SSO/SAMLログイン

Valispace内では、Security Assertion Markup Language version 2(SAML v2)を使用したSingle Sign-On(SSO)でログインすることができます。SAML v2互換のIdentity Provider(IdP)があれば、それをValispaceインスタンスに接続し、ユーザは既存のアカウントでログインすることができます。

SSO ログイン

ValispaceアプリケーションのSSO設定は、デプロイのタイプによって異なります。

01.サーバー側の設定：

SSO設定が更新された後、設定することができます。以下の設定はアプリケーションの再起動を必要としません。
アプリケーションの再起動は必要ありません。

Step 1:デプロイメントで、https://{your.valispace.deploy}/admin/constance/config/ に移動します。

1. AUTH_SSO_SP_ENTITY_ID
   デフォルトの http://127.0.0.1:8000/rest/auth/sso/metadata/ をデプロイの URL に置き換えます。例: https://

2. AUTH_SSO_SP_ACS
   https:// のように URL を実際のものに置き換えます。

3. AUTH_SSO_SP_SLS
   https://のようにURLを実際のものに置き換える。

4. AUTH_SSO_X509CERT
   オプション設定として空白のままにすることもできます。x509証明書が必要な場合、この機能を有効にするためのヘルプがAltium Supportにあります。

5. AUTH_SSO_IDP_XML
   両者を接続する IdP メタデータ XML。さらに説明する。

6. AUTH_SSO_NAMEID_FORMAT
   IdP によってサポートされている nameId の形式は異なる。設定ページの「Authentication SSO Attributes」セクションで、Identity Provider（IdP）がさまざまなフィールドに使用する特定の名前を定義するオプションがある。以下に、これらのプロパティにどのような名前を付けるかの例を示す：

   1. AUTH_SSO_EMAIL_ATTRIBUTEメール

   2. AUTH_SSO_USERNAME_ATTRIBUTEuid

   3. AUTH_SSO_FIRST_NAME_ATTRIBUTE名前

   4. AUTH_SSO_LAST_NAME_ATTRIBUTEsn

   Note:これらの名前はIdPによって文書化されているはずですが、IdPとSPの両方を設定した後に500エラーが発生した場合、役に立つツールがあります。 SAML-tracer.これはChromeまたはFirefox用のアドオンで、IdPがValispaceに送信する情報とフィールド名を表示し、正しくマッピングしてくれる。

Note for Azure Configuration:Valispace は、SAML レスポンスの属性セクション内にある AUTH_SSO_*_ATTRIBUTE フィールドのみを見つけようとする。電子メールとユーザ名の両方を 'nameId' (電子メール) に設定する場合は、'emailAddress' プロパティにも指定する必要がある。

Azureが'nameId'を'emailAddress'形式で送信するように設定されている場合、'nameId'は属性として送信されません。AzureのClaim機能には、'namespace'という属性があります。この'namespace'は空のままにしておくか（デフォルトでは空ではない）、Valispaceの管理者設定で一致させる必要がある。

例えば、Microsoft Azureの場合、クレームの'namespace'は空のままにしておく。あるいは、Valispace の管理者設定の同じ属性に対応させる。

最初に、可能であれば、Azure の AuthnRequest の NameIDPolicy Element を「persistent」に設定する。このステップが完了したら、対応するValispaceの設定(AUTH_SSO_NAMEID_FORMAT)をこの変更に合わせて調整する。

これにより、各ユーザーは、Azure と Valispace 間のリンクを確立する一意のトークンを受け取るようになる。この方法は、メールアドレスの変更よりも優先される。

次に、Valispace の以下の設定を以下の設定に合わせて修正することを検討する：

AUTH_SSO_EMAIL_ATTRIBUTE:emailaddress' に設定する。

AUTH_SSO_USERNAME_ATTRIBUTE:これを'emailaddress'に設定する

これらの設定は、メールアドレスが「ユーザー名」として使用されることを前提としています。

02.IdPのセットアップと検証：

これは、セットアップで使用する特定のIdPに完全に依存する。この文書では、特定のIdPについて、最も一般的な文書のリンクを以下に示します：

• Azure AD SAML Azure/active-directory-setup-sso

• Auth0 Auth0 configure-auth0-saml-identity-provider

• Googlehttps://support.google.com/a/answer/6087519?hl=en

• キークローク https://www.keycloak.org/docs/latest/server_admin/#_saml

IdPで新しいアプリケーション/設定を追加する場合、通常、追加したいアプリケーションに関する以下の情報を求められます：

1. ENTITY_ID

https://。

1. ACS (Assertion Consumer Service)

https://。

1. SLS (Single Logout Service)

https://

また、どのユーザーフィールドが設定されたアプリケーションとその名前に送信されるかを設定することもできる。

IdPが設定されたので、SPをIdPにリンクする必要がある。そのためには、IdP接続情報を含むXML形式のファイルを入手する必要がある。これはIdPによって異なるが、取得方法は2つある。

1. IdPからXMLとして直接入手する方法

2. IdPは接続情報を示すが、XML形式ではない。この場合、https://www.samltool.com/idp_metadata.php、提供された情報でメタデータを自動構築することが推奨される。

XMLファイルを入手したら、その内容をすべてコピーしてフィールドに貼り付ける： AUTH_SSO_IDP_XMLフィールドに貼り付けます。

各ステップが完了すると、ValispaceのログインページにSSOログインボタンが表示され、最新の設定済みIdPログイン画面にリダイレクトされ、ログインできるようになる。

Note:Valispaceアプリケーションに登録されたユーザが組織に存在する場合、そのユーザはIdPのemailフィールドの値と照合され、一致すれば自動的にリンクされる。

The SSO Configuration for Valispace is done.

SSOログインのみ

シングルサインオン(SSO)を有効にすると、ユーザはSSOまたはユーザ名とパスワードのいずれかを使用して配置にログインできます。ユーザ名とパスワードを使用したログインをユーザに制限したい場合は、管理パネルで「フラグ」を切り替えることで制限できます。このフラグはログインページの "ユーザー名とパスワード "オプションを非表示にします。この機能を有効にするには、管理者は管理パネルにログインし、"Constants "に移動し、"Config "に移動する必要があります。そこから、管理者はオプション "AUTH_USERNAME_PASSWORD" のチェックを外すことができます。

このデモを見て、素早く簡単に実行する方法を学んでください。