SAMLによるSSOの例 (Okta)

🚧

開始する前に

アプリケーション内のチャットまたは[email protected]からmablサポートに連絡して、SAMLセットアッププロセスを開始します。セットアップを完了するには、サポートから提供されたシングルサインオンのURLとオーディエンスの値が必要になります。

ここでは、mabl SSOインテグレーションの例として、Oktaを使用したSAMLセットアッププロセスの概要を説明します。これは、同様のセットアップを行う他のSAML IDプロバイダーでも動作するはずです。Azureを使用している場合は、代わりに 「SAMLによるSSO: Azure」をご覧ください。

Okta内で、新しいアプリケーションを作成します ([Web] アプリケーションとし、[SAML 2.0] を選択してください)。

アプリケーション名を選択し、ロゴをアップロードします (以下にmablのロゴを用意しています)。

一般設定

以下の一般設定を入力します。

• Single sign on URL: mablサポートが提供
• Audience URI (SP Entity ID): mablサポートが提供

📘

OneLogin

IDプロバイダーとしてOneLoginを使用する場合は、[SAML Consumer Url] フィールドと [SAML Recipient] フィールドの両方に、mablから提供されるオーディエンスURIの値を入力する必要があります。

以下の必須属性を追加する必要があります。
Name: email、Name Format: Basic、Value: user.email

[Next] をクリックします。

[I'm an Okta customer adding an internal app] を選択します。
[Contact App Vendor] の [It's required to contact the vendor to enable SAML] をオンにします。

[Finish] をクリックします。

以下のページでは、[View Setup Instructions] をクリックすると、セットアップを完了するためにmablに送信する必要がある情報が表示されます。

以下の値をメモして、mablのサポートに渡します¹。

• IDプロバイダーのシングルサインオンのURL
• IDプロバイダーの発行者
• X.509証明書 (CERまたはPEM形式)

📘

X.509証明書のセキュリティ

これは公開鍵証明書です。つまり、この証明書を通常のチャネルを介してmablに渡しても、セキュリティ上のリスクがないことを意味します。

📘

追加のメールドメイン

ワークスペースに追加のドメインがある場合、たとえば、メインの接続は[email protected]で行うが、ワークスペースには[email protected]でログインするユーザーもいる場合、SAML接続を設定する際にサポートチームにお知らせいただければ、mablでそれらのドメインもドメインロックに追加できます。追加のドメインもすべてドメインロックに含まれます。会社が完全に所有しているドメインのみを使用できます。

🚧

mablログインのドメイン制限

設定が完了すると、指定された完全修飾ドメイン名 (mail.company.comなど) を使用してサインアップしようとするユーザーは、指定されたSAMLプロバイダーから発信することが要求されます。

mablがこの情報を取得し、SAMLアプリケーションへの必要な接続を設定すると、組織は任意のIDプロバイダーを介してログインし、アクセスを制限できるようになります。