Kibela のSAML JIT設定方法

 項目

内容 

事前確認

  • Kibela にて事前の設定が必要です。

  • SAML JITでトラスト・ログインのメンバー情報の「姓」「名」を同期する事はできません。ユーザーがKibela のプロフィール編集画面で設定する必要があります。
  • 最新の設定手順は、Kibela からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

事前準備(任意)

SAML JITによってKibelaユーザーの「役割」をトラスト・ログインで管理する場合、トラスト・ログインのメンバー情報にカスタム属性を追加して、Kibelaの役割を登録しておく必要があります。
SAML JITで役割を管理しない場合はこの作業は不要です。この作業を行わない場合、SAML JITで新規作成されるユーザーの役割は「フルメンバー」で作成されます。

トラスト・ログインのメンバー情報に、プロファイルを紐付けするためカスタム属性を設定します。
設定方法は以下のページをご参照ください。

【トラスト・ログイン カスタム属性 設定例】
00.png

  • owner - オーナー
  • admin - 管理者
  • full_member - フルメンバー
  • guest  - ゲスト


トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押下します。
    01.png

  2. 「アプリケーション名」、「アイコン」(任意)を登録します。
    02.png

  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」「発行者・エンティティID」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
    03.png

ここで、Kibela 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでKibelaを開いてください。

Kibela の設定

  1. 右上のアイコンから「設定」を開き「シングルサインオン」をクリックします。
    04.png
    05.png

  2. SAML 2.0 認証」の設定タブに切り替えます。
    06.png

  3. IDプロバイダ設定の各項目を以下の通り設定し「保存」ボタンで保存します。
    ダウンロード リンクからメタデータファイルをダウンロード
    識別子 トラスト・ログインから取得した「発行者・エンティティID」
    ログインURL トラスト・ログインから取得した「IDプロバイダーURL」
    証明書 トラスト・ログインから取得した「証明書」の中身

    07.png

トラスト・ログインの設定ページに戻ります。
Kibela のページはそのまま開いておいてください。

 

トラスト・ログインの管理ページの設定(続き)

  1. トラスト・ログインの設定を再開します。
    「サービスプロバイダーの設定」の「メタデータを選択」ボタンより、Kibelaからダウンロードしたメタデータをアップロードします。
    08.png

  2. 【SAML JITによってKibelaユーザーの「役割」をトラスト・ログインで管理する場合のみ】
    「SAML属性の設定」に以下の通り設定します。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    kibela.user.role Basic kibela.user.role

    カスタム属性

    設定した属性名


    13.png

  3. 「登録」ボタンで保存します。

  4. Kibela で接続テストを行うため、作成したSAMLアプリにテストを行なっている管理者をメンバー追加します。
    追加方法は後述のトラスト・ログインのユーザーの設定をご参照ください。

再びKibela に戻ります。

Kibela の設定(続き)

  1. 「テスト」ボタンをクリックし接続テストを行います。
    09.png

  2. テスト成功の画面が表示されたら戻ります。(再ログインが必要です)
    10.png

  3. SSOの設定から「無効」から「移行モード」または「SAML2 SSOのみ有効」に変更します。
    ※「SAML2 SSOのみ有効」を選択した場合、管理者を除きユーザーはKibelaのID/PWでのログインができなくなりますのでご注意ください。全ての動作検証やユーザーへの周知が完了するまで「移行モード」にしておくことを推奨します。
    11.png

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

SAML JITによるユーザーの新規作成

SAML JITでユーザーが初めてKibelaにログインした際、アカウント登録画面が表示されます。
ユーザー名はメールアドレスのアカウント名が自動入力されますが、この画面で変更することができます。


12.png

 

Kibela のSAML JIT設定方法

 項目

内容 

事前確認

  • Kibela にて事前の設定が必要です。

  • SAML JITでトラスト・ログインのメンバー情報の「姓」「名」を同期する事はできません。ユーザーがKibela のプロフィール編集画面で設定する必要があります。
  • 最新の設定手順は、Kibela からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

事前準備(任意)

SAML JITによってKibelaユーザーの「役割」をトラスト・ログインで管理する場合、トラスト・ログインのメンバー情報にカスタム属性を追加して、Kibelaの役割を登録しておく必要があります。
SAML JITで役割を管理しない場合はこの作業は不要です。この作業を行わない場合、SAML JITで新規作成されるユーザーの役割は「フルメンバー」で作成されます。

トラスト・ログインのメンバー情報に、プロファイルを紐付けするためカスタム属性を設定します。
設定方法は以下のページをご参照ください。

【トラスト・ログイン カスタム属性 設定例】
00.png

  • owner - オーナー
  • admin - 管理者
  • full_member - フルメンバー
  • guest  - ゲスト


トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押下します。
    01.png

  2. 「アプリケーション名」、「アイコン」(任意)を登録します。
    02.png

  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」「発行者・エンティティID」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
    03.png

ここで、Kibela 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでKibelaを開いてください。

Kibela の設定

  1. 右上のアイコンから「設定」を開き「シングルサインオン」をクリックします。
    04.png
    05.png

  2. SAML 2.0 認証」の設定タブに切り替えます。
    06.png

  3. IDプロバイダ設定の各項目を以下の通り設定し「保存」ボタンで保存します。
    ダウンロード リンクからメタデータファイルをダウンロード
    識別子 トラスト・ログインから取得した「発行者・エンティティID」
    ログインURL トラスト・ログインから取得した「IDプロバイダーURL」
    証明書 トラスト・ログインから取得した「証明書」の中身

    07.png

トラスト・ログインの設定ページに戻ります。
Kibela のページはそのまま開いておいてください。

 

トラスト・ログインの管理ページの設定(続き)

  1. トラスト・ログインの設定を再開します。
    「サービスプロバイダーの設定」の「メタデータを選択」ボタンより、Kibelaからダウンロードしたメタデータをアップロードします。
    08.png

  2. 【SAML JITによってKibelaユーザーの「役割」をトラスト・ログインで管理する場合のみ】
    「SAML属性の設定」に以下の通り設定します。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    kibela.user.role Basic kibela.user.role

    カスタム属性

    設定した属性名


    13.png

  3. 「登録」ボタンで保存します。

  4. Kibela で接続テストを行うため、作成したSAMLアプリにテストを行なっている管理者をメンバー追加します。
    追加方法は後述のトラスト・ログインのユーザーの設定をご参照ください。

再びKibela に戻ります。

Kibela の設定(続き)

  1. 「テスト」ボタンをクリックし接続テストを行います。
    09.png

  2. テスト成功の画面が表示されたら戻ります。(再ログインが必要です)
    10.png

  3. SSOの設定から「無効」から「移行モード」または「SAML2 SSOのみ有効」に変更します。
    ※「SAML2 SSOのみ有効」を選択した場合、管理者を除きユーザーはKibelaのID/PWでのログインができなくなりますのでご注意ください。全ての動作検証やユーザーへの周知が完了するまで「移行モード」にしておくことを推奨します。
    11.png

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

SAML JITによるユーザーの新規作成

SAML JITでユーザーが初めてKibelaにログインした際、アカウント登録画面が表示されます。
ユーザー名はメールアドレスのアカウント名が自動入力されますが、この画面で変更することができます。


12.png