SSO (SAML)

機能概要

DataSpider BPMをサービスプロバイダとして、シングルサインオンによるログイン認証機能を提供しています。
SAML 2.0準拠のSAMLサーバまたはIDプロバイダとのシングルサインオン環境を構築することができます。
シングルサインオンの設定詳細については、製品に同梱されているPDFファイル「シングルサインオンの設定方法」ドキュメントを参照してください。

システム管理権限を持つユーザが対象です。

シングルサインオン環境を構築するための前提条件

項目説明

項目名 必須 説明
基本 シングルサインオンを有効にする 必須 シングルサインオンを有効にする場合、チェックを入れます。
チェックを入れた場合は、[Idp 設定]および[SP 情報]の入力フィールドおよび情報が表示されます。
パスワードログインを禁止 任意 DataSpider BPMへのログイン処理にて、シングルサインオンによるログインのみを有効にしたい場合は、チェックを入れます。
チェックを入れた場合は、ログイン画面の[メールアドレス]および[パスワード]の入力項目が非表示となります。
パスワードログインを禁止した場合のログイン画面についての詳細は、「ログイン画面」を参照してください。
パスワードログインを禁止しても、[API パスワード]を使用したBasic認証によるAPIアクセスを行うことができます。
Idp 設定 エンティティID 必須 IDプロバイダを識別するエンティティIDを入力してください。
ログインページURL 必須 POST方式でログインする際の、IDプロバイダ側のエンドポイントURLを入力します。
ログアウトページURL 任意 IDプロバイダ側が対応している場合に、シングルログアウトを行う際の、IDプロバイダ側のエンドポイントURLを入力します。
未入力の場合は、DataSpider BPMのログアウトページを表示します。
NameIDフォーマット 任意 IDプロバイダ側がAzure Active Directoryの場合、以下の名前IDフォーマットURIを指定します。
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
ダイジェストアルゴリズム 任意 メッセージダイジェストのハッシュアルゴリズムをリストから選択します。
  • SHA-1
  • SHA-256
  • SHA-512
認証情報有効期間 任意 IDプロバイダのSAMLトークンの有効期間に合わせ、認証情報の有効期間をリストから選択します。
  • 2時間
  • 1日
  • 7日
  • 30日
  • 期限なし
証明書 必須 IDプロバイダの署名証明書の内容をコピー&ペーストして貼り付けます。
Base64形式でエクスポートした署名証明書を使用してください。
証明書の有効期限切れなどを防ぐために、複数の証明書を登録することができます。
  • 登録されている複数の証明書のうち、いずれかの証明書で検証に問題がなければSSO処理が正常に行われます。
  • 証明書の更新時において、SSO処理が途切れなく行われるよう、新旧2つの証明書を登録しておくことを想定しています。
SP 情報 エンティティID - サービスプロバイダ(ここでは、DataSpider BPM)を識別するエンティティIDを表示します。
IDプロバイダ側の設定で必要な値となります。
ACS URL - サービスプロバイダ(ここでは、DataSpider BPM)のACS URLを表示します。
IDプロバイダ側の設定で必要な値となります。
シングルログアウトサービスURL - サービスプロバイダ(ここでは、DataSpider BPM)のシングルログアウトURLを表示します。
IDプロバイダ側の設定で必要な値となります。
証明書 - サービスプロバイダ(ここでは、DataSpider BPM)の署名証明書を表示します。
設定ファイル(qbpms.config)にて、SAMLシングルサインオン設定項目(qbpms.saml.keystore.~)を設定した場合のみ表示されます。
IDプロバイダ側の設定で必要な値となります。

操作メニュー説明

表示 操作メニュー 説明
[ヘルプリンク]アイコン 機能を説明するオンラインマニュアル(ヘルプ)ページを表示します。
[保存]ボタン 入力したシングルサインオンの設定を保存します。