※SAML認証はエンタープライズプランをご契約頂いた方のみお使いいただけます。
目次
1. 組織の設定
組織の設定画面から、その組織で使用するSAML認証の設定を追加することができます。(図1)
「利用する(SAML認証でないユーザーも追加可)」を選択し、次の情報を入力してください
- Identity ProviderのエンドポイントURL (HTTP Redirect)
- Identity ProviderのログアウトURL (HTTP Redirect)
- Identity Providerの識別子 (Azure ADで必須)
- Identity Providerが署名に利用する公開鍵の証明書
1はMagicPodへのシングルサインオン時に、Identity Providerのログイン画面を表示するために使います。
2はIdentity ProviderからログアウトするためのURLとなります。このURLはMagicPodからログアウトする時のリダイレクト先として使われます。つまり、MagicPodからログアウトすると、Identity Providerからもログアウトします。 ((MagicPodからログアウトした後に、Identity Providerにログインしたままだと、再びMagicPodにアクセスした場合にシングルサインオンが実行されてログアウトが意味をなさないため、このような処理を行なっています。))
3は必要に応じて入力してください。Azure Active DirectoryによるSAML認証の場合、この項目の入力が必要です。
4はIdentity Providerの公開鍵をテキストで入力してください。入力内容ですが、こちらでデコードできれば問題ないはずです。
なお、SAML認証の性質上、シングルサインオンのログイン画面でメールアドレスを入力することで、1と3と4の内容は組織外のユーザーにも見える可能性があります。これはSAML認証をサポートしている他のクラウドサービスでも同様で、正しいIdentity ProviderのURLと公開鍵を指定していればセキュリティ上の問題はありませんが、接続元IPアドレス制限(組織データ)を組み合わせて使用することで、1と3と4の内容を組織外のユーザーに見えなくすることもできます。
以下は入力例となります。(図2) 実際の入力内容については組織ごとに異なりますので、担当部署等にご確認ください。
次はユーザの認証設定を変更します。(個々のユーザが認証設定を変えるまでは従来通りのID・パスワード認証/GitHub認証が使えます)
2. 既存ユーザの認証設定
まず、ユーザーメニューから「アカウント設定」を選択します。(図3)
すると、SAMLを有効化した組織のユーザーの場合、「認証設定」という項目が表示されるので、ここで「SAML認証を利用する」をクリックしてSAML認証に切替えてください。(図4)
なお、注意点として、SAML認証に切り替えると従来のID・パスワード認証/GitHub認証は使えなくなります。従来の認証方式に戻したい場合はこちらからパスワードをリセットしてください。GitHub認証に戻したい場合は、パスワードをリセットした後、「アカウント設定」の「アカウントを関連付ける」から設定可能です。(図5)
3. SAML認証でログインする
こちらからログインしてください。(図6) もし設定の不備などでうまくログインできなくなってしまった場合は、こちらからパスワードをリセットして、ID・パスワード認証でログインし直すことができます。
4. 新規MagicPodユーザを追加する
組織の設定画面から、SAML認証設定済みの新規MagicPodユーザを追加することができます。(図7)
なお、注意点としてSAML認証の設定で「利用する( SAML認証でないユーザーは追加不可)」としている場合は組織の「メンバー」一覧ページからメンバーを追加することはできず、この機能で追加する必要があります。
この機能は組織メンバー画面からのメンバー追加と似ていますが、MagicPod未登録のメンバーをSAML認証設定済みユーザーとして追加できる点が異なります。
5. SAML認証設定済みメンバーの確認
組織メンバー画面から確認できます。組織のSAML設定を利用するユーザに「SAML認証ユーザー」ラベルが表示されるようになります。(図8)
6. SAML認証を必須にする
SAML認証機能のプルダウンで「利用する(SAML認証でないユーザーも追加可)」を選んでいる場合、組織メンバーはID/パスワード認証やGitHub認証を引き続き使うことができます。しかしながら、組織の管理上、複数の認証方法が混在するのは好ましくない場合があります。その場合は、同プルダウンで「利用する(SAML認証でないユーザーは追加不可)」を選ぶことで、SAML認証を必須化することができます。ただし、組織内にSAML認証になっていないユーザーがいる場合、「利用する(SAML認証でないユーザーも追加不可)」に変更することができません。お手数をおかけしますが、SAML認証設定済みメンバーを確認し、組織のメンバーにSAML認証への移行の周知をお願いします。
7. その他
- MagicPodがIdentity Providerのサーバにアクセスするのはユーザーログインとログアウトの時だけなので、Identity Providerからユーザーの情報を削除しても、既にMagicPodにログインしているユーザーは引き続きMagicPodを利用できます。そのユーザーがすぐにMagicPodにアクセスできないようにするには、MagicPod組織のメンバーからそのユーザーを削除してください。
- MagicPodDesktopアプリでのSAML認証はサポートしておりません。テスト編集画面から「接続」ボタンを押してMagicPodDesktopを立ち上げるようにしてください。
- SAML認証については、こちらの記事も参考になります。