MongoDB のSAML JIT設定方法

 項目

内容 

事前確認

  • MongoDB にて事前の設定が必要です。

  • SAMLを適用するにはドメインの所有と検証が必要です。
  • 最新の設定手順は、MongoDB からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

SAML認証適用範囲

全員有効(SAML認証のみとなる)

その他:SPでドメイン認証したユーザーのみ有効(SAML認証のみとなる)

備考

特になし

 

目次:

事前準備(トラスト・ログインにてグループ設定)

事前準備(MongoDB にてドメイン検証)

トラスト・ログインの管理ページの設定 

MongoDB の設定

トラスト・ログインの管理ページの設定(続き)

トラスト・ログインのユーザーの設定

 

事前準備(トラスト・ログインにてグループ設定)

トラスト・ログインのグループに属するメンバーに対して、MongoDB の組織及びプロジェクトのロールマッピングの設定を行うため、あらかじめトラスト・ログインのグループ設定をしておきます。

グループの作成およびメンバーの割り当て方法は下記のページをご参照ください。
グループを登録する

 

事前準備(MongoDB にてドメイン検証)

  1. MongoDB の組織 (Organization)の管理ページを開き、「Federated Authentication Settings」の「Open Federation Management App」をクリックします。04.png

  2. 「Domains」メニューを開き、「Add Domains」をクリックします。
    004-1.png

  3. 「Display Name」「Domain Name」にSSO対象となるドメイン名を入力し、ドメインの認証方法として「DNS Record」を選択します。「Continue」で次へ進みます。004-2.png

  4. 「①Get your TXT Record」に表示されたTXTレコードをコピーして取得し、「Continue」をクリックします。
    004-3.png

  5. 取得したTXTレコードをドメインのDNSレコードに追加します。
    ドメインのDNSレコードの設定方法はドメインの管理会社のヘルプをご参照ください。

    DNSレコードの追加後、ドメインの「Actions」>「VERIFY」をクリックします。「Status」が「UNVERIFIED」から「VERIFIED」となったらドメイン認証完了です。

    DNSレコードの更新は最長72時間程度かかる場合がありますので、すぐに認証が完了しない場合は時間を置いてから「VERIFY」の操作を再度行ってください。
    domain4.png

ドメインの認証が完了したら次の工程から設定を再開してください。

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    jit01.png

  2. 「アプリケーション名」「アイコン」(任意)を設定します。
    02.png

  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」「発行者・エンティティID」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
    03.png

  4. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して以下の通り設定します。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値

    firstName

    Basic

    firstName

    メンバー メンバーー名
    lastName Basic lastName メンバー メンバーー姓

    memberOf

    Basic

    memberOf

    グループ 設定したグループ名を選択し「+」ボタンで追加する

    mapping02png.png

ここで、MongoDB 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでMongoDB を開いてください。

 

MongoDB の設定

  1. MongoDB の組織 (Organization)の管理ページを開き、「Federated Authentication Settings」の「Open Federation Management App」をクリックします。
    04.png

  2. 【IdP設定】
    「Identity Providers」メニューを開き、「Set Up Identity Provider」をクリックします。
    05.png

  3. 「Workforce Identity Federation」を選択して「Continue」で進みます。
    06.png

  4. 各項目を以下のとおり設定し、「Continue」で進みます。
    Configuration Name 任意の名称
    Issuer URI トラスト・ログインから取得した「発行者・エンティティID」
    Single Sign-On URL トラスト・ログインから取得した「IDプロバイダーURL」
    Identity Provider Signature Certificate 「Alternatively, paste the contents of the certificate directly.」をクリックして、トラスト・ログインから取得した「証明書」の中身をペースト

    07.png

  5. 「Download metadata」をクリックしてメタデータを取得し、「Save and Finish」をクリックします。
    08.png

  6. 「ASSOCIATE DOMAINS」をクリックします。
    09.png

  7. 対象ドメインを選択して、「Submit」ボタンをクリックします。
    11.png

  8. 右上の「Manage」をクリックして「Activate Identity Provider」を選択します。
    13.png

  9. 「Activate」をクリックします。
    14.png

  10. 「Linked Organizations」メニューを開き、対象組織の「CONFIGURE ACCESS」をクリックします。
    15.png

  11. 「Connect Identity Provider」をクリックします。
    16.png

  12. 設定したIdP設定を選択して「Connect」をクリックします。
    17.png

  13. 【「CONFIGURE ACCESS」内の設定① - Default Role】
    「Default Role」では、新規ユーザー作成時にユーザーに割り当てるロールを設定できます。
    ただし、次に設定を行うロールマッピングが適用される場合はそちらが優先されます。
    18.png

  14. 【「CONFIGURE ACCESS」内の設定② - ロールマッピングの設定】
    「Manage Role Mappings」をクリックします。
    19.png

  15. 「Create A Role Mapping」をクリックします。
    20.png

  16. 「Enter Group Name」にトラスト・ログインのグループ名を入力し、グループのメンバーに対し割り当てる組織のロールを選択します。「Next」ボタンで進みます。
    21.png

  17. 割り当てるプロジェクトのロールを選択し、「Next」ボタンで進みます。
    22.png

  18. 内容を確認し「Finish」ボタンで保存します。23.png

  19. 手順19〜22を繰り返し、マッピングするグループごとに設定を行います。

  20. 【「CONFIGURE ACCESS」内の設定③ - 招待ユーザーのドメイン制限】
    「Restrict Access by Domain」をONにすると、認証済みのドメインのメールアドレスを持つ新しいユーザーのみを組織に招待できます。
    ただし、既に組織の追加済みのユーザーが認証済みのドメインのメールアドレスでない場合は、組織へのアクセスは制限されません。
    24.png

 

再び、トラスト・ログインの管理ページに戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」の「メタデータを選択」ボタンで、MongoDB から取得した「メタデータ」をアップロードします。
    26.png

  2. 「登録」ボタンで保存します。

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

② 管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

MongoDB のSAML JIT設定方法

 項目

内容 

事前確認

  • MongoDB にて事前の設定が必要です。

  • SAMLを適用するにはドメインの所有と検証が必要です。
  • 最新の設定手順は、MongoDB からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

SAML認証適用範囲

全員有効(SAML認証のみとなる)

その他:SPでドメイン認証したユーザーのみ有効(SAML認証のみとなる)

備考

特になし

 

目次:

事前準備(トラスト・ログインにてグループ設定)

事前準備(MongoDB にてドメイン検証)

トラスト・ログインの管理ページの設定 

MongoDB の設定

トラスト・ログインの管理ページの設定(続き)

トラスト・ログインのユーザーの設定

 

事前準備(トラスト・ログインにてグループ設定)

トラスト・ログインのグループに属するメンバーに対して、MongoDB の組織及びプロジェクトのロールマッピングの設定を行うため、あらかじめトラスト・ログインのグループ設定をしておきます。

グループの作成およびメンバーの割り当て方法は下記のページをご参照ください。
グループを登録する

 

事前準備(MongoDB にてドメイン検証)

  1. MongoDB の組織 (Organization)の管理ページを開き、「Federated Authentication Settings」の「Open Federation Management App」をクリックします。04.png

  2. 「Domains」メニューを開き、「Add Domains」をクリックします。
    004-1.png

  3. 「Display Name」「Domain Name」にSSO対象となるドメイン名を入力し、ドメインの認証方法として「DNS Record」を選択します。「Continue」で次へ進みます。004-2.png

  4. 「①Get your TXT Record」に表示されたTXTレコードをコピーして取得し、「Continue」をクリックします。
    004-3.png

  5. 取得したTXTレコードをドメインのDNSレコードに追加します。
    ドメインのDNSレコードの設定方法はドメインの管理会社のヘルプをご参照ください。

    DNSレコードの追加後、ドメインの「Actions」>「VERIFY」をクリックします。「Status」が「UNVERIFIED」から「VERIFIED」となったらドメイン認証完了です。

    DNSレコードの更新は最長72時間程度かかる場合がありますので、すぐに認証が完了しない場合は時間を置いてから「VERIFY」の操作を再度行ってください。
    domain4.png

ドメインの認証が完了したら次の工程から設定を再開してください。

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    jit01.png

  2. 「アプリケーション名」「アイコン」(任意)を設定します。
    02.png

  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」「発行者・エンティティID」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
    03.png

  4. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して以下の通り設定します。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値

    firstName

    Basic

    firstName

    メンバー メンバーー名
    lastName Basic lastName メンバー メンバーー姓

    memberOf

    Basic

    memberOf

    グループ 設定したグループ名を選択し「+」ボタンで追加する

    mapping02png.png

ここで、MongoDB 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでMongoDB を開いてください。

 

MongoDB の設定

  1. MongoDB の組織 (Organization)の管理ページを開き、「Federated Authentication Settings」の「Open Federation Management App」をクリックします。
    04.png

  2. 【IdP設定】
    「Identity Providers」メニューを開き、「Set Up Identity Provider」をクリックします。
    05.png

  3. 「Workforce Identity Federation」を選択して「Continue」で進みます。
    06.png

  4. 各項目を以下のとおり設定し、「Continue」で進みます。
    Configuration Name 任意の名称
    Issuer URI トラスト・ログインから取得した「発行者・エンティティID」
    Single Sign-On URL トラスト・ログインから取得した「IDプロバイダーURL」
    Identity Provider Signature Certificate 「Alternatively, paste the contents of the certificate directly.」をクリックして、トラスト・ログインから取得した「証明書」の中身をペースト

    07.png

  5. 「Download metadata」をクリックしてメタデータを取得し、「Save and Finish」をクリックします。
    08.png

  6. 「ASSOCIATE DOMAINS」をクリックします。
    09.png

  7. 対象ドメインを選択して、「Submit」ボタンをクリックします。
    11.png

  8. 右上の「Manage」をクリックして「Activate Identity Provider」を選択します。
    13.png

  9. 「Activate」をクリックします。
    14.png

  10. 「Linked Organizations」メニューを開き、対象組織の「CONFIGURE ACCESS」をクリックします。
    15.png

  11. 「Connect Identity Provider」をクリックします。
    16.png

  12. 設定したIdP設定を選択して「Connect」をクリックします。
    17.png

  13. 【「CONFIGURE ACCESS」内の設定① - Default Role】
    「Default Role」では、新規ユーザー作成時にユーザーに割り当てるロールを設定できます。
    ただし、次に設定を行うロールマッピングが適用される場合はそちらが優先されます。
    18.png

  14. 【「CONFIGURE ACCESS」内の設定② - ロールマッピングの設定】
    「Manage Role Mappings」をクリックします。
    19.png

  15. 「Create A Role Mapping」をクリックします。
    20.png

  16. 「Enter Group Name」にトラスト・ログインのグループ名を入力し、グループのメンバーに対し割り当てる組織のロールを選択します。「Next」ボタンで進みます。
    21.png

  17. 割り当てるプロジェクトのロールを選択し、「Next」ボタンで進みます。
    22.png

  18. 内容を確認し「Finish」ボタンで保存します。23.png

  19. 手順19〜22を繰り返し、マッピングするグループごとに設定を行います。

  20. 【「CONFIGURE ACCESS」内の設定③ - 招待ユーザーのドメイン制限】
    「Restrict Access by Domain」をONにすると、認証済みのドメインのメールアドレスを持つ新しいユーザーのみを組織に招待できます。
    ただし、既に組織の追加済みのユーザーが認証済みのドメインのメールアドレスでない場合は、組織へのアクセスは制限されません。
    24.png

 

再び、トラスト・ログインの管理ページに戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」の「メタデータを選択」ボタンで、MongoDB から取得した「メタデータ」をアップロードします。
    26.png

  2. 「登録」ボタンで保存します。

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

② 管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。