Absolute アカウントでシングルサインオンを設定する
Absolute のシングルサインオンは、Security Assertion Markup Language (SAML) 2.0 プロトコルのみをサポートします。
シングルサインオン (SSO) とは、ユーザーがユーザーセッション中に複数の Web アプリケーションにアクセスするための単一の資格情報を提供する認証プロセスです。ユーザーの認証が済むと、資格情報を再入力せずに、複数のアプリケーションを切り替えることができます。
お客様の組織がユーザー認証に以下のいずれかの SAML2.0 アイデンティティプロバイダー ID 情報を作成、維持、管理し、セキュリティトークンを使用してインターネット上のユーザーを認証するオンラインサービスまたは Web サイト。 (IdP) を使用している場合、Secure Endpoint Console でシングルサインオンを有効にできます。
- Active Directory Federated Services (AD FS)
- Microsoft Entra ID (旧称 Azure AD)
- ForgeRock®
- Okta
- OneLogin
- PingFederate®
- PingOne®
Absolute では、上記の IdP を使用する SSO をテストし、検証しました。別の IdP を使用したい場合、SAML2.0 プロトコルをサポートする IdP を使用できる必要があります。
Absolute の SSO ソリューションは、SHA256 ハッシュアルゴリズムと RSA-SHA256 署名アルゴリズムを使用する SAML 2.0 要求および応答をサポートすることにご注意ください。ハッシュアルゴリズムと署名アルゴリズムを IdP で設定する方法の詳細については、IdP が提供する資料を参照してください。
SSOが有効な場合、Absolute ユーザーは Absolute IdP ではなく、設定したサードパーティの IdP によって認証されます。
上記のサポートされる IdP のインストールや、それを組織向けに設定する方法の詳細については、IdP が提供する資料を参照してください。
前提条件
シングルサインオンを設定する前に、次の前提条件を満たす必要があります。
- IdP の各ユーザーにメールアドレスが関連付けられ、それが各ユーザーの Absolute ユーザーアカウントのメールアドレスと一致していること。
- 2 要素認証(2FA)が有効でないこと。2 要素認証が Absolute アカウントで有効な場合、シングルサインオンは有効にできません。その逆もまた同様です。
- 互換性のある IdP がインストールされ、新しい SAML2.0 サービスプロバイダー ユーザーの認証と承認のために信頼できるアイデンティティプロバイダー (IdP) を利用するシステムエンティティ。 (SP) を受け入れるように設定されていること。
SSO の設定
シングルサインオンを設定するには、Absolute とお客様が選択したアイデンティティプロバイダーの両方に、設定を追加する必要があります。このプロセスの間、次の 2 つのメタデータファイルを操作することになります。
- SP メタデータファイル。Secure Endpoint Console からダウンロードします。
- IdP メタデータファイル。IdP からダウンロードし、Secure Endpoint Console へアップロードします。
Absolute アカウントでは、一度に 1 つの IdP のみを設定できます。
シングルサインオンを設定するには:
- 認証を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。
- ナビゲーションバーで
設定 > 
認証設定をクリックします。 - シングルサインオンエリアで、をクリックしてシングルサインオンの設定ページを開きます。
-
メタデータのダウンロードをクリックします。absolute-metadata.xml ファイルがダウンロードされます。 -
暗号化および署名証明書をダウンロードをクリックします。パッケージに含まれる証明書の数に応じて、以下のファイルのいずれかがダウンロードされます。
- absolute-cert-<expiration date>.pem: 暗号化および署名検証のための SP パブリックキーを含む、個別の証明書ファイル
- absolute-certs-<expiration date>.zip: 暗号化、署名検証、または両方のための複数の .pem ファイルを含む zip ファイル
-
アイデンティティプロバイダーにログインし、Absolute を新しい SP として追加する手順を実施します。
IdP によっては、ステップ 4 でダウンロードしたメタデータファイル、またはステップ 5 でダウンロードした証明書ファイルのいずれか、または両方をアップロードすることで、設定を追加できる場合があります。新しい SP を IdP に追加する方法の詳細については、IdP が提供する資料を参照してください。
-
ステップ6で Absolute を IdP に追加したときに生成された IdP メタデータファイルをダウンロードします。ファイルをお使いのワークステーション上に保存します。
IdP メタデータファイルに以下の内容が含まれることを確認します。
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.example.org/SAML2/SSO/Redirect"/>
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.example.org/SAML2/SSO/Redirect"/>HTTP-POST 位置情報はサポートされません。ファイル内に存在する場合は無視されます。
- Secure Endpoint Console のシングルサインオンの設定ページで、名前フィールドをクリックし、この新しいシングルサインオン設定の名前を入力します。
- 説明をクリックし、説明を入力します。
-
ファイルを選択をクリックし、ステップ7で IdP からダウンロードした IdP メタデータファイルがある場所に移動し、ファイルをアップロードします。ファイルは XML 形式で、サイズは 500 KB 未満でなければなりません。
複数の Absolute アカウントがある場合、アップロードされたメタデータファイルで参照されるエンティティ ID が、1 つ以上の他の Absolute アカウントに関連付けられていることを示すメッセージが表示されることがあります。この場合、以下のいずれかを実行します:
- アップロードしたメタデータファイルをすべてのアカウントに割り当てるには、保存をクリックします。
- 異なるエンティティ ID を参照する新しいメタデータファイルをアップロードし、このアカウントにのみ割り当てるには、キャンセルをクリックしてこの手順を繰り返します。
-
をクリックします。SSO が有効になり、「SSO が有効化されました」イベントがイベント履歴に記録されます。
変更が有効になるまで最大 30 分間かかる場合があります。
- [オプション] ユーザー情報を IdP から自動的に同期するように SCIM の統合を設定します。
その後、ユーザーが Absolute ログインページにメールアドレスを入力すると、そのユーザーは設定した IdP のログインページにリダイレクトされます。ログイン後は、資格情報を再入力しなくても Secure Endpoint Console が開くようになります。または、ユーザーが単純に IdP にログインし、その後 IdP のポータルから直接 Secure Endpoint Console にアクセスすることもできます。
