シングルサインオンを管理する

サードパーティのアイデンティティプロバイダー (IdP) を使用してシングルサインオン (SSO) を設定した後で、設定を更新する必要が出てくる場合があります。必要であれば、後日無効にしたり、再び有効にすることもできます。

システムに追加した後でシングルサインオン設定を削除することはできません。

既存のシングルサインオン設定の名前や説明は変更できます。また、別のアイデンティティプロバイダーを使用して SSO を有効化するように、設定をやり直すこともできます。

SSO 向けに IdP を編集するには:

  1. 認証を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。
  2. ナビゲーションバーで 設定 > 認証設定をクリックします。
  3. シングルサインオンエリアで、ID プロバイダーを確認をクリックします。IdP の既存の設定情報が表示されます。
  4. 編集をクリックして、シングルサインオンの設定ダイアログを開きます。

  5. 以下の1つを実行します:

    • 既存の IdP のプロパティを更新するには:

      1. 名前フィールドをクリックし、シングルサインオン設定の名前を編集します。
      2. 説明をクリックし、説明を編集します。

    • 新しい IdP 向けにシングルサインオンを設定するには:

      1. メタデータをダウンロードをクリックし、absolute-metadata.xmlファイルをお使いのワークステーション上に保存します。

      2. 暗号化および署名証明書をダウンロードをクリックします。absolute-cert-<expiration date>.pem ファイルがダウンロードされます。

        パッケージに含まれる証明書の数に応じて、以下のファイルのいずれかがダウンロードされます。

        • absolute-cert-<expiration date>.pem: 暗号化および署名検証のための SP パブリックキーを含む、個別の証明書ファイル
        • absolute-certs-<expiration date>.zip: 暗号化、署名検証、または両方のための複数の .pem ファイルを含む zip ファイル

      3. 新しいアイデンティティプロバイダーにログインし、Absolute を新しい SAML サービスプロバイダー ユーザーの認証と承認のために信頼できるアイデンティティプロバイダー (IdP) を利用するシステムエンティティ。 として追加する手順を実行します。

        IdP によっては、ダウンロードした証明書ファイルとダウンロードしたメタデータファイルのいずれか、または両方をアップロードすることで、設定を追加することができます。新しい SP を IdP に追加する方法の詳細については、IdP が提供する資料を参照してください。

        メタデータファイルをアップロードできない場合

      4. Absolute を IdP に追加したときに生成された IdP メタデータファイルをダウンロードします。ファイルをお使いのワークステーション上に保存します。

        IdP メタデータファイルに以下の内容が含まれることを確認します。

        <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.example.org/SAML2/SSO/Redirect"/>

        <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.example.org/SAML2/SSO/Redirect"/>

        HTTP-POST 位置情報はサポートされません。ファイル内に存在する場合は無視されます。

      5. Secure Endpoint Console のシングルサインオンの設定ページで、名前フィールドをクリックし、この新しいシングルサインオン設定の名前を編集します。
      6. 説明をクリックし、説明を編集します。
      7. 既存の IdP メタデータファイルと置き換えるには、メタデータをインポートをクリックし、IdP からダウンロードしたメタデータファイルがある場所に移動します。ファイルは XML 形式で、サイズは 500 KB 未満でなければなりません。
  6. 保存をクリックします。SSO 設定が更新されます。

新しい IdP メタデータをアップロードして新しいアイデンティティプロバイダーを設定すると、変更が有効になるまで最大 30 分間かかる場合があります。

シングルサインオンを無効化するには:

  1. 認証を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > 認証設定をクリックします。
  3. シングルサインオンエリアで、シングルサインオンを無効化をクリックします。

  4. 確認メッセージで OK をクリックします。

    シングルサインオンが無効になり、「SSO が無効化されました」イベントがイベント履歴に記録されます。SCIM の統合が有効な場合、これも無効になります。

その後、ユーザーは Secure Endpoint Console へログインするのに Absolute アイデンティティプロバイダーを使用することになります。利用停止されていない各ユーザーに、Absolute ユーザーアカウントのパスワードをリセットするためのリンクが記載された電子メールが送信されます。

アイデンティティプロバイダーがアカウントですでに設定されている場合、無効になったシングルサインオンを再び有効にすることができます。

シングルサインオンを再び有効化するには:

  1. 認証を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > 認証設定をクリックします。
  3. シングルサインオンエリアで、シングルサインオンを有効化をクリックします。
  4. 確認メッセージで OK をクリックします。

シングルサインオンが再び有効になり、「SSO が有効化されました」イベントがイベント履歴に記録されます。

IdP に問題が発生し、利用できない場合、システム管理者は IdP をバイパスし、Secure Endpoint Console に直接ログインできます。もっと見る