SAML 2.0 によるシングルサインオン (SSO) の設定方法 - Shifter

SAML 2.0 によるシングルサインオン (SSO) の設定方法
SAML 2.0 によるシングルサインオン（ SSO ）の設定方法

SAML 2.0 によるシングルサインオン（ SSO ）の設定方法について、ご紹介します。
SAML認証オプションは、5ユーザーごとに $15.00/月でご利用いただけます。

SAML認証オプションは以下の SSOプロバイダに対応しています。

AWS IAM (AWS SSO)
Auth0
Azure AD
Okta

1. Shifter ダッシュボードでの操作

はじめに、SAML サブスクリプションの購入とオプションの有効化を行います。

Shifter ダッシュボードにログインし、右上のアイコンから「アカウント」に移動します。

左サイドバーメニューから、「シングルサインオン」をクリックします。

「登録する」ボタンをクリックします。

支払いサイクルを、月間または年間から選択します。

SAML サブスクリプションの購入は5ユーザー単位となりますので、「ユーザー」に5の倍数を入力し「申し込む」ボタンをクリックしてください。

決済が完了すると以下のような状態になり、この段階ではシングルサインオンはまだ無効化されています。

スライドボタンをクリックして、シングルサインオンを有効化してください。

次に、シングルサインオン用のドメインの設定と、検証用レコードの取得を行います。

「組織のドメイン」にシングルサインオンに使用する、組織のドメイン名を入力します。

「更新」ボタンをクリックします。

DNS認証レコードが発行されますので「コピー」ボタンでコピーします。

2. ドメインサービスプロバイダの管理画面での操作

コピーした検証用のDNSレコードを、ご利用のドメインサービスプロバイダの管理画面で追加する作業を行なってください。

Route53ヘの設定方法は以下を参照
https://support.getshifter.io/en/articles/5542743

3. Shifter ダッシュボードでの操作

先ほどの「DNS 認証レコード」の右下にある「確認する」ボタンをクリックします。

ドメインの検証が成功すると、以下のような文言が表示されます（DNS認証レコードは削除しないでください）。

「パラメータ」から、シングルサインオンプロバイダでの設定に必要な情報をコピーします。

コピーする項目

オーディエンス (urn:amazon:cognito から始まる値)
コールバック URL (https:// から始まる値)
ログイン URL (https:// から始まる値)

4. SSO プロバイダの管理画面での操作

SSO プロバイダ側の管理画面にて、必要な設定と Shifter にアップロードする設定ファイルのダウンロードを行なってください。SAML認証オプションは以下の SSO プロバイダに対応しています。

AWS IAM (AWS SSO)
Auth0
Azure AD
Okta

5. Shifter ダッシュボードでの操作

先ほどの「パラメータ」下部の「メタデータ」に、4でダウンロードした設定ファイルをアップロードし「ファイルを更新する」をクリックします。

6. シングルサインオンでログインする

ログイン画面（ https://go.getshifter.io/ ）で「シングルサインオンですか？」をクリックします。

「組織内のメールアドレス」に、シングルサインオン設定で登録したメールアドレスを入力してください。

シングルサインオンでログインする企業 ID が表示されます。

シングルサインオンプロバイダにログインします。以下は Auth0 の例です。

シングルサインオンでログインできたことを確認してください。

以上で、シングルサインオンの設定は完了です。

SAML ユーザーに関する制限事項

SAML ユーザーは、自分のサイトを持つことができません。
ご自身のサイトを作成する場合は別途 Shifter にサインアップする必要があります。
SAML ユーザーは、オーナーから共有されたサイトのみ操作が可能です。