項目 |
内容 |
|
---|---|---|
事前確認 |
|
|
ネームID |
〇 |
メールアドレス |
カスタム属性 ※ カスタム属性の設定方法はこちら |
||
SP側の設定 |
〇 |
管理者様にて設定 |
SPへ設定を依頼 |
||
プロビジョニング |
APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可) |
|
〇 |
SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可) |
|
|
なし(各システムでアカウント作成) |
|
アクセス方法 |
〇 |
SP-Initiated SSO |
〇 |
IdP-Initiated SSO |
|
デバイス別動作検証状況 |
〇 |
PC - ブラウザ |
ー |
PC - デスクトップアプリ |
|
〇 |
iOS - 標準ブラウザ (Safari) |
|
〇 |
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
iOS - ネイティブアプリ |
|
〇 |
Android - 標準ブラウザ (Chrome) |
|
〇 |
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
Android - ネイティブアプリ |
|
SAML認証適用範囲 |
ー |
全員有効(SAML認証のみとなる) |
〇 |
その他:SPでドメイン認証したユーザーのみ有効(SAML認証のみとなる) |
|
備考 |
特になし |
目次: |
事前準備(トラスト・ログインにてグループ設定)
トラスト・ログインのグループに属するメンバーに対して、MongoDB の組織及びプロジェクトのロールマッピングの設定を行うため、あらかじめトラスト・ログインのグループ設定をしておきます。
グループの作成およびメンバーの割り当て方法は下記のページをご参照ください。
グループを登録する
事前準備(MongoDB にてドメイン検証)
- MongoDB の組織 (Organization)の管理ページを開き、「Federated Authentication Settings」の「Open Federation Management App」をクリックします。
- 「Domains」メニューを開き、「Add Domains」をクリックします。
- 「Display Name」「Domain Name」にSSO対象となるドメイン名を入力し、ドメインの認証方法として「DNS Record」を選択します。「Continue」で次へ進みます。
- 「①Get your TXT Record」に表示されたTXTレコードをコピーして取得し、「Continue」をクリックします。
- 取得したTXTレコードをドメインのDNSレコードに追加します。
ドメインのDNSレコードの設定方法はドメインの管理会社のヘルプをご参照ください。
DNSレコードの追加後、ドメインの「Actions」>「VERIFY」をクリックします。「Status」が「UNVERIFIED」から「VERIFIED」となったらドメイン認証完了です。
DNSレコードの更新は最長72時間程度かかる場合がありますので、すぐに認証が完了しない場合は時間を置いてから「VERIFY」の操作を再度行ってください。
ドメインの認証が完了したら次の工程から設定を再開してください。
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
- 「アプリケーション名」「アイコン」(任意)を設定します。
-
「IDプロバイダーの情報」 の「IDプロバイダーURL」「発行者・エンティティID」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
-
「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して以下の通り設定します。
サービスプロバイダー属性 トラスト・ログイン(IdP)属性 属性指定名 属性種類 属性名 属性値 firstName
Basic firstName
メンバー メンバーー名 lastName Basic lastName メンバー メンバーー姓 memberOf
Basic memberOf
グループ 設定したグループ名を選択し「+」ボタンで追加する
ここで、MongoDB 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでMongoDB を開いてください。
MongoDB の設定
- MongoDB の組織 (Organization)の管理ページを開き、「Federated Authentication Settings」の「Open Federation Management App」をクリックします。
-
【IdP設定】
「Identity Providers」メニューを開き、「Set Up Identity Provider」をクリックします。
- 「Workforce Identity Federation」を選択して「Continue」で進みます。
- 各項目を以下のとおり設定し、「Continue」で進みます。
Configuration Name 任意の名称 Issuer URI トラスト・ログインから取得した「発行者・エンティティID」 Single Sign-On URL トラスト・ログインから取得した「IDプロバイダーURL」 Identity Provider Signature Certificate 「Alternatively, paste the contents of the certificate directly.」をクリックして、トラスト・ログインから取得した「証明書」の中身をペースト
- 「Download metadata」をクリックしてメタデータを取得し、「Save and Finish」をクリックします。
- 「ASSOCIATE DOMAINS」をクリックします。
- 対象ドメインを選択して、「Submit」ボタンをクリックします。
- 右上の「Manage」をクリックして「Activate Identity Provider」を選択します。
- 「Activate」をクリックします。
- 「Linked Organizations」メニューを開き、対象組織の「CONFIGURE ACCESS」をクリックします。
- 「Connect Identity Provider」をクリックします。
- 設定したIdP設定を選択して「Connect」をクリックします。
-
【「CONFIGURE ACCESS」内の設定① - Default Role】
「Default Role」では、新規ユーザー作成時にユーザーに割り当てるロールを設定できます。
ただし、次に設定を行うロールマッピングが適用される場合はそちらが優先されます。
-
【「CONFIGURE ACCESS」内の設定② - ロールマッピングの設定】
「Manage Role Mappings」をクリックします。
- 「Create A Role Mapping」をクリックします。
- 「Enter Group Name」にトラスト・ログインのグループ名を入力し、グループのメンバーに対し割り当てる組織のロールを選択します。「Next」ボタンで進みます。
- 割り当てるプロジェクトのロールを選択し、「Next」ボタンで進みます。
- 内容を確認し「Finish」ボタンで保存します。
- 手順19〜22を繰り返し、マッピングするグループごとに設定を行います。
-
【「CONFIGURE ACCESS」内の設定③ - 招待ユーザーのドメイン制限】
「Restrict Access by Domain」をONにすると、認証済みのドメインのメールアドレスを持つ新しいユーザーのみを組織に招待できます。
ただし、既に組織の追加済みのユーザーが認証済みのドメインのメールアドレスでない場合は、組織へのアクセスは制限されません。
再び、トラスト・ログインの管理ページに戻ります。
トラスト・ログインの管理ページの設定(続き)
- 「サービスプロバイダーの設定」の「メタデータを選択」ボタンで、MongoDB から取得した「メタデータ」をアップロードします。
- 「登録」ボタンで保存します。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
② 管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。