アプリケーションまたはサービスの MFA を構成する

SAML は サービス プロバイダアイデンティティ プロバイダ の間で情報を交換するのに使用される方法です。サービス プロバイダは、Salesforce や Microsoft など、ユーザーの接続先であるサードパーティ サービスのプロバイダです。AuthPoint などのアイデンティティ プロバイダは、ユーザーがサービスやアプリケーションにログインする際にユーザーを認証します。

AuthPoint では、SAML リソース はサービス プロバイダを使って AuthPoint に接続します。SAML リソースを追加して、ユーザーがサービスやアプリケーションに接続する前にユーザー認証を要求する、リソースの認証ポリシーを定義します。

SAML リソースを追加する際には、IdP ポータル リソースも追加することを推奨します。IdP ポータルは、ユーザーが使用できる SAML リソースのリストを表示するポータル ページです。詳細については、次を参照してください:IdP ポータルを構成する

特定のアプリケーションやサービスで AuthPoint MFA を構成する手順については、AuthPoint 統合ガイド‭ を参照してください。

SAML 認証のデータ フロー

この図は、ユーザーがプッシュ認証方式で認証した場合の SAML リソースの MFA トランザクションのデータ フローを示しています。

ユーザーが認証を必要とするアプリケーションにログインを試みると、AuthPoint の認証ページが表示されます。ログインするには、ユーザーは AuthPoint パスワード (必要な場合) を入力し、認証方法を選択します。この例では、ユーザーはプッシュ通知による認証を選択します。AuthPoint は認証およびログインすることをユーザーが許可したモバイル デバイスにプッシュ通知を送信します。

サードパーティ アプリケーションの認証を構成する

SAML リソースを追加する前に、サードパーティのサービス プロバイダの SAML 認証を構成する必要があります。これを行うには、AuthPoint management UI の 証明書管理 ページから AuthPoint メタデータを取得する必要があります。

AuthPoint メタデータは AuthPoint を特定し、サードパーティのサービス プロバイダとアイデンティティ プロバイダ (AuthPoint) の間の信用関係を確立するのに必要な情報をリソースに提供します。

一部のサービス プロバイダは認証を構成するのにメタデータ ファイルを要求しますが、メタデータ URL しか要求しない場合もあります。どれが必要かは、サードパーティのサービス プロバイダによって異なります。

  1. リソース を選択します。
  2. 証明書 をクリックします。

  1. リソースのサービス プロバイダが必要とする内容に基づいて、証明書管理 ページのリソースと関連付ける AuthPoint 証明書の横で をクリックし、メタデータをダウンロードするオプションを選ぶか、メタデータ URL をコピーするか、証明書をダウンロードするか、指紋をコピーします。

    AuthPoint メタデータは、信頼できるアイデンティティ プロバイダとして AuthPoint を識別するのに必要な情報をリソースに提供します。これは SAML 認証に必要です。

  1. AuthPoint メタデータ ファイルをサービス プロバイダにインポートし、サービス プロバイダから Service Provider エンティティ ID および アサーション コンシューマ サービス を取得します。これらの値は AuthPoint で SAML リソースを構成するのに必要です。特定の SAML リソースを構成する手順については、AuthPoint 統合ガイド‭ を参照してください。

AuthPoint で SAML リソースを追加する

AuthPoint management UI で SAML リソースを追加するには、以下の手順を実行します。

  1. リソース を選択します。
  2. リソースの種類の選択 ドロップダウン リストから、SAML を選択します。追加 をクリックします。

  1. 名前 テキスト ボックスにリソースの名前を入力します。
  2. アプリケーション タイプ ドロップダウン リストから関連するアプリケーションを選択するか、アプリケーションがリストにない場合は その他 を選択します。

    統合ガイド リンクをクリックし、アプリケーションを設定するための手順を説明したヘルプ トピックを開くことができます。このリンクは特定の状況に依存します。

  3. Service Provider エンティティ ID および アサーション コンシューマー サービス テキストボックスに、アプリケーションのサービス プロバイダからの値を入力します。
  4. ユーザー ID ドロップダウン リストから、どのユーザー ID 属性をサービス プロバイダに送信するかを選択します。サービス プロバイダは AuthPoint ユーザーのユーザー ID 属性をアプリケーションのユーザー名と比較します。これらの値は必ず一致する必要があります。

    例えば、Salesforce では、ドメイン名を含む電子メール形式のユーザー名が必要です。AuthPoint のユーザー名にはドメインが含まれないため、ユーザー ID は Salesforce のユーザー名と一致するように電子メール アドレスでなければなりません。

  5. (任意) サービス プロバイダから証明書をアップロードするには ファイルの選択 をクリックします。証明書をアップロードすると 暗号化が有効 トグルを選択し、SAML 通信の暗号化を有効または無効にすることができます。
  6. AuthPoint 証明書 ドロップダウン リストからリソースと関連付ける AuthPoint 証明書を選択します。これは、サードパーティ アプリケーションの認証を構成する セクションでメタデータをダウンロードした同じ証明書でなければなりません。
  7. 該当する場合は、アプリケーションに必要な必須の追加のフィールドに記入します。
  8. 保存 をクリックします。
  9. SAML リソースを既存の認証ポリシーに追加するか、SAML リソース用の新しい認証ポリシーを追加します。認証ポリシーは、ユーザーが認証後にアクセスできるリソースと、ユーザーが使用できる認証方法を指定します。詳細については、次を参照してください:AuthPoint 認証ポリシーについて

関連情報:

AuthPoint 統合ガイド

証明書管理

IdP ポータルを構成する

認証について