Bio-IDiom 顔認証SSO 外部IDP連携の設定方法

本ページでは、日本電気株式会社のBio-IDiom 顔認証SSOをSAML Identity Provider(IdP)として使用し、
トラスト・ログインと連携する手順を説明します。

設定はBio-IDiom 顔認証SSO側とトラスト・ログイン管理ページの両方で行います。

事前確認

  • ご利用にあたりトラスト・ログインのプロプランまたはオプションの契約が必要です。
     料金はこちら
  • Bio-IDiom 顔認証SSO側で認証者情報や写真等の事前設定が完了していることが前提となります。
    事前設定や最新の設定手順についてはBio-IDiom 顔認証SSOのご契約後、
    NEC Cloud Servicesより参照可能なマニュアルをご確認ください。
  • ログイン方法をSAML認証のみに制限したい場合、メンバーをパスワード認証の割り当てから外す必要があります。
    管理者権限ユーザーは緊急時に備え、パスワード認証を割り当ていただくことを推奨します。
     参考:パスワード認証の設定 ~IDPとトラスト・ログインのパスワード両方でログインする~

設定手順

事前準備

以下URLの{テナントID}部分をご利用のIDに差し替えてアクセスし、SAML Metadataを取得しておきます。(トラスト・ログイン側の設定で利用します)

https://sso.bio-auth.com/auth/realms/{テナントID}/protocol/saml/descriptor

 

Bio-IDiom 顔認証SSO側の設定

※最新の設定手順はNEC Cloud Servicesより提供されているマニュアルをご確認ください。

  1. Bio-IDiom 顔認証SSOの管理画面へログインし、「設定 > クライアント」画面に進みます。
    BioAuth01.png
     
  2. 画面右上「作成」ボタンをクリックします。
    BioAuth02.png
     
  3. クライアントの追加画面で以下の値を設定し「保存」します。

    項目 設定値・詳細
    クライアントID trustlogin-saml-sp
    クライアント・プロトコル saml

    BioAuth27.png
     

  4. クライアント詳細設定画面で、以下の項目に値を設定します。
    ※本手順で設定する値以外はデフォルト値で問題ありません。(設定項目一覧

    項目 設定値・詳細
    クライアントID(※手順3で設定済み) trustlogin-saml-sp
    Name IDフォーマット username
    有効なリダイレクトURI https://portal.trustlogin.com/saml/acs
    SAMLエンドポイントの詳細設定
    >アサーション・コンシューマー・サービスのPOSTバインディングURL
    https://portal.trustlogin.com/saml/acs
    認証フローのオーバーライド
    >ブラウザーフロー
    bis_webapp

     

  5. 設定を「保存」します。
    BioAuth08.png
     
  6. 作成したクライアント設定の「マッパー」タブを開き、「作成」をクリックします。
    BioAuth26.png
     
  7. 「プロトコル・マッパーを作成」画面で以下の値を設定し、「保存」します。

    項目 設定値・詳細
    名前 NameID
    マッパータイプ User Attribute Mapper For NameID
    Name IDフォーマット urn:oasis:names:SAML:1.1:nameid-format:emailAddress
    ユーザー属性 username

    BioAuth09.png
     

    以上でBio-IDiom 顔認証SSO側の設定は完了です。
    続いてトラスト・ログイン側の設定を行います。

 

トラスト・ログイン側の設定

  1. トラスト・ログインにログインし、
    「管理ページ」の「設定 > オプション機能 > 外部IDP連携 > 設定」を開きます。
    BioAuth13.png
     
  2. 「SAML IDPを追加」をクリックします。
    BioAuth14.png
     
  3. 「SAML IDプロバイダー作成」画面で、以下の情報を入力します。

    項目 設定値・詳細
    名前 任意の名称を入力してください。
    例:Bio-IDiom 顔認証SSO
    SSO URL 事前準備 > 取得したメタデータ内のエンドポイントURL(Location の値)
    BioAuth17.png
    Entity ID 事前準備 > 取得したメタデータ内のエンティティID(entityID の値)
    BioAuth18.png
    SAML IDプロバイダー証明書 事前準備 > 取得したメタデータ内の証明書情報(X509Certificate の値)
    BioAuth19.png
    NameIDフォーマット NameIDとして送信する形式を指定します。
    事前準備 > 指定した形式に合わせた値を選択してください。

    ※詳細はこちら
    優先NameID属性 NameIDの照合時、優先するメンバー属性を指定します。

    ※詳細はこちら
    大文字・小文字を区別する NameIDの照合時に大文字・小文字を区別するかどうかを指定します。
    ※詳細はこちら


     

  4. 「登録」をクリックします。
    BioAuth16.png
     
  5. 続いてBio-IDiom 顔認証SSOのIDでログインさせるメンバーの割り当てを行います。
    「メンバーの追加」をクリックします。(グループごと追加する場合には「グループの追加」)
    BioAuth20.png
     
  6. 対象のメンバーを選択し「登録」ボタンをクリックします。
    BioAuth21.png

    メンバーの追加が完了しました。
    以上で設定は完了です。

設定確認

トラスト・ログインログインページより、企業IDとメールアドレスを入力し、顔認証でログイン可能なことを確認します。

BioAuth22.png
BioAuth23.png
 

認証方法が複数割り当てられている場合は、設定した外部IDP名のボタンからログインしてください。
BioAuth24.png

※ボタン名は設定画面上で変更できます。
BioAuth25.png

 

備考

  • クライアント詳細設定項目一覧
    BioAuth28.png

    ※手順に戻る場合はこちら

Bio-IDiom 顔認証SSO 外部IDP連携の設定方法

本ページでは、日本電気株式会社のBio-IDiom 顔認証SSOをSAML Identity Provider(IdP)として使用し、
トラスト・ログインと連携する手順を説明します。

設定はBio-IDiom 顔認証SSO側とトラスト・ログイン管理ページの両方で行います。

事前確認

  • ご利用にあたりトラスト・ログインのプロプランまたはオプションの契約が必要です。
     料金はこちら
  • Bio-IDiom 顔認証SSO側で認証者情報や写真等の事前設定が完了していることが前提となります。
    事前設定や最新の設定手順についてはBio-IDiom 顔認証SSOのご契約後、
    NEC Cloud Servicesより参照可能なマニュアルをご確認ください。
  • ログイン方法をSAML認証のみに制限したい場合、メンバーをパスワード認証の割り当てから外す必要があります。
    管理者権限ユーザーは緊急時に備え、パスワード認証を割り当ていただくことを推奨します。
     参考:パスワード認証の設定 ~IDPとトラスト・ログインのパスワード両方でログインする~

設定手順

事前準備

以下URLの{テナントID}部分をご利用のIDに差し替えてアクセスし、SAML Metadataを取得しておきます。(トラスト・ログイン側の設定で利用します)

https://sso.bio-auth.com/auth/realms/{テナントID}/protocol/saml/descriptor

 

Bio-IDiom 顔認証SSO側の設定

※最新の設定手順はNEC Cloud Servicesより提供されているマニュアルをご確認ください。

  1. Bio-IDiom 顔認証SSOの管理画面へログインし、「設定 > クライアント」画面に進みます。
    BioAuth01.png
     
  2. 画面右上「作成」ボタンをクリックします。
    BioAuth02.png
     
  3. クライアントの追加画面で以下の値を設定し「保存」します。

    項目 設定値・詳細
    クライアントID trustlogin-saml-sp
    クライアント・プロトコル saml

    BioAuth27.png
     

  4. クライアント詳細設定画面で、以下の項目に値を設定します。
    ※本手順で設定する値以外はデフォルト値で問題ありません。(設定項目一覧

    項目 設定値・詳細
    クライアントID(※手順3で設定済み) trustlogin-saml-sp
    Name IDフォーマット username
    有効なリダイレクトURI https://portal.trustlogin.com/saml/acs
    SAMLエンドポイントの詳細設定
    >アサーション・コンシューマー・サービスのPOSTバインディングURL
    https://portal.trustlogin.com/saml/acs
    認証フローのオーバーライド
    >ブラウザーフロー
    bis_webapp

     

  5. 設定を「保存」します。
    BioAuth08.png
     
  6. 作成したクライアント設定の「マッパー」タブを開き、「作成」をクリックします。
    BioAuth26.png
     
  7. 「プロトコル・マッパーを作成」画面で以下の値を設定し、「保存」します。

    項目 設定値・詳細
    名前 NameID
    マッパータイプ User Attribute Mapper For NameID
    Name IDフォーマット urn:oasis:names:SAML:1.1:nameid-format:emailAddress
    ユーザー属性 username

    BioAuth09.png
     

    以上でBio-IDiom 顔認証SSO側の設定は完了です。
    続いてトラスト・ログイン側の設定を行います。

 

トラスト・ログイン側の設定

  1. トラスト・ログインにログインし、
    「管理ページ」の「設定 > オプション機能 > 外部IDP連携 > 設定」を開きます。
    BioAuth13.png
     
  2. 「SAML IDPを追加」をクリックします。
    BioAuth14.png
     
  3. 「SAML IDプロバイダー作成」画面で、以下の情報を入力します。

    項目 設定値・詳細
    名前 任意の名称を入力してください。
    例:Bio-IDiom 顔認証SSO
    SSO URL 事前準備 > 取得したメタデータ内のエンドポイントURL(Location の値)
    BioAuth17.png
    Entity ID 事前準備 > 取得したメタデータ内のエンティティID(entityID の値)
    BioAuth18.png
    SAML IDプロバイダー証明書 事前準備 > 取得したメタデータ内の証明書情報(X509Certificate の値)
    BioAuth19.png
    NameIDフォーマット NameIDとして送信する形式を指定します。
    事前準備 > 指定した形式に合わせた値を選択してください。

    ※詳細はこちら
    優先NameID属性 NameIDの照合時、優先するメンバー属性を指定します。

    ※詳細はこちら
    大文字・小文字を区別する NameIDの照合時に大文字・小文字を区別するかどうかを指定します。
    ※詳細はこちら


     

  4. 「登録」をクリックします。
    BioAuth16.png
     
  5. 続いてBio-IDiom 顔認証SSOのIDでログインさせるメンバーの割り当てを行います。
    「メンバーの追加」をクリックします。(グループごと追加する場合には「グループの追加」)
    BioAuth20.png
     
  6. 対象のメンバーを選択し「登録」ボタンをクリックします。
    BioAuth21.png

    メンバーの追加が完了しました。
    以上で設定は完了です。

設定確認

トラスト・ログインログインページより、企業IDとメールアドレスを入力し、顔認証でログイン可能なことを確認します。

BioAuth22.png
BioAuth23.png
 

認証方法が複数割り当てられている場合は、設定した外部IDP名のボタンからログインしてください。
BioAuth24.png

※ボタン名は設定画面上で変更できます。
BioAuth25.png

 

備考

  • クライアント詳細設定項目一覧
    BioAuth28.png

    ※手順に戻る場合はこちら