次のリンク先より入手した「SAML 2.0用認証プロバイダー」を登録することによって、アイデンティティプロバイダ（以下、IdP）として動作するシングルサインオンツールやSaaSアプリケーションの認証情報を使用したForguncyアプリケーションに対するシングルサインオンができるようになります。Forguncy側はサービスプロバイダー（以下、SP）の役割を担います。

Forguncyは以下の要件を満たしたIdPをサポートしています。

• SAML Bindingsに「HTTP POST Binding」、または「HTTP Redirect」がサポートされている。

• リバースプロキシを使用していない。

ダウンロードリンク

saml20securityprovider_8_0_5_0.zip

認証プロバイダーの登録

1. サーバー管理ポータルにログインします。

   Webブラウザーの既定のクロスドメイン動作によりHTTPSによる暗号化通信が必須となることから、Forguncy Builderのデバッグ実行では動作を確認することができません。HTTPSを有効化してForguncy Serverにアプリケーションを発行する必要があります。

2. ［認証連携］ - ［認証プロバイダー］をクリックした後、［認証プロバイダーの登録］ボタンをクリックしてダウンロードしたZIPファイルを選択します。

   

3. 登録が完了します。

   以下の図のように「General Saml2.0 Security Provider」が「準備完了」と表示されます。

   

   この状態で［その他の設定］をクリックすると、次の図のようにSAML 2.0認証プロバイダーを使用するのに必要となる3つの設定項目が表示されます。以降の手順にて、これらの設定値の取得方法を説明します。

   

   ［IdP情報の設定方法］は「IdPメタデータのインポート」と「カスタム設定」の2つがありますが、特別な理由がない限り「IdPメタデータのインポート」を使用することをお勧めします。以下にこの2つ設定方法について説明します。

認証プロバイダーの設定

本ページでは、OneLogin社が提供するアイデンティティ管理ソリューションOneLoginのシングルサインオン機能をIdPとして使用する場合を例として説明します。以下の手順1から4までは「IdPメタデータのインポート」と「カスタム設定」の両方において共通となります。

1. Applicationsページから［Add App］ボタンをクリックします。

   

2. 検索窓に「SAML Test Connector」と入力し、「SAML Test Connector (Advanced)」をクリックします。

   

3. ［Display Name］に任意の名前を入力し、上部にある［Save］ボタンをクリックします。

   本ページの例では「forguncyapp1」と入力しています。また、必要に応じて［Rectangular Icon］や［Description］などを設定します。

   

4. 左側のメニューから［Configuration］をクリックし、［Audience］、［Recipient］、［ACS (Customer) URL Validator］、［ACS (Customer) URL］の4つの項目を次の表に従って適切な値を入力し、上部にある［Save］ボタンをクリックします。

   Forguncy Builder上で行うデバッグ実行とForguncy Server上に発行したアプリケーションとでは、設定する値が異なることに注意してください。

   設定名	説明	発行されたアプリケーション（Forguncy Server上）
   Audience（Entity ID）	「SP エンティティ ID」に入力した値 未入力の場合は自動で値が設定されますが、シングルサインオンは１つのアプリケーションにのみ適用されます。	「SP エンティティ ID」が未入力の場合は以下 「Forguncy-SAML-」 + Forguncyアプリケーション名 例）Forguncy-SAML-myapp1 ※ Forguncyアプリケーション名が「myapp1」の場合
   Recipient	ForguncyアプリケーションのURL + 「/Saml2/ACS」 ※複数のアプリケーションに対して設定する場合はいずれか一つのアプリケーションのURLを選択してください	https://＜ドメイン名・ホスト名＞/myapp1/Saml2/ACS ※ Forguncyアプリケーション名が「myapp1」の場合
   ACS (Consumer) URL Validator	AuthnRequestによって開始されたACSのURL検証	.*
   ACS (Consumer) URL	ForguncyアプリケーションのURL + 「/Saml2/ACS」 ※複数のアプリケーションに対して設定する場合はいずれか一つのアプリケーションのURLを選択してください	https://＜ドメイン名・ホスト名＞/myapp1/Saml2/ACS ※ Forguncyアプリケーション名が「myapp1」の場合

   注意:「SP エンティティ ID」が未入力の場合

   • 「SP エンティティ ID」が未入力の場合、ForguncyアプリケーションごとにAudience（Entity ID）に設定するべき値が変わってしまうため、SAML認証連携が可能なForguncyアプリケーションは1つに限られます。ただし、一度認証した情報は同じWebブラウザー上ではほかのForguncyアプリケーションにも共有されることから、ログイン済みの状態であればSAMLによる認証ユーザーの情報をほかのForguncyアプリケーションでも利用可能です。

   • たとえば、「app1」をIdPとのSAML認証連携を行うForguncyアプリケーションとして設定します。この場合、最初にログインできるのは「app1」アプリケーションのみであり、認証モードを「認証プロバイダー」に設定した「app2」でログインすることはできません。よって、SAML認証連携を行うアプリケーションが複数ある場合は、「app1」をアプリケーションを起動するための入り口となるアプリケーションとしIdpとのSAML認証連携を設定します。こうすることで「app1」から起動される「app2」などの他のアプリケーションはログイン状態で起動できるようになります。

   

IdPメタデータのインポート

手順4以降、「IdPメタデータのインポート」の場合には以下の操作を行います。

1. ［More Actions］-［SAML Metadata］を選択し、SAML Metadataファイルをダウンロードします。

   

2. 開発時ユーザーアカウント管理でダウンロードしたSAML Metadataファイルを［IdPメタデータファイル］にアップロードし、アップロード後に［設定の保存］ボタンをクリックします。

   

   ↓

   

   アップロード後、空白の設定項目に値が自動的に入力され、IdP証明書情報が表示されます。

カスタム設定

手順4以降、「カスタム設定」の場合には以下の操作を行います。

1. 左側のメニューから［SSO］をクリックし、［X.509 Certificate］の項目にある［View Details］をクリックします。

   

2. ドロップダウンリストから「X.509 PEM」、もしくは「X.509 DER」を選択し、［Download］ボタンをクリックして証明書ファイルをダウンロードします。

   

3. Forguncyの「SAML 2.0用認証プロバイダー」における［その他の設定］ページにある［IdP証明書ファイル］にダウンロードした証明書ファイルを設定します。

   

4. SSOのページへと戻り、［Issuer URL］と［SAML 2.0 Endpoint (HTTP)］の2つの値が表示されていることを確認します。

   

5. １つ前の手順で確認した［Issuer URL］の値をコピーし、Forguncyの「SAML 2.0用認証プロバイダー」における［その他の設定］ページにある［IdPエンティティID］に入力します。次に、［SAML 2.0 Endpoint (HTTP)］の値をコピーし、［IdPログインURL］に入力し、［設定の保存］ボタンをクリックします。

   

6. ［IdPバインディング］を設定します。

   既定値は「HttpRedirect」です。設定すべきバインディングの種類は、IdPメタデータファイルを参照することで確認できます。IdPメタデータファイルに複数のバインディングが存在する場合には、一番目に記載されているバインディングを指定します。バインディングの種類はIdPログインURLと一致している必要があります。

「IdPメタデータのインポート」と「カスタム設定」の両方で必要な操作

「IdPメタデータのインポート」の場合には手順2の後に、「カスタム設定」の場合には手順6の後に以下の操作を行います。

1. 上部のメニューから［Users］をクリックし、Forguncyアプリケーションへのシングルサインオンを許可したいユーザーをクリックして選択します。

   

2. 左側のメニューから［Applications］をクリックし、［Applications］の右側にある［+］アイコンをクリックします。

   

3. 手順3で追加した「forguncyapp1」を選択し、［Continue］ボタンをクリックします。

   

4. 設定されている各項目の内容を確認し、必要に応じて修正・追加を行い、［Save］ボタンをクリックします。

   

5. サーバー管理ポータルのサービスを再起動させます。

   以下のどちらかの方法で、対象のアプリケーション、もしくはサーバー管理ポータル管理のサービス（Forguncy Serverサービス）を再起動させます。

   • サーバー管理ポータルで［アプリ］を選択し、アプリケーション一覧の中から対象のアプリケーションの停止アイコンをクリックし、その後開始のアイコンをクリックしてアプリを再起動させます。

   • サーバー管理ポータルの右上のユーザー名が表示されている個所をクリックし、ドロップダウンリストから［サービスの再起動］を選択します。

6. Forguncyアプリケーションにアクセスし、アプリケーションにログインしようとするとOneLoginページに遷移されます。

   OneLoginのユーザー名とパスワードを入力してログインします。すでにOneLoginにログインしている場合には、ログインは省略されForguncyアプリケーションのページが表示されます。

   なお、サーバー管理ポータルの［内部管理］のにOneLoginのユーザーがForguncyのユーザーアカウントとして追加されていることを確認できます。

リダイレクトURIの設定

対象のアプリケーションへのアクセスにドメイン名を使用している場合、Forguncyアプリケーションの設定において［ドメイン名］の設定が必要です。

1. サーバー管理ポータルの対象のアプリケーションの設定ページおいて［ドメイン名］を設定し、［設定の保存］ボタンをクリックします。

   ドメイン名にはアプリケーション名を含める必要があります。たとえば、アプリケーション名が「testapp1」、ドメインが「example.com」である場合、設定する値は「https://example.com/testapp1」です（既定のアプリとして設定している場合を除く）。
   ホスト名やIPアドレスを使用してアクセスしているアプリケーションの場合、本設定は不要です。

   

SPメタデータファイルの取得

対象のIdPにおいてSPメタデータファイルが必要となる場合には、以下の方法で取得できます。

1. サーバー管理ポータルで「SAML 2.0用認証プロバイダー」を登録した状態で、［認証モード］が「認証プロバイダー」に設定されているForguncy Server上のアプリケーションの停止と開始を行いアプリケーションを再起動します。

2. 再起動させたアプリケーションにアクセスし、次のようなページが表示されたら［SPメタデータファイルのダウンロード］ハイパーリンクをクリックします。

   

ローカルログアウト

Forguncyが提供する「SAML 2.0用認証プロバイダー」はローカルログアウトをサポートしています。シングルログアウトはサポートしていないことに注意してください。

ローカルログアウトとは、Forguncyアプリケーション上だけでログアウトする動作を意味します。そのため、ログアウト後にSAML認証が要求されるページにとどまっている場合、自動的にIdP側との認証処理が行われ、再度ログインしてしまいます。そのため、次のような設定を行い、ログアウト後にSAML認証が要求されないページへと遷移させる必要があります。

1. ログインユーザー型セルの［ログアウト時の遷移先設定］で遷移先をSAML認証が要求されないページに設定します。

   指定するページは、Forguncyアプリケーション内のページでも外部のWebページでもどちらでも構いません。