Configuring Single Sign-On (SSO)

サービスアドミンはProtoPieエンタープライズ環境のSSOを設定することができます。SSOの設定により、メンバーは認証ソース(Okta、 Auth0またはOneLogin 等)を通じてProtoPieにアクセスが可能です。この認証ソースは識別提供者(IdP)ともいい、これを基にサービス管理者はアクセスするチームユーザーを簡単に識別することができ、アクセス方法の管理も容易になります。

SSOとは、ユーザーがユーザーネームやパスワードを何度も入力せずに、一組のIDとパスワードによる認証を一度行うだけでアプリやウェブサイトにログインできるようにする認証の仕組みです。既に多くの組織や企業では、全面的なセキュリティ及び利便性の確保のため、内部ポリシーにSSOを導入しています。

ProtoPieでは下記2種類のSSOプロトコルをサポートしています:

  • SAML 2.0
  • OAuth 2.0フレームワーク上のオープンID接続(OIDC)

Setting Up SAML SSO

SAML方式では、ProtoPieは認証方法のIDプロバイダー(IdP)を接続するサービスプロバイダー(SP)の役割をします。

設定するためには、IdPにProtoPieを追加する必要があります。この方法は、IdPによって異なりますが、基本的にはProtoPieから認証トークンを送信するSPのassertion consumer URLインターフェース(spAcsUrl)をIdPに入力し、IdPで得たIdP Metadata URLをProtoPieに入力します。

  1. サービスアドミンの設定画面から認証画面を選択します。
  2. SAMLを有効にします。
  3. assertion consumer URL(spAcsUrl)をコピーします。
[object Object]

IdPにアプリを追加する方法はIdPにより異なります。Oktaの場合は、下記の手順をご参照ください。

SAML SSO with Okta

  1. Oktaにログインし、「Applications」ページに移動します。
  2. 画面左上の「Add Application」をクリックします。
    [object Object]
  3. 画面右上の「Create New App」をクリックします。
    [object Object]
  4. 表示される「SAML 2.0」を選択し、右下の「Create」をクリックします。
    [object Object]
  5. 「General Settings」に移動し、app nameにProtoPieと入力します。ProtoPieロゴをアップロードすることも可能です。次に「Next」をクリックします。
    [object Object]
  6. SAML設定のために以下を設定します。
    1. コピーしたAssertion Consumer Service URL(spAcsUrl)を、Single sign on URLとAudience URI(SP Entity ID)の入力欄に貼り付けます。
    2. Name ID formatでEmail Addressを選択します。
    3. NameにfirstName(姓)を入力し、Valueにuser.firstNameを入力した後、「Add Another」をクリックします。
    4. NameにlastName (名)を入力し、Valueにuser.lastNameを入力します。
    5. 「Next」をクリックします。
      [object Object]
  7. I'm a software vendor. I'd like to integrate my app with Oktaを選択し、「Finish」をクリックします。
    [object Object]
  8. Oktaでは、ユーザーにProtoPieアプリをアサインする必要があります。「ProtoPie application」に移動し、「Assignments」タブをクリックします。「Assign」ボタンをクリックして、ユーザーをアサインしてください。
    [object Object]
  9. 「Sign On」タブをクリックしてから、「View Setup Instructions」をクリックします。
    [object Object]
  10. Identity Provider Single Sign-On URLはSAML設定に必要なIdP Metadata URLと同様です。これをコピーします。
    [object Object]
  11. サービスアドミンの設定画面から認証に戻ります。
  12. サービスアドミンの設定画面から認証に戻ります。
  13. IdPでコピーしたIdP Metadata URLを貼り付けます。
  14. 「Update」をクリックすれば設定は完了します。

SAML SSO with Another IdP

SAML SSO(その他のIdP)を設定するためには、Oktaと同じく、ProtoPieで生成したAssertion Consumer URL(spAcsUrl)とIdPで生成されたIdP Metadata URLが必要です。新しいアプリを追加する方法については、選択したIdPの設定方法をご参照ください。

Setting Up OIDC SSO

オープンID接続(OIDC)とは、OAuth 2.0フレームワーク上に構築された認証プロトコルのことをいいます。

設定するためには、IdPにProtoPieを追加する必要があります。この方法は、IdPによって異なりますが、ProtoPieで生成されたcallback URL(loginUrl)をIdPに入力し、IdPで生成された認証URL、token URL、client ID、及びclient SecretをProtoPieに入力してください。

  1. サービスアドミンの設定画面から認証画面を選択します。
  2. OIDCを有効にします。
  3. Callback URL(loginUrl)をコピーします。
    [object Object]

IdPにアプリを追加する方法は、IdPによって異なります。Oktaを使用する場合は以下の手順に従ってください。

OIDC SSO with Okta

  1. Oktaにログインし、「Applications」ページに移動します。
  2. 画面左上の「Add Application」をクリックします。
    [object Object]
  3. 画面右上の「Create New App」をクリックします。
    [object Object]
  4. Sign on methodとしてOpen ID Connectを選択して、Createをクリックしてください。
    [object Object]
  5. General Settingsに移動し、app nameにProtoPieを入力します。ProtoPieロゴをアップロードすることもできます。コピーしたCallback URL(loginUrl)をLogin redirect URIs入力欄に貼り付け、「Save」をクリックします。
    [object Object]
  6. Oktaでは、ProtoPieアプリにユーザーをアサインする必要があります。「ProtoPie application」に移動し、「Assignments」タブをクリックします。「Assign」ボタンをクリックして、ユーザーをアサインします。
    [object Object]
  7. Generalタブをクリックし、Client IDとClient secretの両方をコピーしてください。
    [object Object]
  8. 「Sign On」タブをクリックします。authorization URLとtoken URLの両方が必要です。これら二種類のURLは、IdPによって異なります。Oktaの場合、authorization URLは ${baseUrl}/oauth2/v1/authorize、token URLは${baseUrl}/oauth2/v1/token です。base URLの場合、「OpenID Connect ID Token」のIssuer値を使用してください。base URLを構成する方法についてはこちらをご参照ください。
    [object Object]
  9. サービスアドミンの設定画面から認証に戻ります。
  10. OIDCをチェックして有効にします。
  11. 「Update」をクリックします。
  12. 「Update」をクリックします。

OIDC SSO with Another IdP

OIDC SSO(その他のIdP)を設定するためには、Oktaと同じく、ProtoPieで生成したcallback URL(loginUrl)、および client IDとclient secretが必要です。新しいアプリを追加する方法については、選択したIdPの設定方法をご参照ください。

Managing Members

SSOを有効化してもメンバーの管理はProtoPieエンタープライズ画面にて行う必要があります。IdPからメンバーを追加または削除をしても、ProtoPieエンタープライズには自動的に更新されません。IdPにてユーザーのメールアドレスを変更した場合にはProtoPieエンタープライズの管理画面でも同様の更新作業を行って下さい。

Back To Top