OneLogin を SAML IDプロバイダーとして構成する

次の手順に従って、OneLogin をとして構成します。

OneLogin の SAML 統合を構成する
Auth0 で SAML 接続を構成する
接続をテストする

前提条件

OneLogin の開発者アカウントが必要です。

OneLogin を設定する

OneLogin ダッシュボードにログインし、Apps > Add Apps をクリックします。
SAML を検索し、SAML Test Connector (IdP w/attr) を選択します。
画面の指示に従って、アプリの Display Name を変更します。
SAVE をクリックします。
SSO タブに移動し、SAML 2.0 Endpoint (HTTP) と SLO Endpoint (HTTP) の値をコピーします。
X.509 Certificate フィールドの View Details リンクをクリックします。
X.509 証明書 onelogin.pem をダウンロードします。

Auth0 接続を設定する

Dashboard > Authentication > Enterprise > SAMLP に移動し、プラスアイコンをクリックして、新しい接続を作成するページに移動します。
この接続に必要な設定を入力するよう求められます。必須フィールドは次のとおりです。

設定	説明
サインイン URL	OneLogin アプリの設定時に控えた SAML 2.0 Endpoint (HTTP) の値です。
サインアウト URL	OneLogin アプリの設定時に控えた SLO Endpoint (HTTP) の値です。
X509 署名証明書	OneLogin からダウンロードした証明書です。この証明書を Auth0 に直接アップロードする必要があります。

続行するには保存をクリックします。
次の画面では、2 つの選択肢が表示されます。
1. ドメイン管理者である場合は、続行をクリックすると、SAML IDプロバイダーの設定に関する追加の手順が表示されます。
2. ドメイン管理者でない場合は、設定を完了できるよう、表示された URL をドメイン管理者に渡してください。

Auth0 の設定値

SAML アプリケーションの設定を完了するには、管理者は Auth0 に関する次の情報を確認する必要があります。

SAML Consumer URL: https://{yourDomain}/login/callback
SAML : urn:auth0:{yourTenant}:yourConnectionName

また、OneLogin アプリの Configuration タブに戻る前に、post-back URL と Entity ID の値もコピーしてください。

Auth0 の値	OneLogin の設定フィールド
Post-back URL	ACS (Consumer) URL and Recipient
Entity ID	対象者

また、ACS (Consumer) URL Validator には有効な正規表現を指定してください。例: [-a-zA-Z0-9@:%._\+~#=]{2,256}\.[a-z]{2,6}\b([-a-zA-Z0-9@:%_\+.~#?&//=]*)

接続をテストする

接続をテストする前に、次の点を確認してください。

テストに使用できる OneLogin ユーザーがあることを確認します。ない場合は、OneLogin ダッシュボードの Users タブに移動して追加してください
新しい Auth0 SAMLP 接続がアプリケーションに関連付けられていることを確認します (そうでない場合は、invalid_request: the connection was disabled エラーが表示されます)

SAML 接続の横にある Try ボタンをクリックします。正常に完了すると、接続が機能していることを示すページにリダイレクトされます。

IDプロバイダー主導のSSO

OneLogin では、ユーザー向けに Application Portal/Launcher を提供しています。この機能を利用するには、OneLogin ダッシュボードの SAML Consumer URL を変更して、connection パラメーターを含める必要があります (例: https://{yourDomain}/login/callback?connection=onelogin-customer) 。onelogin-customer は、ご利用の Auth0 接続の名前に置き換えてください。最後に、その接続で IdP 主導ログインを有効にし、SAML アサーションの処理後にユーザーのリダイレクト先となるアプリケーションを選択してください。詳細については、IDプロバイダー主導のシングルサインオンを設定するを参照してください。

接続マッピングを編集

OneLogin と Auth0 を標準設定のまま使用している場合、OneLogin でログインし、で作成されたユーザーには、必要なプロフィール情報の一部が含まれないことがあります。追加のユーザー情報を収集するには、OneLogin ダッシュボードで適切なパラメーターを編集し、そのパラメーターを SAML アサーションに含めて、Auth0 の接続にマッピングを作成してください。

ユーザープロファイル属性

実装したい機能によっては、標準のユーザープロファイル属性だけでは不十分な場合があります。その場合は、カスタム属性を使用して SAML トークンを拡張できます。ここでは基本的な例を見ていきます。 SAML トークンには、FirstName と LastName という 2 つの属性が含まれています。ここでは、名と姓を連結した値を含む FullName という名前の新しいカスタム属性を追加します。

OneLogin ダッシュボードに移動し、アプリを編集します。
Parameters タブで、Add Parameter をクリックします。
ポップアップで、Field name テキストボックスを使用して新しいカスタム属性の名前を設定します。Include in SAML assertion がオンになっていることを確認してください。Save をクリックします。
作成した新しい属性が表示されます。現在 - No default - と表示されている Value フィールドをクリックします。
Value ドロップダウンメニューをクリックし、- Macro - を選択します。
テキストボックスで、値を {firstname} {lastname} に設定します。Save をクリックします。
変更内容をテストします。Auth0 Dashboard > Authentication > Enterprise > SAML に戻ります。SAML 接続で、Try ボタンをクリックします。結果には、新しい属性 FullName が含まれているはずです。

Attribute Macros の詳細については、OneLogin Help Center を参照してください。

SAML アサーションに新しいパラメーターを追加する

ここでは例として、すでに送信している 2 つのフィールドを連結したものではない EmailAddress 情報をログインに追加する方法を見ていきます。

ユーザーの EmailAddress をマッピングする前に、このフィールドをカスタムパラメーターとして OneLogin ダッシュボードに追加する必要があります。Field name を EmailAddress、Value を Email に設定します。
ユーザープロファイルのカスタマイズに必要な手順の詳細は、上のセクションを参照してください。
変更を保存したら、接続をもう一度テストします。
Auth0 のユーザーを確認し、EmailAddress 情報が含まれており、値が正しいことを確認します。

これで、Auth0 でユーザー情報フィールドのマッピングに進む準備が整いました。

SAML の Settings に移動し、Mappings タブを開きます。メールアドレスについては、以下のマッピングをコピーしてテキストボックスに貼り付けます。
変更を保存し、再度接続を試します。正常にログインできたら、Dashboard > User Management > Users に移動してログインを確認します。該当するユーザーに追加情報が表示されます。

​前提条件

​OneLogin を設定する

​Auth0 接続を設定する

​Auth0 の設定値

​接続をテストする

​IDプロバイダー主導のSSO

​接続マッピングを編集

​ユーザープロファイル属性

​SAML アサーションに新しいパラメーターを追加する