メインコンテンツへスキップ

SAML認証ヘルプドキュメント

Daichi Fujii
  • 更新

SAML認証について

SAML(Security Assertion Markup Language)は、異なるシステム間でユーザーの認証情報を安全にやり取りするための業界標準規格です。ZUNDA IDでは、ビルトインのログイン方式(Google認証、Microsoft認証、メール認証)に加えて、SAML 2.0に準拠した外部のIdP(Identity Provider/IDプロバイダー)を組み合わせてご利用いただけます。

SAML認証を導入することで、組織で既に運用しているIdP(Google Workspace、Microsoft Entra ID、Oktaなど)と連携してZUNDA IDへシングルサインオン(SSO)でログインできるようになります。

動作確認済みのIdP

以下のIdPについては、弊社で動作確認を行っております。各IdPごとに固有の設定手順がありますので、ご利用のIdPに対応する下記ページの手順に従って設定を進めてください。

Google Workspace

Microsoft Entra ID

Okta

SeciossLink

一覧にないIdPであっても、SAML 2.0に準拠したIdPであれば、ACSのURL、エンティティID、IdPメタデータなどの必要なパラメータを設定いただくことでご利用いただけます。その場合は、各IdPのドキュメントとZUNDA ID側の設定項目を照らし合わせながら設定してください。

サポートされている機能

ZUNDA IDのSAML認証では、以下の機能をサポートしています。

  • 各種ユーザー情報の取り込み

    IdPから送信されるSAMLアサーションをもとに、メールアドレス、名前(姓・名)、表示名を取り込むことができます。JIT(Just-In-Time)サインアップと組み合わせることで、ユーザーが初回ログインした際に自動的にZUNDA ID側にアカウントが作成されるため、事前にユーザーを一括登録する必要はありません。

  • SP Initiated loginおよびIdP Initiated login

    ZUNDA IDのログイン画面からSAMLログインを開始する「SP Initiated login」と、IdP側のダッシュボード(Google Workspaceのアプリ一覧、Microsoft Myapps、Oktaのダッシュボードなど)からアプリを起動する「IdP Initiated login」の両方に対応しております。

  • AuthnRequestへの署名

    ZUNDA IDからIdPへ送信する認証リクエスト(AuthnRequest)にデジタル署名を付与することで、リクエストの改ざんを検出できます。IdPが署名検証を要求する場合は、ZUNDA ID側で発行されるSP証明書をIdPに登録してください。

  • IdP証明書およびIdP側でのSP証明書の検証

    IdPから送信されるSAMLレスポンスの署名を、登録されたIdP証明書で検証します。同様に、IdP側でもZUNDA IDから送信される署名を検証できます。これによりなりすましや改ざんを防止します。

設定の全体的な流れ

SAML認証を導入する際は、以下の順序で進めることを強く推奨します。

  1. ログイン方法のリカバリー設定(最初に必ず実施)

    SAML認証の設定を始める前に、必ずリカバリーキーを発行・保管してください。設定不備やIdP側の障害でログインできなくなった場合の備えとなります。

  2. SAMLプロバイダーの作成と動作確認

    ご利用のIdPに応じた設定手順に従って、ZUNDA IDとIdPの双方で必要な設定を行い、ログインテストを実施してください。

  3. 作成したSAMLプロバイダーをログイン方法として有効化

    テストが成功したら、ドメインに対してSAMLプロバイダーを紐づけることで、実際のユーザーログインに利用できるようになります。

ログイン方法のリカバリー設定

設定したログイン方法(SAML認証、Google認証、Microsoft認証など)が、IdP側の障害、設定ミス、証明書の失効などの理由で利用できなくなった場合、アカウントがロックアウトされてしまう可能性があります。これを防ぐため、SAML認証を有効化する前に、必ずリカバリーキーを発行し、安全な場所に保管してください。

リカバリーキーはオフラインで発行でき、SAML認証が利用できない状態でも、リカバリーキーを使って管理者がZUNDA IDにログインし、設定を修正することができます。

ログイン方法のリカバリー設定の設定方法

のページを参照し、SAML認証の設定をする前に準備をすることをおすすめいたします。

作成したSAMLプロバイダーをログイン方法として利用する方法

SAMLプロバイダーの作成とテストが完了したら、それを実際のログイン方法として有効化する必要があります。ZUNDA IDではドメイン単位でログイン方法を紐づけることができるため、対象のドメインに対して作成したSAMLプロバイダーを設定してください。

作成したSAMLプロバイダーをログイン方法として利用する方法

のページを参照し、設定を進めてください。

関連記事