1. シングルサインオン(SSO)

SAMLシングル・サインオンの構成

日本語翻訳に関する免責事項

このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。

Security Assertion Markup Language (SAML) は、認証とアクセスを管理するためのオープンなセキュリティ標準です。シングル サインオンのSAMLを使用すると、チーム メンバーは既存のSAML IDプロバイダーを使用してSitecore Cloud Portalにログインできます。

Sitecoreはservice provider (SP) initiated SAMLをサポートしています。

メモ

Sitecoreは、ジャストインタイム (JIT) プロビジョニング、シングルログアウト (SLO)、リクエスト署名、または応答の暗号化をサポートしていません。

SAMLシングル サインオン設定 (SSO) には、次の2つの主要なエンティティがあります。

  • Service provider (SP) - ユーザーがアクセスしたいアプリまたはウェブサイト。この例では、Sitecore Cloud PortalがSPです。

  • Identity provider (IdP) - ユーザー情報と資格情報を保存し、認証を提供するエンティティ。一般的なIdPには、Microsoft EntraOktaなどがあります。

チームメンバーがSAML IDプロバイダーを使用してログインできるようにするには、SAML SSOを設定する必要があります。

SAML SSOを設定するときは、IdPを設定するためにSPメタデータが必要であり、SSO接続を設定するためにIdPメタデータが必要です。Sitecoreは、新しい接続を追加するとSPメタデータを生成します。一般に、Sitecore Cloud PortalをIdPに登録するためのSAMLアプリを作成すると、IdPはIdPメタデータを生成します。

警告

SSO接続を有効にする前に、SSOを有効にした場合の動作についてお読みになることを強くお勧めします。

このチュートリアルでは、次の方法について説明します。

  1. Sitecore Cloud PortalでSSO接続を追加する

  2. Sitecore Cloud PortalをSAML IDプロバイダーに登録する

  3. SSO接続を構成する

  4. Sitecore属性をIDプロバイダーのSAML属性にマッピングする

  5. SSO接続をテストする

  6. ドメインを確認する

  7. SSO接続を有効にする

始める前に

  • Sitecore Cloud Portal組織のOrganization AdminまたはOrganization Ownerである必要があります。

  • Sitecore Cloud PortalをIDプロバイダー (IdP) に登録できる必要があります。

  • ドメインホストでTXTレコードを作成できる必要があります。

  • IdPはSAML 1.1またはSAML 2.0をサポートしている必要があります。

Sitecore Cloud PortalでSSO接続を追加する

SAML SSOを設定するには、Sitecore Cloud Portalで新しいSSO接続を作成する必要があります。SAML SSO接続を追加すると、SitecoreはSitecore Cloud PortalをSAML IDプロバイダーに登録するために使用するメタデータを生成します。

SSO接続を追加するには:

  1. Sitecore Cloud Portal SSOページに移動し、Add SSO connectionをクリックします。

  2. ドロップダウンメニューで、SAMLをクリックします。

  3. Add SAML connectionダイアログで、接続用の電子メールドメインを最大50個入力し、「Add and configure」をクリックします。

    手記

    SSO接続に関連付けられているメールドメインは変更できません。接続を削除して、新しい接続を追加する必要があります。

  4. Service provider (SP) metadata URLAudience URIAssertion Consumer Service (ACS) URLの各フィールドの値をコピーします。これらは、Sitecore Cloud PortalをIDプロバイダーに登録するときに必要になります。

Sitecore Cloud PortalをSAML IDプロバイダーに登録する

SAML SSO接続を追加した後、Sitecore Cloud PortalをIDプロバイダーに登録する必要があります。

このプロセスはIDプロバイダーによって異なりますが、一般的には、次のことを行う必要があります。

  1. IdPでSAMLアプリを作成します (一部のプロバイダーでは、app integrationclient、またはSAML profileと呼ばれます)。

    例: Ping ID

  2. 新しいSSO接続を追加したときにコピーしたサービスプロバイダー (SP) メタデータを使用してSAMLアプリを構成します。

    IdPから次のいずれかが要求されます。

    • Service provider metadata URL.

    • Audience URI (サービスプロバイダーのサインオンコールバック、ポストバックURL、またはコールバックURLとも呼ばれます)およびassertion consumer service URL (サービスプロバイダーエンティティIDまたはオーディエンス制限とも呼ばれます)。

SSO接続を構成する

Sitecore Cloud PortalをIDプロバイダーに登録した後、IdPメタデータを見つけて、以前に作成したSSO接続に追加する必要があります。

SSO接続を設定するには:

  1. IDプロバイダーからIdPメタデータをコピーします。

    例: Ping ID

  2. Sitecore Cloud Portal SSOページに移動し、前に作成したSSO接続を見つけて、Configureをクリックします。

  3. Step 2: Add the identity provider metadataでメタデータタイプを選択し、表示されたフィールドにIdPメタデータを貼り付けます。

  4. Save」をクリックします。

Sitecore属性をIDプロバイダーのSAML属性にマッピングする

手記

IDプロバイダーのSAMLレスポンスにemailfamily_namegiven_nameが含まれている場合は、これ以上の設定は必要なく、SSO接続を今すぐテストできます。

ユーザーがログインしようとすると、Sitecore Cloud Portal IdPのSAMLレスポンスにemailgiven_name、およびfamily_name属性が入力されます。属性では大文字と小文字が区別されます。

Sitecore属性

IdP属性名にマッピング

優先権

email

ユーザーのメールアドレス。

必須

given_name

ユーザーの名または名。

随意

family_name

ユーザーの姓または姓。

IDプロバイダーは、これらの属性に対して異なる名前を持つ場合もあれば、デフォルトで提供されない場合もあります。

  • IdPのSAMLレスポンスにemail属性が含まれていない場合、SSO接続は失敗します。

  • SAMLレスポンスにfamily_namegiven_nameが含まれていない場合は、Sitecore Cloud Portalにチームメンバーの詳細が欠落している可能性があります。

IdPのSAMLレスポンスに予期される属性が含まれていないか、間違った情報を提供する属性がある場合:

  • IDプロバイダー内で属性マッピングを構成して、必要な属性を含めるようにIDプロバイダーのSAMLレスポンスを変更します。

    例: Okta

IdPが属性マッピングをサポートしておらず、同じ情報に異なる属性名を使用している場合 (たとえば、emailではなくemailAddressなど):

  • SSO接続設定のAttribute mappingセクションを使用して、Sitecore属性に一致するIdP SAML属性を定義します。

SSO接続をテストする

手記

SSO接続に複数のドメインがある場合は、すべてのドメインでこれらの手順を繰り返します。

SSO接続のテストはオプションですが、接続が機能することを確認するためにテストすることを強くお勧めします。SSO接続は、IDプロバイダを使用してサインインを試みることで、いつでもテストできます。

接続をテストするには:

  1. Sitecore Cloud Portal SSOページに移動し、テストする接続のTestをクリックします。

  2. Test SSO connectionダイアログで、「Start test」をクリックします。

  3. 開いたタブで、IDプロバイダーを使用してサインインします。

SSO接続テストが失敗した場合は、もう一度やり直すか、SSO接続設定が正しいことを確認してください。

ドメインを確認する

手記

ドメインは、SSO接続をテストする前またはテスト後に検証できます。

他のユーザーがドメインを使用してSSO接続を作成しないようにするには、Verify domainsダイアログからドメインのDNSレコードにTXTレコードを追加して、ドメインの所有権を確認する必要があります。

ドメインを確認するには:

  1. Sitecore Cloud Portal SSOページに移動し、確認する接続でVerify domainsをクリックします。

  2. Verify domainsダイアログで、各TXTレコードをコピーし、ドメインのDNSレコードに追加します。

    TXTレコードを追加する方法は、ドメインホストによって異なります。

    原則として:

    • ドメインの購入に使用したアカウントとパスワードでドメイン レジストラーにサインインします。

    • ドメインのTXTレコードを更新できるセクションに移動します。これは通常、DNS設定、DNS管理、または詳細設定と呼ばれます。

    • 新しいTXTレコードを作成します。

    いくつかの例については、多くの一般的なドメイン レジストラーに関するGoogleのカスタム手順をご覧ください。

  3. Verify domains」をクリックします。

    手記

    ドメインの確認には通常、数秒かかります。ただし、ドメインホストがTXTレコードを公開するには、最大72時間かかる場合があります。ドメインを確認したら、TXTレコードを削除できます。

SSO接続を有効にする

ドメインを確認し、(オプションで) SSO接続をテストしたら、有効にできます。

SSO接続を有効にするには:

SSO接続を有効にすると、有効なSSO接続のメールドメインを持つメールアドレスを持つチームメンバーは、自分のIDプロバイダーを使用してログインできます。

SSO接続を有効にすると、次の操作を実行できます。

この記事を改善するための提案がある場合は、 お知らせください!