SAMLシングルサインオン（SSO）について

SAMLシングルサインオンを実装するには、 SAMLシングルサインオンの設定 または SAMLシングルサインオンをAzure Active Directoryで設定するを参照してください。

SAMLとシングルサインオンとは何ですか？

Security Assertion Markup Language（SAML）はオープンな認証規格で、ユーザID情報を安全に交換できます。SAMLはシングルサインオンをサポートしています。シングルサインオンとは、1回のユーザログインで複数のアプリケーションやサービスにまたがって機能するテクノロジです。Workload Securityの場合、SAMLシングルサインオンを実装すると、組織のポータルにログオンするユーザは、既存の Workload Security アカウントがなくてもシームレスに Workload Security にログインできます。

Workload SecurityでのSAMLシングルサインオンの仕組み

以下のセクションでは、 Workload SecurityでのSAMLシングルサインオンの仕組みについて説明します。

信頼関係を確立する

SAMLシングルサインオンでは、両当事者(IDプロバイダとサービスプロバイダ) の間で信頼関係が確立されます。IDプロバイダのディレクトリサーバにはユーザID情報が保存されています。サービスプロバイダ（この場合は Workload Security）は、独自の認証とアカウント作成にIDプロバイダのユーザIDを使用します。

アイデンティティプロバイダとサービスプロバイダは、 SAMLメタデータドキュメント を相互に交換することで信頼を確立します。

現時点では、 Workload Security では、SAML 2.0アイデンティティープロバイダ (IdP) が開始したログインフローのHTTP POSTバインディングのみがサポートされます。サービスプロバイダ (SP) が開始したログインフローはサポートされません。

ユーザIDから Workload Security アカウントを作成する

Workload Security とIDプロバイダがSAMLメタデータドキュメントを交換し、信頼関係を確立すると、 Workload Security はIDプロバイダのディレクトリサーバ上のユーザIDにアクセスできます。ただし、 Workload Security でユーザIDから実際にアカウントを作成する前に、アカウントの種類を定義し、データ形式を変換するための手順を実行する必要があります。これは、グループ、役割、クレームを使用して実行されます。

グループと役割は、Workload Security ユーザアカウントに付与するテナントとアクセス権限を指定します。グループは、IDプロバイダのディレクトリサーバ上に作成されます。IDプロバイダは、1つ以上のグループにユーザIDを割り当てます。役割は、 Workload Security コンソールで作成します。Workload Security アカウントの種類ごとにグループと役割の両方が存在し、アクセス権限とテナントの割り当てが一致している必要があります。

各ユーザの種類に一致するグループと役割を作成したら、グループのデータ形式を Workload Security が理解できる形式に変換する必要があります。これは、IDプロバイダによりクレームを使用して実行されます。要求には、グループのデータ形式を対応する Workload Security 役割に変換するための指示が含まれます。

Workload Securityに必要な SAMLクレーム構造 の詳細を確認してください。

このプロセスを次に示します。

Workload SecurityでのSAMLシングルサインオンの実装

Workload Security とSAMLメタデータドキュメント交換を備えたIDプロバイダとの間に信頼関係が確立されると、一致するグループとロールが作成され、グループデータをロールに変換するための要求が実行されると、 Workload Security でSAMLを使用できるようになります。シングルサインオンを使用すると、組織のポータルからサインインするユーザの Workload Security アカウントが自動的に作成されます。

SAMLシングルサインオンの実装の詳細については、「 SAMLシングルサインオンの設定」を参照してください。