GigaCC ASP

【参考】

2019年05月15日時点での情報で掲載しています。

「GigaCC ASP」との認証連携を設定します。

【注意】

  • GigaCC ASPでSAML連携を行う場合は、「SSO/SAML認証連携」オプションのご契約が必要です。
  • GigaCC ASPがSAMLで認証するキーは「ログインID」です。
  • IIJ IDサービス内のユーザ属性にGigaCC ASPの「ログインID」と同一の値を保持しておく必要があります。
  • 作業前にGigaCC ASPの管理者のログインIDを保持するアカウントをIIJ IDサービスに用意してください。用意したアカウントの組み合わせで作業を実施してください。

1. IIJ IDサービスにSAMLアプリケーションを登録する

1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。

2. 「アプリケーションを追加する」をクリックし、「カスタムアプリケーションを追加する」をクリックします。

3. 「SAMLアプリケーション」を選択し、「次に進む」をクリックします。

4. アプリケーション情報を入力し、「アプリケーションを追加する」をクリックします。

項目内容備考
アプリケーション名例)GigaCC ASP必須
アプリケーションの説明例)実績トップクラスの企業間ファイル転送・共有サービスGigaCC任意
アプリケーションロゴ(ファイルアップロード)任意
IDプロバイダの選択「アプリケーション専用のエンティティIDを利用」を選択必須
【参考】

同様の手順を繰り返し、GigaCC ASPの管理者画面用のアプリケーションについても作成します。
手順1-4については以下を参考に作成してください。

項目内容備考
アプリケーション名例)GigaCC ASP管理者画面必須
アプリケーションの説明例)実績トップクラスの企業間ファイル転送・共有サービスGigaCC任意
アプリケーションロゴ(ファイルアップロード)任意
IDプロバイダの選択「アプリケーション専用のエンティティIDを利用」を選択必須

2. IIJ IDサービスのIDプロバイダ情報を確認する

1. 作成されたアプリケーションの「編集する」をクリックします。

2. 「IDプロバイダ情報」をクリックします。

3. 表示された「SSOエンドポイントURL(Redirectバインディング)」、及び「PEM」の値を控えます。

【参考】

  • 「PEM」は、必ず「-----BEGIN CERTIFICATE-----」からはじまり、「-----END CERTIFICATE-----」で終わる形式です。
  • 「PEM」に書かれている値を改行などせずにそのままテキストファイルに張り付けてください。
  • 「PEM」情報をファイルでアップロードする必要があります。

【参考】

ここで取得したIDプロバイダ情報は、GigaCC ASP管理者画面用に作成したアプリケーションのIDプロバイダ情報と同一となります。

3. GigaCCにIDプロバイダ情報を登録する

1. GigaCCの管理者画面にログインします。

2. 上部のメニューにある「ボリューム管理」をクリックします。

3. 「シングルサインオン」をクリックします。

4. IDプロバイダ情報を入力して「更新」をクリックします。

項目内容備考
利用者画面用ログインURL手順4-4の作業で必要になりますので値を控えてください
管理者画面用ログインURL手順4-4の作業で必要になりますので値を控えてください
シングルサインオン「利用する」を選択
SSOエンドポイント

手順2-3で確認した「SSOエンドポイントURL(Redirectバインディング)」の値


利用者画面ログアウト後に遷移するURL

例)
https://www.auth.iij.jp/console/

任意の値です
ブランディングカスタマイズ後のURL、またはその他お客様の任意のURLを入力します

管理者画面ログアウト後に遷移するURL

例)
https://www.auth.iij.jp/console/

任意の値です
ブランディングカスタマイズ後のURL、またはその他お客様の任意のURLを入力します

Identity Providerの証明書

手順2-3で取得した「PEM」の値を保存したファイルをアップロード


IPアドレス制限(任意)SSO対象のURLを指定できます

5. 表示された「利用者画面用SPメタデータ」、及び「管理者画面用SPメタデータ」をダウンロードします。

4. IIJ IDサービスのSAMLアプリケーションを設定する

1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。

2. アプリケーションの「編集する」をクリックします。

3. 「フェデレーション設定」をクリックします。

4. 以下のとおり設定し、「変更を適用する」をクリックします。

項目内容備考
SAML基本情報SPのメタデータをアップロードする「SPのメタデータをアップロードする」をチェック
SPメタデータ手順3-5で入手した「利用者画面用SPメタデータ」をアップロード


検証後の遷移先(RelayState)

(空欄)


アプリケーションのトップページURL

手順3-4で入手した「利用者画面用ログインURL」をアップロード


アサーションの署名アルゴリズム

例)
RSA-SHA256


ユーザ識別子(NameID)の指定

関連付けるユーザ属性例)
ID

GigaCC ASPの「ログインID」の値が格納されている属性を指定します

【参考】

「アサーションの署名アルゴリズム」は連携先サービス側で指定などがない場合、デフォルト値の「RSA-SHA256」を選択してください。

「RSA-SHA256」を指定して動作しない場合及び連携先サービス側で明示的にそれ以外のものが指定されている場合は、「RSA-SHA512」、または「RSA-SHA1」に変更し、連携を確認してください。

【参考】

  • 「ユーザ識別子(NameID)」の指定は、ユーザ単位ではなくSAMLアプリケーション単位でのみ設定できます。
  • 「ユーザ識別子(NameID)」の指定した属性にユーザが値を保持していない場合は SAML連携は失敗します。
  • 「ユーザ識別子(NameID)」にID以外の複数の値を持つ属性で指定する方法は以下のとおりです。
    例として、IIJ IDサービスの各ユーザの属性「Entitlements」に以下のように値が設定されています。

    • 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro@iij.ad.jp」の場合は、「プライマリの値を使用する」をチェックします。
    • 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro」の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_ID」を指定します。

【注意】

  • 「ユーザ識別子(NameID)」としてID以外の属性を指定していると、IIJ IDサービスに対する更新処理でその属性の値が更新される場合があります。ただし、その更新は連携先サービスまで伝搬されないため、IIJ IDサービス側の属性の値が更新されると、連携していたアカウントに接続できなくなります。「ユーザ識別子(NameID)」としている属性の値が更新される場合は、連携先サービス側で紐づく属性(多くの場合、ユーザID)を忘れずに更新してください。
  • 以下の画像のように複数のタイプに「SaaS_ID」が設定されている場合、「ユーザ識別子(NameID)」に「SaaS_ID」を指定すると、サービスマニュアルに記載されているルールに基づいていずれかの単数値だけが採用されます。連携対象のサービスに管理者の意図しないアカウントがSAML連携される危険性があります。対象となる各ユーザにおいて、「ユーザ識別子(NameID)」として指定するタイプが複数個存在しないように注意してください。

5. 「利用者設定」をクリックします。

6. 「利用者を追加する」をクリックし、アプリケーションにシングルサインオンさせたいグループ及びユーザを指定します。

【参考】

利用者に登録していないユーザにもこのアプリケーションを利用させたい場合は、「アプリケーションへのログイン」の「編集」をクリックしします。

「利用者でないユーザも、アプリケーションへのログインを許可する」を選択し、「変更を適用する」をクリックします。

【参考】

同様の手順を繰り返し、GigaCC ASPの管理者画面用のアプリケーションについても作成します。
手順4-4については以下を参考に作成してください。


項目内容備考
SAML基本情報SPのメタデータをアップロードする「SPのメタデータをアップロードする」をチェック
SPメタデータ手順3-5で入手した「管理者画面用SPメタデータ」をアップロード


検証後の遷移先(RelayState)

(空欄)


アプリケーションのトップページURL

手順3-4で入手した「管理者画面用SPメタデータ」をアップロード


アサーションの署名アルゴリズム

例)
RSA-SHA256


ユーザ識別子(NameID)の指定

関連付けるユーザ属性例)
ID

GigaCC ASPの「ログインID」の値が格納されている属性を指定します