SAML認証を有効にすると、管理対象アカウントが IDプロバイダ ー(IdP)経由でログインできるようになります。IdPとNulab Passの両方で設定を行う必要があります。以下の手順で設定をしてください。
動作が確認できているIdPは対応しているIDプロバイダー(IdP)をご覧ください。
1.IDプロバイダー(IdP)に設定する情報を取得する
「組織詳細」タブの「シングルサインオン」をクリックしてください。「SAML認証」の「管理」をクリックし、以下の情報をコピーして控えてください。
- エンティティID
- URL (ACS)
2.IDプロバイダー(IdP)の設定を行う
ご利用のIdPの画面で設定します。設定方法についてはご利用のIdPのマニュアルなどをご確認ください。
- SP Entity ID
- SP Endpoint URL (ACS)
- NameID(ユーザーを識別する要素)
- NameID Format
- urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- NameID
- 管理対象アカウントのメールアドレス欄の値と一致するように設定してください。
- Nulab PassではNameIDとして送信される値(メールアドレス)によって、IdPのアカウントと管理対象アカウントを紐付けます。NameIDと管理対象アカウントのメールアドレスが一致しない場合はログインができません。
- NameID Format
- 署名
- SAMLレスポンスまたはアサーションに署名が必須です。
※Nulab PassはシングルログアウトやIdPで設定されたセッションの有効期限には対応していません。
※Nulab PassはSAMLリクエストとSAMLレスポンスに、次のバインディングを使用します。
SAMLリクエスト : HTTP-Redirect binding
SAMLレスポンス : HTTP-POST binding
※RelayStateを設定することも可能です。設定することでIdPのアプリ一覧画面からアプリを選択しBacklog等を直接起動することが可能となります。
設定可能なアプリは組織につき1つだけです。例えばBacklogを設定した場合、Cacoo・Typetalkを設定することはできません。
- backlog.comの場合
https://{BacklogのSpace ID}.backlog.com/NulabAccountAuthentication.action - backlog.jpの場合
https://{BacklogのSpace ID}.backlog.jp/NulabAccountAuthentication.action - backlogtool.comの場合
https://{BacklogのSpace ID}.backlogtool.com/NulabAccountAuthentication.action - Cacooの場合
https://cacoo.com/signin/nulab - Typetalkの場合
https://typetalk.com/signin/redirect/nulab
3.Nulab Passの設定を行う
IdPの情報をNulab Passに登録します。「組織詳細」タブの「シングルサインオン」をクリックしてください。「SAML認証」の「管理」をクリックし、以下の情報を入力してください。
- エンティティID
- ログインURL
- 証明書(Base64)
- この値は「-----BEGIN CERTIFICATE-----」で始まりますが、それを必ずしも含める必要はありません。
入力後、「ステータス」にチェックが入っていることを確認し「保存」をクリックします。
※「SAML認証を有効にする」のチェックを外して適用すると、設定を保持したままSAML認証を無効にできます。SAML認証を有効にしたい場合は再度チェックをつけて適用してください。
※登録後、証明書の有効期限が確認できます。期限が切れるとログインできなくなるため、ご留意ください。
4.設定完了!
以上でSAMLの設定は完了です。
下記を参考に、管理対象アカウントを作成して、SSOでログインしてみましょう!