Amazonビジネス
【参考】
2020年07月06日時点での情報で掲載しています。
「Amazonビジネス」との認証連携を設定します。
【注意】
- AmazonビジネスがSAMLで認証するキーは「ユーザID(メールアドレス)」です。
IIJ IDサービス内のユーザ属性値としてAmazonビジネスの「メールアドレス」と同一の値を保持しておく必要があります。 - 作業前にAmazonビジネスの管理者用メールアドレスを値として保持するアカウントをIIJ IDサービスに用意しておいてください。
そのアカウントの組み合わせでAmazonビジネス及びIIJ IDサービスの作業を実施するとスムーズです。
1. IIJ IDサービスにSAMLアプリケーションを登録する
1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。
2. 「アプリケーションを追加する」をクリックし、「カスタムアプリケーションを追加する」をクリックします。
3. 「SAMLアプリケーション」を選択し、「次に進む」をクリックします。
4. アプリケーション情報を入力し、「アプリケーションを追加する」をクリックします。
| 項目 | 内容 | 備考 |
|---|---|---|
| アプリケーション名 | 例)Amazonビジネス | 必須 |
| アプリケーションの説明 | 例)Amazonの法人向けECサイト | 任意 |
| アプリケーションロゴ | (ファイルアップロード) | 任意 |
| IDプロバイダの選択 | 「アプリケーション専用のエンティティIDを利用」を選択 | 必須 |
2. IIJ IDサービスのIDプロバイダ情報を取得する
1. 作成されたアプリケーションの「編集する」をクリックします。
2. 「IDプロバイダ情報」をクリックします。
3. 「メタデータ」の箇所にある「ダウンロードする」をクリックし、IDプロバイダのメタデータをダウンロードします。
3. AmazonビジネスにIDプロバイダ情報を登録する
1. Amazonビジネスに管理者アカウントでログインします。
2. 「アカウント設定」の「ビジネスアカウントの設定」をクリックします。
【参考】
IIJ IDサービスの管理者及びAmazonビジネスの管理者でIIJ IDサービスとAmazonビジネスにそれぞれログインしていると「SSOテスト」がスムーズに実施できます。
3. 「システム連携」の「シングルサインオン(SSO)」をクリックします。
4. 「SAML 2.0をサポートしています。IDPを選択してください。」で「CloudGate UNO」を選択し、「次へ」をクリックします。
5. お客様のご利用方法に合わせて「デフォルトグループ」及び「デフォルトの購買役割」を選択し、「次へ」をクリックします。
6. 手順2-3でダウンロードしたIDプロバイダのメタデータを選択し、「アップロード」をクリックします。
7. 「次へ」をクリックします。
8. 「スキップ」をクリックします。
9. 「フィールドの追加」で以下のとおり設定し、「次へ」をクリックします。
| Amazonユーザーアカウントデータ | SAML属性名 | 備考 |
|---|---|---|
| Eメール | 例)email | 必須 |
| ファーストネーム(名) | 例)first_name | 少なくとも1つの名前属性をマッピングする必要があります |
| ラストネーム(姓) | 例)last_name | 少なくとも1つの名前属性をマッピングする必要があります |
10. 「SSO URL」を控え、「次へ」をクリックします。
4. IIJ IDサービスのSAMLアプリケーションを設定する
1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。
2. 作成されたアプリケーションの「編集する」をクリックします。
3. 「フェデレーション設定」をクリックします。
4. 以下のとおり設定し、「変更を適用する」をクリックします。
| 項目 | 内容 | 備考 | ||
|---|---|---|---|---|
| SAML基本情報 | SAML情報を入力する | 「SAML情報を入力する」をチェック | ||
| シングルサインオンURL | 手順3-10で控えた「SSO URL」 | |||
| エンティティ ID | https://www.amazon.co.jp | |||
| NameIDフォーマット | urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified |
|||
| 検証後の遷移先(RelayState) | (空欄) | |||
| アプリケーションのトップページURL | (空欄) | |||
| アサーションの署名アルゴリズム | 例) |
|||
ユーザ識別子(NameID)の指定 |
関連付けるユーザ属性 | 例) |
手順3-8で「Amazonユーザーアカウントデータ」の 「Eメール」にマッピングした「SAML属性名」 |
|
| 属性値関連付け(ユーザ属性) | 例) |
手順3-8で「Amazonユーザーアカウントデータ」の 「Eメール」にマッピングした「SAML属性名」 |
||
| first_name | 例) |
手順3-8で「Amazonユーザーアカウントデータ」の 「ファーストネーム(名)」にマッピングした「SAML属性名」 |
||
| last_name | 例) |
手順3-8で「Amazonユーザーアカウントデータ」の 「ラストネーム(姓)」にマッピングした「SAML属性名」 |
||
【参考】
「アサーションの署名アルゴリズム」は連携先サービス側で指定などがない場合、デフォルト値の「RSA-SHA256」を選択してください。
「RSA-SHA256」を指定して動作しない場合及び連携先サービス側で明示的にそれ以外のものが指定されている場合は、「RSA-SHA512」、または「RSA-SHA1」に変更し、連携を確認してください。
【参考】
- 「ユーザ識別子(NameID)」の指定は、ユーザ単位ではなくSAMLアプリケーション単位でのみ設定できます。
- 「ユーザ識別子(NameID)」の指定した属性にユーザが値を保持していない場合は SAML連携は失敗します。
- 「ユーザ識別子(NameID)」にID以外の複数の値を持つ属性で指定する方法は以下のとおりです。
例として、IIJ IDサービスの各ユーザの属性「Entitlements」に以下のように値が設定されています。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro@iij.ad.jp」の場合は、「プライマリの値を使用する」をチェックします。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro」の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_ID」を指定します。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro@iij.ad.jp」の場合は、「プライマリの値を使用する」をチェックします。
【注意】
- 「ユーザ識別子(NameID)」としてID以外の属性を指定していると、IIJ IDサービスに対する更新処理でその属性の値が更新される場合があります。ただし、その更新は連携先サービスまで伝搬されないため、IIJ IDサービス側の属性の値が更新されると、連携していたアカウントに接続できなくなります。「ユーザ識別子(NameID)」としている属性の値が更新される場合は、連携先サービス側で紐づく属性(多くの場合、ユーザID)を忘れずに更新してください。
- 以下の画像のように複数のタイプに「SaaS_ID」が設定されている場合、「ユーザ識別子(NameID)」に「SaaS_ID」を指定すると、サービスマニュアルに記載されているルールに基づいていずれかの単数値だけが採用されます。連携対象のサービスに管理者の意図しないアカウントがSAML連携される危険性があります。対象となる各ユーザにおいて、「ユーザ識別子(NameID)」として指定するタイプが複数個存在しないように注意してください。
【参考】
- 「属性値関連付け(ユーザ属性)」は、ユーザ単位ではなくSAMLアプリケーション単位でのみ設定できます。
- 「属性値関連付け(ユーザ属性)」で複数値を持つ属性での指定する方法は以下のとおりです。
例として、IIJ IDサービスの各ユーザの属性「Entitlements」に以下のように値が設定されています。
- 連携先サービス側に「属性値関連付け(ユーザ属性)」として属性名が「hogehoge1」、渡したい値が「abc」の場合は、「プライマリの値を使用する」をチェックします。
- 連携先サービス側に「属性値関連付け(ユーザ属性)」として属性名が「hogehoge1」、渡したい値が「1234」の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_Attr1」を指定します。
- 連携先サービス側に「属性値関連付け(ユーザ属性)」として属性名が「hogehoge1」、渡したい値が「multi1」、「multi2」のように複数の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_MultiAttr1」を指定します。
- 連携先サービス側に「属性値関連付け(ユーザ属性)」として属性名が「hogehoge1」、渡したい値が「abc」の場合は、「プライマリの値を使用する」をチェックします。
5. 「利用者設定」をクリックします。
6. 「利用者を追加する」をクリックし、アプリケーションにシングルサインオンさせたいグループ及びユーザを指定します。
【参考】
利用者に登録していないユーザにもこのアプリケーションを利用させたい場合は、「アプリケーションへのログイン」の「編集」をクリックします。
「利用者でないユーザも、アプリケーションへのログインを許可する」を選択し、「変更を適用する」をクリックします。
5. Amazonビジネスでシングルサインオン(SSO)をアクティブ化する
1. Amazonビジネスに管理者アカウントでログインします。
2. 「アカウント設定」 > 「ビジネスアカウントの設定」をクリックします。
【参考】
IIJ IDサービスの管理者及びAmazonビジネスの管理者でIIJ IDサービスとAmazonビジネスにそれぞれログインしていると「SSOテスト」がスムーズに実施できます。
3. 「システム連携」の「シングルサインオン(SSO)」をクリックします。
4. 「設定ステータス」の「テストを開始」をクリックします。
【参考】
「Amazon接続データ」の「完了」にチェックが入っていない場合はチェックを入れてください。
5. 「テスト」をクリックします。
【参考】
- Amazonビジネスのアカウントに紐づくIIJ IDのアカウントでログインする必要があります。
- IIJ IDサービスにログイン済みの場合はIIJ IDのログイン画面は表示されずにログインが完了します。
- Amazonビジネスのアカウントに紐づかないIIJ IDのアカウントでログインした場合、またはログイン済みの場合、接続テストに失敗します。
6. 「IDPが開始したURL」を控え、「アクティブ化」をクリックします。
7. 「テストを完了し、本番環境で稼働する準備ができました」をチェックし、「アクティブに切り替える」をクリックします。
【参考】
Amazonビジネスの管理者アカウントに紐づいていないIIJ IDのアカウントでログインした場合、Amazonビジネスの管理者アカウントでログインし直し、設定を行なう必要があります。
6. IIJ IDサービスのSAMLアプリケーションで「シングルサインオンURL」を変更する
1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。
2. アプリケーションの「編集する」をクリックします。
3. 「フェデレーション設定」をクリックします。
4. 以下のとおり設定し、「変更を適用する」をクリックします。
| 項目 | 内容 |
|---|---|
| シングルサインオンURL | 手順5-6で控えた「IDPが開始したURL」 |