Skip to main content

 

 

 

 

 
Language:
 
 
 
OutSystems

SAMLを使用するIDプロバイダを使用するためのOutSystemsの構成

SAMLを使用するフェデレーションSSO認証

OutSystemsアプリケーションでフェデレーション認証を設定し、SAMLプロトコルを使用して外部IDプロバイダに接続するには、IdP Forgeコンポーネントを利用できます。これは汎用のフェデレーションIDプロバイダ(IdP)コネクタです。IdPによって、OutSystemsアプリケーションを、ほとんどの商用IDプロバイダ企業が提供するシングルサインオン(SSO)と連携させることができます。

Platform Server Release Jul.2019 CP2(2019年8月23日)以降では、環境全体のSAML 2.0認証をUsersアプリケーションで直接構成できます。手順の詳細については、オンラインヘルプの「SAML 2.0認証を構成する」をご覧ください。

この連携では、OutSystemsアプリケーション(サービスプロバイダ - SP)にアクセスすると、ユーザーはWebページ(エンタープライズのログインマネージャ)にリダイレクトされ、エンタープライズのユーザー名とパスワードの入力が求められます。ユーザーのログインが検証されると、ログインしたユーザーの検証済みIDがエンタープライズのIDプロバイダからOutSystemsアプリケーションに通知され、ユーザーが元のポータルWebサイトにリダイレクトされます。

IdPコンポーネントとIDプロバイダの間の接続を正常に確立するには、認証フローを変更して、ユーザーをIDプロバイダのログインにリダイレクトするようにIdPコンポーネントとIDプロバイダの両方を構成する必要があります。この記事では、必要な設定について説明します。

アプリケーションでIdPコネクタの使用を構成する

ログインフロー

  • CommonフローのNoPermission画面を変更します。

標準的なOutSystemsアプリケーションには、認証と例外の処理を行うCommonフローがあります。

シナリオの一例として、認証が必要なリソースにユーザーがアクセスしようとしているときに、まだ認証されていない場合があります。

この場合、アプリケーションでセキュリティ例外が発生し、この例外がCommonフローで処理され、ユーザーはログイン画面にリダイレクトされます。

そのため、OutSystemsアプリケーションの連携のための最初の手順として、ユーザーがログイン画面ではなくIDプロバイダにリダイレクトされるようにこの動作を変更します。

  • NoPermission画面のPreparationを変更し、IdP_SSO_URLアクションによって得られるURLにユーザーをリダイレクトします。

注記: システムに複数のテナントがある場合、テナントを切り替えてからIdP_SSO_URLを呼び出す必要があります。

ログアウトフロー

  • CommonフローのLoginInfo Webブロックを変更します(オプション: シングルログアウト)。

標準的なOutSystemsアプリケーションでは、ログアウト操作もCommonフローで行います。

デフォルトでは、ログアウトによってOutSystemsアプリケーションサーバーのセッションが無効になります。しかしIdP SSOシナリオの場合は、何回もIdPサーバーでログアウトを実行し、IdP SSOサーバー上の特定のURLにブラウザをリダイレクトする必要があります。

これを実現するため、ログアウトのデフォルト動作を変更する必要があります。

SP(IdPコネクタ)によって開始されるログアウトにIdPサーバーが対応している場合は、IdPサーバーから提供される[IdP server Single Logout URL]フィールドを構成します(シングルログアウトを実行するためのSAMLメッセージがIdPコネクタによって生成されます)。

注記: アプリケーションがUser_LogoutアクションまたはLogoutシステムアクションを呼び出さないようにする必要があります。その呼び出しは、IdPコネクタが実行します。

  • LoginInfoPreparationを変更し、IdPサーバーから提供されるURLにユーザーをリダイレクトします。

  • SPによってSAMLメッセージを介して開始されるログアウトにIdPサーバーが対応している場合は、IdP_SingleLogout_URLアクションを呼び出し、その出力でCommon\ExternalURLを呼び出します。

IdPコネクタを構成する

IdPコンポーネントでSAMLシングルサインオンを構成するには、IDプロバイダに基づいて値を設定する必要があります。

  • IdP Server Issuer/Entity ID: SAML IDプロバイダ(IdPサーバー)を一意に識別するURL。IdPサーバーから送信されるSAMLメッセージは、SAMLメッセージの<saml:Issuer>アトリビュートのこの値と完全に一致している必要があります。

  • IdP server Single Sign-On URL:ユーザーがサインインできるようにIdPコネクタがリダイレクトするURL。

  • Certificate:IDプロバイダから発行されたX.509公開証明書。これを使用してIdPサーバーからのSAMLメッセージの署名を確認します。

  • SP Issuer/Entity ID:IdPコネクタからSAMLで送信されるSAMLサービスプロバイダの発行者(SPエンティティID)。

オプション(必要な場合):

  • IdP server Single Logout URL:IDプロバイダサーバーのシングルログアウトURL。SPによって開始されるシングルログアウトにサーバーが対応している場合に使用します。

  • IdPConnector (SP) Keystore:IdPサーバーに送信されるSAMLメッセージに署名するときにIdPコネクタが使用する秘密鍵と公開証明書(IdPサーバーによって暗号化された場合にアサーションを復号化するときにも使用します)が含まれるキーストア。PFX/PKCS12形式がサポートされます。

  • KeyStore password:キーストア内のキーを保護するためのパスワード。

  • Session_Cookie(サイトプロパティ):IdPコネクタのセッションID(通常は「ASP.NET_SessionId」)を含むCookie名を保持する変数。

注記: 証明書を更新する場合は、IDプロバイダとOutSystemsのIdPコンポーネントの両方で更新するようにしてください。

IDプロバイダを構成する - 例

Azure AD / ADFS

Platform Server Release Jul.2019 CP2(2019年8月23日)以降では、Azure AD(Azure Active Directory)認証モードをUsersアプリケーションで直接使用することができ、「クレーム」の設定にAzure ADのデフォルト値がすでに入力されています。手順の詳細については、オンラインヘルプの「Azure AD認証を構成する」をご覧ください。

  1. Azure Active Directoryポータルにサインインし、ギャラリーからOutSystems Azure ADアプリケーションを追加します。

    • Enterprise applications]に移動します。

    • New application]をクリックします。

    • OutSystems Azure ADを検索します。

    • アプリケーションを選択して[Add]をクリックします。

  2. サインオン方式として[SAML]を選択します。

    • OutSystems Azure ADアプリケーションダッシュボードで、[Single sign-on]エントリをクリックします。

    • SAML]を選択します。

  3. SAMLによるシングルサインオンを設定します。

    • Basic SAML Configuration]セクションの編集アイコンをクリックします。

    • 必要な値を適切に設定します。

      • Identifier (Entity ID):http://ご利用のサーバー/IdP/

      • Reply URL (Assertion Consumer Service URL):https://ご利用のサーバー/IdP/SSO.aspx

    • または、IdPコネクタのメタデータファイルをアップロードできます。

  4. その後、セクション3と4で示した情報を使用してIdPコネクタを構成するか、Azure ADアプリケーションでダウンロードしたフェデレーションのメタデータXMLファイルをアップロードできます。

Okta

Platform Server Release Oct.2019(2019年10月3日)以降では、OKTA認証用の特定の構成がUsersアプリケーションに含まれています。手順の詳細については、オンラインヘルプの「OKTA認証を構成する」をご覧ください。

  1. Oktaのトライアルアカウントを作成します。

    • OktaのWebサイトにアクセスし、会社のメールアドレスを使用してサインアップし、トライアルアカウントを作成します。

    • アカウントの詳細が記載されたメールが送信されます。

  2. Oktaドメインにサインインします。

    • メールの説明に従って、Oktaドメインのホームページにアクセスします。

    • ユーザー名とパスワードを入力して、[Sign In]をクリックします。

  3. OktaドメインにSAMLアプリケーションを追加します。

    • 管理ダッシュボードにアクセスして、[Add Application]をクリックします。

    • Create New App]ボタンをクリックします。

    • Webアプリケーション用のSAML連携を作成するために、[Web]と[SAML 2.0]を選択します。[Create]をクリックして続行します。

    • App name(例: OutSystems Okta)を定義して、[Next]をクリックします。

  4. 連携で使用するSAML設定を構成します。

    • Single sign on URL](SAMLレスポンスを処理するOutSystems環境のURL)を設定します。
      http://ご利用のサーバー/IdP/SSO.aspx

    • Audience URI (SP Entity ID)]を設定します。
      http://ご利用のサーバー/IdP/SSO.aspx

    画像のaltテキスト

    • Show Advanced Settings]リンクをクリックして、その他の値を設定します。

    • Digest Algorithm:SHA1

    • Signature Algorithm:RSA-SHA1

    • Assertion Signature:Unsigned

    • Next]をクリックすると、フィードバックのためにいくつかの情報が求められます。オプション[I'm a software vendor. I'd like to integrate my app with Okta]を選択し、[Finish]をクリックして構成を完了します。

    • 最後に、[View Setup Instructions]をクリックしてIdPコネクタを構成するために必要なデータを取得します。

OneLogin

Platform Server Release Jul.2019 CP2(2019年8月23日)以降では、SAML 2.0認証をUsersアプリケーションで直接構成できます。手順の詳細については、オンラインヘルプの「SAML 2.0認証を構成する」をご覧ください。

  1. 無料のOneLoginアカウントを作成します。

  2. 管理コンソールにログインします。

  3. Apps]タブをクリックして、[Add App]ボタンをクリックします。

  4. SAMLを検索して、[SAML Test Connector (IdP)]オプションを選択します。

  5. アプリケーションのDisplay Nameを構成して、[Save]ボタンをクリックします。

  6. Configuration]タブをクリックして、以下のプロパティを構成します。

    • ACS (Consumer) URL Validator:SAMLレスポンスを処理するOutSystems環境のURL(http://ご利用のサーバー/IdP/SSO.aspx

    • ACS (Consumer) URL:SAMLレスポンスを処理するOutSystems環境のURL(http://ご利用のサーバー/IdP/SSO.aspx

  7. SSO]タブをクリックして、以下のプロパティを構成します

    • SAML Signature Algorithm:SHA-1

  8. 最後に、示された情報を使用してIdPコネクタを構成します。

PingOne

Platform Server Release Jul.2019 CP2(2019年8月23日)以降では、SAML 2.0認証をUsersアプリケーションで直接構成できます。手順の詳細については、オンラインヘルプの「SAML 2.0認証を構成する」をご覧ください。

  1. 無料のPing Identityアカウントを作成します。

  2. 管理コンソールにログインします。

  3. Applications]タブをクリックして、[Add Applications]ボタンをクリックします。

  4. New SAML Application]オプションを選択します。

  5. アプリケーション名、説明、カテゴリを構成して、[Continue to Next Step]をクリックします。

  6. Application Configuration]で以下のプロパティを構成します。

    • Assertion Consumer Service (ACS):SAMLレスポンスを処理するOutSystems環境のURL(http://ご利用のサーバー/IdP/SSO.aspx

    • Entity ID:SAMLレスポンスを処理するOutSystems環境のURL(http://ご利用のサーバー/IdP/SSO.aspx

    • Signing Algorithm:RSA_SHA1

  7. Continue to Next Step]をクリックして、[Save & Publish]をクリックします。

  8. 最後に、示された情報を使用してIdPコネクタを構成します。

  • Was this article helpful?