SAMLによるSSOの例 (Okta)
開始する前に
アプリケーション内のチャットまたは[email protected]からmablサポートに連絡して、SAMLセットアッププロセスを開始します。セットアップを完了するには、サポートから提供されたシングルサインオンのURLとオーディエンスの値が必要になります。
ここでは、mabl SSOインテグレーションの例として、Oktaを使用したSAMLセットアッププロセスの概要を説明します。これは、同様のセットアップを行う他のSAML IDプロバイダーでも動作するはずです。Azureを使用している場合は、代わりに 「SAMLによるSSO: Azure」をご覧ください。
Okta内で、新しいアプリケーションを作成します ([Web] アプリケーションとし、[SAML 2.0] を選択してください)。

アプリケーション名を選択し、ロゴをアップロードします (以下にmablのロゴを用意しています)。


一般設定
以下の一般設定を入力します。
- Single sign on URL: mablサポートが提供
- Audience URI (SP Entity ID): mablサポートが提供

OneLogin
IDプロバイダーとしてOneLoginを使用する場合は、[SAML Consumer Url] フィールドと [SAML Recipient] フィールドの両方に、mablから提供されるオーディエンスURIの値を入力する必要があります。
以下の必須属性を追加する必要があります。
Name: email
、Name Format: Basic
、Value: user.email

[Next] をクリックします。
[I'm an Okta customer adding an internal app
] を選択します。
[Contact App Vendor
] の [It's required to contact the vendor to enable SAML
] をオンにします。

[Finish] をクリックします。
以下のページでは、[View Setup Instructions
] をクリックすると、セットアップを完了するためにmablに送信する必要がある情報が表示されます。

以下の値をメモして、mablのサポートに渡します¹。
- IDプロバイダーのシングルサインオンのURL
- IDプロバイダーの発行者
- X.509証明書 (CERまたはPEM形式)
X.509証明書のセキュリティ
これは公開鍵証明書です。つまり、この証明書を通常のチャネルを介してmablに渡しても、セキュリティ上のリスクがないことを意味します。
追加のメールドメイン
ワークスペースに追加のドメインがある場合、たとえば、メインの接続は[email protected]で行うが、ワークスペースには[email protected]でログインするユーザーもいる場合、SAML接続を設定する際にサポートチームにお知らせいただければ、mablでそれらのドメインもドメインロックに追加できます。追加のドメインもすべてドメインロックに含まれます。会社が完全に所有しているドメインのみを使用できます。
mablログインのドメイン制限
設定が完了すると、指定された完全修飾ドメイン名 (
mail.company.com
など) を使用してサインアップしようとするユーザーは、指定されたSAMLプロバイダーから発信することが要求されます。
mablがこの情報を取得し、SAMLアプリケーションへの必要な接続を設定すると、組織は任意のIDプロバイダーを介してログインし、アクセスを制限できるようになります。
Updated about 1 year ago