SAMLシングルサインオン（SSO）について

SAMLシングルサインオンを実装するには、「SAMLシングルサインオンの設定 」または「Microsoft Entra IDを使用したSAMLシングルサインオンの設定」を参照してください。

SAMLとシングルサインオン

Security Assertion Markup Language（SAML）はオープンな認証規格で、ユーザID情報を安全に交換できます。SAMLはシングルサインオンをサポートしています。シングルサインオンとは、1回のユーザログインで複数のアプリケーションやサービスにまたがって機能するテクノロジです。Workload Securityの場合、SAMLシングルサインオンを実装すると、組織のポータルにログオンするユーザは、既存の Workload Security アカウントがなくてもシームレスに Workload Security にログインできます。

Workload SecurityでのSAMLシングルサインオン

以下のセクションでは、 Workload SecurityでのSAMLシングルサインオンの仕組みについて説明します。

信頼関係を確立する

SAMLシングルサインオンでは、IDプロバイダとサービスプロバイダの2者間に信頼関係が確立されます。 IDプロバイダは、ユーザID情報をディレクトリサーバに格納します。サービスプロバイダ (この場合はWorkload Security) は、アイデンティティプロバイダのユーザIDを使用して、自身の認証とアカウントの作成を行います。

IDプロバイダとサービスプロバイダは、SAMLメタデータドキュメントを相互に交換することで信頼を確立します。

Workload Security は、SAML 2.0 IDプロバイダ（IdP）から開始されるログインフローのHTTP POSTバインディングのみをサポートし、サービスプロバイダ（SP）から開始されるログインフローはサポートしません。

ユーザIDから Workload Security アカウントを作成する

Workload SecurityとIDプロバイダがSAMLメタデータドキュメントを交換し、信頼関係を確立すると、 Workload SecurityはIDプロバイダのディレクトリサーバ上のユーザIDにアクセスできるようになります。ただし、 Workload SecurityでユーザIDから実際にアカウントを作成する前に、アカウントの種類を定義し、データ形式を変換する手順を用意する必要があります。これは、グループ、役割、および要求を使用して実行されます。

グループと役割は、 Workload Securityユーザアカウントが持つテナントとアクセス権限を指定します。グループは、IDプロバイダのディレクトリサーバに作成されます。 IDプロバイダは、ユーザIDを1つ以上のグループに割り当てます。役割は、 Workload Securityコンソールで作成します。 Workload Securityアカウントの種類ごとにグループと役割の両方が必要であり、それらのアクセス権限とテナントの割り当てが一致している必要があります。

各ユーザの種類に一致するグループと役割を作成したら、グループのデータ形式を Workload Security が理解できる形式に変換する必要があります。これは、IDプロバイダによりクレームを使用して実行されます。要求には、グループのデータ形式を対応する Workload Security 役割に変換するための指示が含まれます。

Workload Securityに必要な SAMLクレーム構造 の詳細を確認してください。

次の図は、このプロセスを表しています。

Workload SecurityでのSAMLシングルサインオンの実装

Workload Security とSAMLメタデータドキュメント交換を備えたIDプロバイダとの間に信頼関係が確立されると、一致するグループとロールが作成され、グループデータをロールに変換するための要求が実行されると、 Workload Security でSAMLを使用できるようになります。シングルサインオンを使用すると、組織のポータルからサインインするユーザの Workload Security アカウントが自動的に作成されます。

SAMLシングルサインオンの実装の詳細については、「 SAMLシングルサインオンの設定」を参照してください。