なお、注意点として、SAML認証に切り替えると従来のID・パスワード認証/GitHub認証は使えなくなります。従来の認証方式に戻したい場合はこちらからパスワードをリセットしてください。GitHub認証に戻したい場合は、パスワードをリセットした後、ユーザメニューの「ソーシャルアカウント」から設定可能です。(図5)

図5: ソーシャルアカウント

3. SAML認証でログインする

こちらからログインしてください。(図6) もし設定の不備などでうまくログインできなくなってしまった場合は、こちらからパスワードをリセットして、ID・パスワード認証でログインし直すことができます。

図6: シングルサインオン画面

4. 新規Magic Podユーザを追加する

組織の設定画面から、SAML認証設定済みの新規Magic Podユーザを追加することができます。(図7)

図7: SAMLユーザー登録画面

この機能は組織メンバー画面からのメンバー追加と似ていますが、Magic Pod未登録のメンバーをSAML認証設定済みユーザとして追加できる点が異なります。

5. SAML認証設定済みメンバーの確認

組織メンバー画面から確認できます。組織のSAML設定を利用するユーザに「SAML認証ユーザー」ラベルが表示されるようになります。(図8)

図8: 組織メンバー一覧とSAML認証ラベル

6. SAML認証を必須にする

SAML認証機能のプルダウンで「利用する(SAML認証でないユーザーも追加可)」を選んでいる場合、組織メンバーはID/パスワード認証やGitHub認証を引き続き使うことができます。しかしながら、組織の管理上、複数の認証方法が混在するのは好ましくない場合があります。その場合は、同プルダウンで「利用する(SAML認証でないユーザーも追加不可)」を選ぶことで、SAML認証を必須化することができます。ただし、組織内にSAML認証になっていないユーザーがいる場合、「利用する(SAML認証でないユーザーも追加不可)」に変更することができません。お手数をおかけしますが、SAML認証設定済みメンバーを確認し、組織のメンバーにSAML認証への移行の周知をお願いします。

7. その他

  • Magic PodがIdentity Providerのサーバにアクセスするのはユーザーログインとログアウトの時だけなので、Identity Providerからユーザーの情報を削除しても、既にMagic Podにログインしているユーザーは引き続きMagic Podを利用できます。そのユーザーがすぐにMagic Podにアクセスできないようにするには、Magic Pod組織のメンバーからそのユーザーを削除してください。
  • SAML認証については、こちらの記事も参考になります。
  1. Magic Podからログアウトした後に、Identity Providerにログインしたままだと、再びMagic Podにアクセスした場合にシングルサインオンが実行されてログアウトが意味をなさないため、このような処理を行なっています。 []