KiteRa のSAML JIT設定方法

 項目

内容 

事前確認

  • KiteRa にて事前の設定が必要です。

  • 最新の設定手順は、KiteRa からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

事前準備

KiteRa のSAML JITでは以下項目の同期の実行が選択可能です。
「グループ」の同期を行う場合のみ、こちらの事前準備が必要です。
「グループ」の同期を行わない場合は次項の「トラスト・ログインの管理ページの設定」へお進みください。

  • 権限
  • グループ

グループを作成しメンバーを割り当て

KiteRa のグループにマッピングするグループを作成し、メンバーを割り当てます。
(既存のグループで運用が可能な場合は既存グループでも構いません。)

グループの作成方法、メンバーの割り当て方法は以下のページをご参照ください。
    グループを登録する

【設定例】

  • 「管理者」グループを作成し、KiteRa の「管理者」グループに割り当て
  • 「営業部」グループを作成し、KiteRa の「営業部」グループに割り当て

これにより「管理者」グループに属するユーザーがKiteRa にSAMLログインを行うと、自動的に「管理者」グループに割り当てられます。

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    jit01.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

ここで、KiteRa 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでKiteRa を開いてください。

KiteRa の設定

  1. 左メニューから「ワークスペース設定」をクリックします。
    04.png

  2. 「セキュリティ」を開き、「シングルサインオンを設定する」にチェックを入れます。
    05.png

  3. 各項目を以下の通り設定します。
    Entity ID コピーボタンで値をコピーして控えておく
    ACS URL コピーボタンで値をコピーして控えておく
    IdP設定情報 トラスト・ログインから取得した「メタデータ」を「IdPメタデータをアップロード」ボタンでアップロード
    デフォルトグループ

    【グループマッピングを行わない場合】
    新規ユーザー作成時、適用されるデフォルトグループを設定する。
    (「未設定」とした場合はどのグループにも属さない)

     
    【グループマッピングを行う場合】
    グループマッピングされたいずれのグループにも属していないユーザーに適用されるデフォルトグループを設定する。
    (「未設定」とした場合はどのグループにも属さない)

    グループの割当てを追随する

    【グループマッピングを行わない場合】
    チェックをOFF

    【グループマッピングを行う場合】
    SAMLログインのたびにグループマッピングを上書きしたい場合はチェックをON

    チェックをOFFにした場合は、初回ログイン時のみグループマッピングが適用される。

    以下の項目はグループマッピングを行う場合のみ設定します。
    グループマッピング設定 KiteRa のグループにマッピングするトラスト・ログインのグループ名を入力

    06.png

接続テストを行うため一度トラスト・ログインの設定に戻ります。
KiteRa はそのまま開いておきます。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」を以下の通り設定します。
    エンティティID KiteRa から取得した「Entity ID
    ネームIDフォーマット unspecified
    サービスへのACS URL KiteRa から取得した「ACS URL

    07.png

  2. 【オプション】
    「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して同期したい項目を以下の通り設定します。

    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    firstName Basic firstName

    メンバー

    メンバーー名

    lastName Basic lastName

    メンバー

    メンバーー姓

    role Basic role

    メンバー

    メンバーー権限

    groups Basic groups

    グループ

    設定したグループ名を選択し「+」ボタンで追加する


    ※ 姓・名を同期しない場合、KiteRa 側のユーザー名にはメールアドレスが同期されます。
    ※ 「権限」の同期はユーザー新規作成時のみ行われます。2回目以降のログインの際は上書きされませんので、役割の変更をしたい場合はKiteRa のメンバー管理上で変更する必要があります。
    「権限」の同期を設定しない場合、ユーザーの役割は「メンバー」で作成されます。
    トラスト・ログインの権限 KiteRa のユーザー「役割」
    管理 管理者
    一般 メンバー


    【例①:すべての項目を同期しない場合】
    「SAML属性の設定」の 設定は不要です。
    11.png



    【例②:姓・名のみ同期する場合】
    08.png

    【例③:すべての項目を同期する場合】
    グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。
    09.png


  3. 「登録」ボタンで保存します。

  4. 作成したSAMLアプリにテストを行なっている管理者をメンバー追加します。
    追加方法は後述のトラスト・ログインのユーザーの設定をご参照ください。

 

再びKiteRa に戻ります。

KiteRa の設定(続き)

  1. 【接続テスト】
    「IdPとの接続を確認する」をクリックして、正常にページが表示されることを確認します。

  2. テストが完了したら、「シングルサインオンを有効にする」にチェックし「設定を保存」で保存します。
    10.png

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

ドメイン制限の設定方法

許可したドメインのメールアドレスのみ、ユーザー作成を許可する場合、
「ワークスペース設定 > セキュリティ > @ドメイン制限」の「ドメイン制限を有効にする」にチェックをし、許可するドメインをメールアドレスドメインに入力します。
「設定を保存」ボタンで保存します。
12.png

 

KiteRa のSAML JIT設定方法

 項目

内容 

事前確認

  • KiteRa にて事前の設定が必要です。

  • 最新の設定手順は、KiteRa からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

事前準備

KiteRa のSAML JITでは以下項目の同期の実行が選択可能です。
「グループ」の同期を行う場合のみ、こちらの事前準備が必要です。
「グループ」の同期を行わない場合は次項の「トラスト・ログインの管理ページの設定」へお進みください。

  • 権限
  • グループ

グループを作成しメンバーを割り当て

KiteRa のグループにマッピングするグループを作成し、メンバーを割り当てます。
(既存のグループで運用が可能な場合は既存グループでも構いません。)

グループの作成方法、メンバーの割り当て方法は以下のページをご参照ください。
    グループを登録する

【設定例】

  • 「管理者」グループを作成し、KiteRa の「管理者」グループに割り当て
  • 「営業部」グループを作成し、KiteRa の「営業部」グループに割り当て

これにより「管理者」グループに属するユーザーがKiteRa にSAMLログインを行うと、自動的に「管理者」グループに割り当てられます。

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    jit01.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

ここで、KiteRa 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでKiteRa を開いてください。

KiteRa の設定

  1. 左メニューから「ワークスペース設定」をクリックします。
    04.png

  2. 「セキュリティ」を開き、「シングルサインオンを設定する」にチェックを入れます。
    05.png

  3. 各項目を以下の通り設定します。
    Entity ID コピーボタンで値をコピーして控えておく
    ACS URL コピーボタンで値をコピーして控えておく
    IdP設定情報 トラスト・ログインから取得した「メタデータ」を「IdPメタデータをアップロード」ボタンでアップロード
    デフォルトグループ

    【グループマッピングを行わない場合】
    新規ユーザー作成時、適用されるデフォルトグループを設定する。
    (「未設定」とした場合はどのグループにも属さない)

     
    【グループマッピングを行う場合】
    グループマッピングされたいずれのグループにも属していないユーザーに適用されるデフォルトグループを設定する。
    (「未設定」とした場合はどのグループにも属さない)

    グループの割当てを追随する

    【グループマッピングを行わない場合】
    チェックをOFF

    【グループマッピングを行う場合】
    SAMLログインのたびにグループマッピングを上書きしたい場合はチェックをON

    チェックをOFFにした場合は、初回ログイン時のみグループマッピングが適用される。

    以下の項目はグループマッピングを行う場合のみ設定します。
    グループマッピング設定 KiteRa のグループにマッピングするトラスト・ログインのグループ名を入力

    06.png

接続テストを行うため一度トラスト・ログインの設定に戻ります。
KiteRa はそのまま開いておきます。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」を以下の通り設定します。
    エンティティID KiteRa から取得した「Entity ID
    ネームIDフォーマット unspecified
    サービスへのACS URL KiteRa から取得した「ACS URL

    07.png

  2. 【オプション】
    「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して同期したい項目を以下の通り設定します。

    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    firstName Basic firstName

    メンバー

    メンバーー名

    lastName Basic lastName

    メンバー

    メンバーー姓

    role Basic role

    メンバー

    メンバーー権限

    groups Basic groups

    グループ

    設定したグループ名を選択し「+」ボタンで追加する


    ※ 姓・名を同期しない場合、KiteRa 側のユーザー名にはメールアドレスが同期されます。
    ※ 「権限」の同期はユーザー新規作成時のみ行われます。2回目以降のログインの際は上書きされませんので、役割の変更をしたい場合はKiteRa のメンバー管理上で変更する必要があります。
    「権限」の同期を設定しない場合、ユーザーの役割は「メンバー」で作成されます。
    トラスト・ログインの権限 KiteRa のユーザー「役割」
    管理 管理者
    一般 メンバー


    【例①:すべての項目を同期しない場合】
    「SAML属性の設定」の 設定は不要です。
    11.png



    【例②:姓・名のみ同期する場合】
    08.png

    【例③:すべての項目を同期する場合】
    グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。
    09.png


  3. 「登録」ボタンで保存します。

  4. 作成したSAMLアプリにテストを行なっている管理者をメンバー追加します。
    追加方法は後述のトラスト・ログインのユーザーの設定をご参照ください。

 

再びKiteRa に戻ります。

KiteRa の設定(続き)

  1. 【接続テスト】
    「IdPとの接続を確認する」をクリックして、正常にページが表示されることを確認します。

  2. テストが完了したら、「シングルサインオンを有効にする」にチェックし「設定を保存」で保存します。
    10.png

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

ドメイン制限の設定方法

許可したドメインのメールアドレスのみ、ユーザー作成を許可する場合、
「ワークスペース設定 > セキュリティ > @ドメイン制限」の「ドメイン制限を有効にする」にチェックをし、許可するドメインをメールアドレスドメインに入力します。
「設定を保存」ボタンで保存します。
12.png