SAML認証の設定

Magic Podの使い方 > エンタープライズプランの機能 > SAML認証の設定

※SAML認証はエンタープライズプランをご契約頂いた方のみお使いいただけます。

目次

  1. 組織の設定
  2. 既存ユーザの認証設定
  3. SAML認証でログインする
  4. 新規Magic Podユーザを追加する
  5. SAML認証設定済みメンバーの確認
  6. その他

1. 組織の設定

組織の設定画面から、その組織で使用するSAML認証の設定を追加することができます。(図1)

図1: SAML認証の有効化

「SAML認証を有効化する」にチェックをして、次の情報を入力してください

  1. Identity ProviderのエンドポイントURL (HTTP Redirect)
  2. Identity ProviderのログアウトURL (HTTP Redirect)
  3. Identity Providerが署名に利用する公開鍵の証明書

1はMagic Podへのシングルサインオン時に、Identity Providerのログイン画面を表示するために使います。

2はIdentity ProviderからログアウトするためのURLとなります。このURLはMagic Podからログアウトする時のリダイレクト先として使われます。つまり、Magic Podからログアウトすると、Identity Providerからもログアウトします。1

3はIdentity Providerの公開鍵をテキストで入力してください。入力内容ですが、こちらでデコードできれば問題ないはずです。

なお、SAML認証の性質上、シングルサインオンのログイン画面でメールアドレスを入力することで、1と3の内容は組織外のユーザーにも見える可能性があります。これはSAML認証をサポートしている他のクラウドサービスでも同様で、正しいIdentity ProviderのURLと公開鍵を指定していればセキュリティ上の問題はありませんが、接続元IPアドレス制限(組織データ)を組み合わせて使用することで、1と3の内容を組織外のユーザーに見えなくすることもできます。

以下は入力例となります。(図2) 実際の入力内容については組織ごとに異なりますので、担当部署等にご確認ください。

図2: 入力例

次はユーザの認証設定を変更します。(個々のユーザが認証設定を変えるまでは従来通りのID・パスワード認証/GitHub認証が使えます)

2. 既存ユーザの認証設定

SAMLを有効化した組織のユーザには認証設定というメニューが表示されます。(図3)

図3: 認証設定

「SAML認証を利用する」をクリックして、SAML認証に切替えてください。(図4)

図4: SAML認証を利用する

なお、注意点として、SAML認証に切り替えると従来のID・パスワード認証/GitHub認証は使えなくなります。従来の認証方式に戻したい場合はこちらからパスワードをリセットしてください。GitHub認証に戻したい場合は、パスワードをリセットした後、ユーザメニューの「ソーシャルアカウント」から設定可能です。(図5)

図5: ソーシャルアカウント

3. SAML認証でログインする

こちらからログインしてください。(図6) もし設定の不備などでうまくログインできなくなってしまった場合は、こちらからパスワードをリセットして、ID・パスワード認証でログインし直すことができます。

図6: シングルサインオン画面

4. 新規Magic Podユーザを追加する

組織の設定画面から、SAML認証設定済みの新規Magic Podユーザを追加することができます。(図7)

図7: SAMLユーザー登録画面

この機能は組織メンバー画面からのメンバー追加と似ていますが、Magic Pod未登録のメンバーをSAML認証設定済みユーザとして追加できる点が異なります。

5. SAML認証設定済みメンバーの確認

組織メンバー画面から確認できます。組織のSAML設定を利用するユーザに「SAML認証」ラベルが表示されるようになります。(図8)

図8: 組織メンバー一覧とSAML認証ラベル

6. その他

  • Magic PodがIdentity Providerのサーバにアクセスするのはユーザーログインとログアウトの時だけなので、Identity Providerからユーザーの情報を削除しても、既にMagic Podにログインしているユーザーは引き続きMagic Podを利用できます。そのユーザーがすぐにMagic Podにアクセスできないようにするには、Magic Pod組織のメンバーからそのユーザーを削除してください。
  • SAML認証については、こちらの記事も参考になります。

  1. Magic Podからログアウトした後に、Identity Providerにログインしたままだと、再びMagic Podにアクセスした場合にシングルサインオンが実行されてログアウトが意味をなさないため、このような処理を行なっています。 []