TulipではSAMLを有効化することで、普段使用している認証情報をそのまま使用してTulipのユーザー認証やアクセス権の管理ができるようになります。
本記事ではSAMLについてや設定方法をご紹介します。
SAMLとは
SAML(サムル)はSecurity Assertion Markup Languageの略で、1回のログインで複数のWebサービスにアクセスできる仕組みです。SAMLを有効化すると、Tulipにログインする際、認証情報を提供するサービスの認証画面へ自動で移動します。そこで認証するとその情報がTulipに提供され、Tulipにログインすることができます。認証情報を提供する側をIDプロバイダ、認証情報を受け取る側をサービスプロバイダと言います。Tulipはサービスプロバイダですので、Tulip上で別途アカウントを管理する必要がなくなります。
設定方法
※注意事項※
- SAMLの設定にはアカウント所有者のロールが必要になります。
- IDプロバイダでの設定や情報確認のため、情報システムなどを管理されている部署のご協力が必要になります。
- SAMLを有効化すると、既存・新規にかかわらず全てのユーザーがSAMLを使用してログインすることになります。
手順
本記事ではTulip上での設定手順を記載します。
- ユーザーアイコンより設定>SAMLを開き、「SAMLログインを有効」を有効化する
- IDプロバイダのメタデータXMLファイルをダウンロードし、IDプロバイダにアップロードする
※TulipのメタデータXMLファイルは「IDプロバイダの設定」下にある文章中の「メタデータXMLファイル」をクリックするとダウンロードできます。
※TulipメタデータXMLファイルダウンロードリンク - アップロードすると、「SSOログインURL」「SSOログアウトURL」「証明書」が自動で入力される
※メタデータXMLを使用しない場合は、各項目を手動で入力します。 - 属性マッピング>名前属性、メール属性、バッジ属性が分かる場合は入力する
分からない場合は一度適当な文字を入力し、画面右側のSAML認証のテストを行う - 名前・メールアドレス・バッジIDの左にある属性部分をコピーして属性マッピングのそれぞれの項目に貼り付ける
- 認証オプション>認証コンテキストクラス>認証方法のマッチングを有効にする場合は、認証方法を認証オプションのプルダウンより選択する
- その他の設定を行う
※お客様にてどう設定するかをお決めいただく項目になります。
- アトリビュートアップデートの動作
Tulipへのアクセス情報の更新についての制御設定
- Tulip制御モード
:ユーザーの管理をTulipで行う
- IDプロバイダ制御モード
:ユーザーの管理をIDプロバイダで行う ※本記事後半に詳細記載 - ユーザーグループのマッピング
- ロール関連づけ
- Tulipのデフォルトロールマッピング
:すべてのユーザーにTulipで設定したロールが割り当てられる
- カスタムロールマッピング
:IDプロバイダ側でロールを割り当てる ※本記事後半に詳細記載 - アクセス制御(オプション)
- 認証オプション
- 認証コンテキストクラス
- 強制認証 - カスタマイズ
- ログインボタンのラベル(オプション)
- アトリビュートアップデートの動作
- 全ての設定が完了したら、再度SAMLの認証テストを行い、属性の下のユーザープロファイルに属性マッピング等に設定した内容が反映されているかを確認する
- 問題ない場合は「リンクNameID」をクリックし、TulipアカウントとSAMLアカウントの紐づけを行い、設定を保存する
※紐づけると「SAML設定を保存」のボタンが有効化されます。
ユーザーをIDプロバイダ側で管理する場合の設定
- アトリビュートアップデート動作:IDプロバイダ制御モードを選択
- ロール関連付け:カスタムロールマッピングを選択
- 手順5と同様にロール属性を入力する
- 「マッピングを追加」をクリックし、ロールマッピングを設定する
左の枠にロール属性の値を入力し、どのロールに割り当てるかを右側プルダウンより選択
- 手順5と同様にロール属性を入力する