SAML認証の設定

SAML認証の設定

この記事はライセンス管理者を対象としています。
Revizto ユーザーの SAML 認証を構成する方法について説明します。

  1. コンセプト 
  2. Microsoft Azure での SAML 認証の構成
  3. トラブルシューティング

ライセンス メンバーに対して SAML 認証を構成すると、
認証手順が記載されたメールがライセンスメンバーに送信されます。
詳細については、次の記事を参照してください。
  1. シングルサインオン認証を使用してサインインする

コンセプト

このセクションでは、SAML 認証を構成するための一般的な概念について説明します。
ID プロバイダーが Microsoft Azure の場合は、代わりに「Microsoft Azure での SAML 認証の構成」をお読みください 。

ライセンス管理者は、 Revizto ライセンス メンバーの SAML 認証を設定できます。
この手順の一部は、ID プロバイダー側​​で実行されます。詳細な手順については、
ID プロバイダーのドキュメントを参照してください。

何か問題が発生した場合は、サポートリクエストを送信してください。

SAML 認証を構成するには:


  1. ID プロバイダーで、Revizto アプリケーションのサービスプロバイダーエンティティを作成します。

  2. ID プロバイダーの設定で、次のパラメータを見つけます。
    ・アイデンティティ プロバイダーのエンティティ ID。
    ・ログイン URL (Revizto ユーザーがサインインする URL)。
    ・ログアウト応答 URL (Revizto ユーザーがサインアウトする URL)。
    ・公開 X.509 証明書 (ID プロバイダーの要求と応答を検証するための公開キー)。

  3. ws.revizto.comにサインインし、ライセンスに SAML 認証方法を追加します。
    手順 2 で取得したパラメータを入力するよう求められます。
    サービス プロバイダー エンティティ ID の入力も求められます。
    これは、すべての Revizto ライセンス間で一意である必要があります。

    次のいずれかのオプションを使用します。
    ・ID プロバイダーがサービス プロバイダー エンティティ ID を生成した場合は、
     認証方法の設定にそれを入力します。

    ・ID プロバイダーがサービス プロバイダー エンティティ ID を生成しなかった場合は、
     次の手順を実行します。

      1.一意のサービス プロバイダー エンティティ ID を生成します。次のパターンを使用できます。
       https://api. <リージョン> .revizto.com/entity/ <ライセンス ID> .
       Revizto Workspace を参照しているときに、ブラウザのアドレス ボックスでライセンス ID を見つけることができます。
       例: https://api.virginia.revizto.com/entity/11111

      2.認証方法設定にサービス プロバイダー エンティティ ID を入力します。

      3.アイデンティティ プロバイダーに戻り、サービスプロバイダー エンティティ設定に
       サービス プロバイダー エンティティ ID を入力します。

    ライセンスに認証方法を追加する方法については、詳細な手順については、
    認証方法を追加する」を参照してください。

  4. Revizto Workspace の認証方法のリストで、新しい方法の横にあるをクリックします。
    これにより、いくつかの URL を含むウィンドウが開きます。
    ログイン応答 URL、メタデータ URL、およびログアウトURL。
     IDプロバイダーではこれらのパラメータが必要になる場合があります。

    サービスプロバイダーのエンティティID。
     Reviztoパスワードを入力せずにサインインすることを選択したユーザーは、
     サインインするためにエンティティ ID が必要になります。
     詳細については、「シングルサインオン方式を使用したサインイン」を参照してください。

  5. ID プロバイダーで、手順 1 で作成したサービスプロバイダーエンティティID のプロパティを開き、
    手順 4 で取得したパラメーターを入力します (ID プロバイダーによっては、すべてのパラメーターが必要なわけではありません)。

これで認証方法の設定は完了です。
Revizto ユーザーに認証方法を割り当てる方法については、次の記事を参照してください。

  1. 新しいライセンスメンバーへの認証方法の割り当て
  2. 既存のライセンスメンバーへの認証方法の割り当て

Microsoft Azure での SAML 認証の構成


このセクションでは、Microsoft Azure 認証を構成する例を示します。
この例は「現状のまま」提供されます。
Microsoft Azure ポータルで実行される手順の一部は、事前の通知なしに変更される可能性があります。

Microsoft Azure 認証を構成するには:


  1. Portal.azure.comにアクセスします。

  2. Azure サービスの一覧に移動し、Microsoft Entra ID (旧Azure Active Directory ) を開きます。


  3. 左側のペインの「管理」で、「アプリの登録」をクリックします。


  4. 上部の「新規登録」をクリックします。


  5. 名前フィールドにReviztoと入力します。


  6. 下部にある 「登録」をクリックします。

  7. [基本情報]の下で、[アプリケーション ID URIの追加] をクリックします。


  8. アプリケーション ID URIの横にある[追加]をクリックします。


  9. デフォルトのアプリケーション ID URI をそのままにして、[保存] をクリックします。


  10. ws.revizto.comにサインインし、ライセンスに SAML 認証方法を追加します。
    詳細な手順については、「認証方法を追加する」を参照してください。
    次の表では、SAML 固有のフィールドに入力する方法について説明します。

    分野価値
    サービスプロバイダーエンティティID前の手順で生成したアプリケーション ID URI。
    アイデンティティプロバイダエンティティID
    1. Microsoft Azure ポータルで、アプリの登録ページを開きます。
    2. 上部の「エンドポイント」をクリックします。
    3. エンドポイント URL のリストで、フェデレーション メタデータ ドキュメントフィールドの値をブラウザーのアドレス行にコピーします。これにより、XML ファイルが開きます。
    4. XML ファイルで、<EntityDescriptor>タグを見つけて、そのEntityID属性をコピーします。
    ログインURL
    1. Microsoft Azure ポータルで、アプリの登録ページを開きます。
    2. 上部の「エンドポイント」をクリックします。
    3. エンドポイント URL のリストで、SAML-P サインオン エンドポイントフィールドの値をコピーします。
    ログアウト応答 URL
    1. Microsoft Azure ポータルで、アプリの登録ページを開きます。
    2. 上部の「エンドポイント」をクリックします。
    3. エンドポイント URL のリストで、SAML-P サインアウト エンドポイントフィールドの値をコピーします。
    公開 X.509 証明書
    1. Microsoft Azure ポータルで、アプリの登録ページを開きます。
    2. 上部の「エンドポイント」をクリックします。
    3. エンドポイント URL のリストで、フェデレーション メタデータ ドキュメントフィールドの値をブラウザーのアドレス フィールドにコピーします。これにより、XML ファイルが開きます。
    4. XML ファイルで、 EntityDescriptor / Signature / KeyInfo / X509Data / X509Certificateタグの値をコピーします

      このタグから値を正確にコピーするようにしてください。

      XML ファイルには複数の X.509 証明書が含まれていますが、機能するのはこの 1 つだけです。

    サムネイル

    X.509 証明書の提供を求められた場合は、クリップボードから貼り付けるか、テキスト ファイルとしてアップロードすることができます。


    認証方法を作成すると、いくつかの URL を含むウィンドウが表示されます。

    ログイン応答 URL、メタデータ URL、およびログアウト URL
     これらのいくつかは、後で ID プロバイダー接続の構成を完了するために必要になります。

    サービス プロバイダーのエンティティ ID
     Reviztoパスワードを入力せずにサインインすることを選択したユーザーは、
     サインインするためにエンティティ ID が必要になります。
     詳細については、「シングルサインオン認証を使用したサインイン」を参照してください。

    このウィンドウを閉じた場合は、認証方法の横にあるをクリックして開くことができます。

  11. Microsoft Entra ID ページに戻り、左側のペインの[管理]で[認証] をクリックします。

  12. [プラットフォームの追加] をクリックし、[Web]を選択します。

  13. リダイレクト URI 
     (手順 10 の最後に Revizto Workspace に表示されたログイン応答 URL を使用)とログアウト URL を入力し、
    [構成]をクリックします。これで SAML 認証の構成は完了です。

    Revizto ユーザーに割り当てる方法については、次の記事を参照してください。

  1. 新しいライセンスメンバーへの認証方法の割り当て
  2. 既存のライセンスメンバーへの認証方法の割り当て

トラブルシューティング

Q: SAML 認証を使用する Revizto ユーザーは、Revizto Workspace および
Revizto アプリケーションにサインインできません。
Revizto Workspace にサインインしようとすると、次のエラーが表示されます:
「署名の検証に失敗しました。SAML 応答が拒否されました」。

A:これには次のような理由が考えられます。

認証方法の設定で指定された X.509 証明書が正しくありません。
認証方法を構成するときは、次のノードから X.509 証明書をコピーするようにしてください:
EntityDescriptor / Signature / KeyInfo / X509Data / X509Certificate。
認証方法設定で指定された X.509 証明書の有効期限が切れています。
新しい証明書を取得して、認証方法設定に追加してください。

    • Related Articles

    • ユーザー認証:概要

      各 Revizto ユーザーは、 ws.revizto.comでの登録時に作成した電子メール アドレスとパスワードを使用して、 Revizto Workspace および Revizto アプリケーションにサインインできます。 Revizto は、次の ID プロバイダーによるシングル サインオン認証もサポートしています。 Google(Google Workspace に登録されているビジネス用メールアドレスのみ) サムエル ライセンス管理者は、各ライセンス メンバーに認証方法を割り当てます。 ...