|
<< Click to Display Table of Contents >> Navigation: システム設定(管理者マニュアル) > セキュリティ設定 > SAML 連携について |
FileBlogのSAML連携機能を使用するには以下2つの要件を満たすことが必要です。
•Active Directoryドメインの環境でFileBlogサーバーがドメイン参加している。
oFileBlogサーバーのネットワークドライブを検索対象にする場合、Active Directoryサーバーで委任許可がの設定が必要です。
•Active Directoryのユーザーアカウントと一致する情報が、SAML認証を提供する IdP(ID Provider)側に登録されていることが必要です。
SAML(=Security Assertion Markup Language)とは、複数のWebサービスがシングルサインオン連携するための標準通信プロトコルです。
企業内に複数のシステムがあり、それぞれのシステムに個別にログイン画面があって毎回ログインするというのがシングルサインオン以前の状態でした。
しかし、何度もログインするのは面倒であり、ID/パスワードを入力する回数が増えるとパスワード漏洩の危険も高まります。
そこで、どこか(IdP=Id Provider)で一度ログインしたら、個別のシステム(SP=Service Provider)ではログインを求められず、自動ログインできる仕組みである「シングルサイン」機能が求められるようになりました。
特に近年は、インターネット上で稼働する複数のクラウドサービスを連係利用するユーザーが増え、インターネット越しに安全に利用できるシングルサインオンの仕組みが必要になりました。
そこで標準的に使われる(IdPとSPの間での情報交換)プロトコルがSAMLです。
例えば、Microsoft 365 の各アプリケーション(Outlook/Share Point/One Drive/Teamsなど)の認証はSAMLに基づいて連動しているため、一度Microsoftアカウントでログインすればアプリケーションを切り替えてもログインを求められることはありません。
クラウド上での認証を提供するIdP (ID Provider)は様々に存在しますが、2020年夏現在、日本国内で比較的存在感のあるプロバイダとして、Teppi Technologyでは下記の二つのIdPとの組み合わせで動作検証を行いました。
•Microsoft Azure AD (Microsoft 365 サービスの認証基盤)
oMicrosoft 365 サブスクリプションを契約し、outlook.com のWebメールシステムを利用しているお客様は、日常的に Azure AD でユーザ認証を行っています。
•GMOグローバルサイン社 TrustLogin
oAzure ADがMicrosoft 365サブスクリプションと密接な包括的サブスクリプションであるのと異なり、認証サービス単体で比較的安価に提供されていることから、動作検証対象製品リストに加えました。Azure ADの全社導入に踏み切るには運用体制上・費用面で問題があるという場合のオプションとなりうると考えます。
上記以外の各社Idpについても導入済み製品をお知らせいただければ動作検証作業をサポートいたします。検証にはお客様とプロバイダーの両者のご協力が不可欠であり、期間を要することもあります。また、オンプレミスのIdp製品については検証環境を構築できないこともあります。