SSO設定

Prev Next

Classic/VPC環境で利用できます。

SSO(Single Sign On)設定では、Media Connect Centerと顧客会社が同じ IDでアクセスできるように統合ログイン連携を設定できます。SSOを設定すると、顧客会社の企業情報システムのログイン状態が Media Connect Centerでも同様に維持されます。SSO連携が完了すると、それまで使用してきた顧客会社の企業情報システムのログインアカウント情報で Media Connect Centerにログインできるようになります。
Media Connect Centerは SP(Service Provider)方式の SSOをサポートします。提供中の SSO方式は次の通りです。

OAuth

OAuth 2.0ベースで SSOを設定できます。

動作手順

OAuth 2.0ベースの SSO動作の手順は次の通りです。

  1. Media Connect Centerの使用
    • ユーザーが Media Connect Centerサービスを使用するために、ウェブブラウザで URLへアクセス
  2. 認可コードの発行をリクエスト
    • Media Connect Centerにログインしていない場合、顧客会社の認証システムに Authorization Codeの発行をリクエスト
  3. 顧客会社にログインしていない場合、ログインページを実行
    • 顧客会社の要求事項に合わせて直接作成したログインページをユーザーに提供
  4. アカウント情報を入力
    • 顧客会社のログインポリシーに応じてユーザーが IDとパスワードを入力
  5. 顧客会社の認証処理後、Authorization Codeを発行
    • ユーザーが入力したアカウント情報で顧客会社のシステム認証処理後、Authorization Codeを発行
    • 顧客会社システムに既にログインされている場合は、3.~4.の手順を省略し、すぐに Authorization Codeを発行
    • Authorization Codeは、Access Tokenを返すのに使用したら消滅する1回限りのコード
  6. Authorization Codeを返す(redirect)
    • 最初に Authorization Codeの発行をリクエストした際に受けた Requestの中で、Media Connect Center認証システムの redirect_uriで Authorization Codeを redirect
  7. Authorization Codeで Access Tokenをリクエスト
    • Authorization Codeをパラメータにして顧客会社の認証システムに Access Tokenをリクエスト
  8. Access Tokenを返す
    • 顧客会社の認証システムは、Authorization Codeを検証した後、Access Tokenを発行して返す
  9. Access Tokenでユーザー情報をリクエスト
    • Access Tokenをパラメータにして顧客会社の認証システムにユーザー情報をリクエスト
  10. ユーザー情報を返す
    • 顧客会社の認証システムは、Access Tokenを検証した後、ユーザーのログインメールアドレス情報を返す
  11. Media Connect Center認証トークンを発行
    • Media Connect Center認証システムでユーザー情報をもとに Media Connect Center用認証トークンを発行

設定方法

OAuth 2.0ベースの SSOの設定方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Media > Media Connect Centerメニューを順にクリックします。
  2. Developersメニューをクリックします。
  3. 設定SSO設定メニューをクリックします。
  4. 設定を選択を Onに変更するためにクリックします。
  5. SSO方式で OAuthをクリックして選択します。
  6. 設定のための情報を入力します。
    mediaconnectcenter-ssosettings_01_ko
    • Redirect URL: 情報の確認後に使用する場合、 [コピー] ボタンをクリック
    • 必須入力事項
      • Web Login URL: ユーザーが Media Connect Centerウェブにログインするためにアカウント情報を入力するページ。顧客会社のログイン処理後、Authorization Codeコードを発行して redirect_uriで返す。詳しい設定方法は、Web Login URL(OAuth)Authorization Codeの発行を参照
      • Access Token Return API: 詳しい設定方法は、Access Tokenの発行 APIを参照
      • User Info Return API: 詳しい設定方法は、ユーザー情報返却 APIを参照
    • 任意入力事項
      • Application Login URL, Client ID, Client Secret, Scope, Logout URL, Logout Domain
  7. [適用] ボタンをクリックします。

Web Login URL(OAuth)

顧客会社のログインを処理した後、Authorization Codeを発行して redirect_uriで返します。

Request URL
作成した Request URLをコンソールの Web Login URLフィールドに入力。ポート番号は、インフラセキュリティポリシーに従い、443ポートのみ使用できる

例) https://顧客会社のドメイン/顧客会社のログインページ

mediaconnectcenter-ssosettings_02_ko

HTTP Method
GET

Request

パラメータ タイプ 必須有無 説明
response_type String Y 認証プロセスに対する区分値としてどんな形の結果値を受け取るかを明示し、常に「code」という固定された文字列を使用
client_id String Y NAVERクラウドプラットフォームコンソールの Developersで登録した client id値
redirect_uri String Y 認証を処理した後に Authorization Codeを返す URLで、URLエンコードされている
state String Y CSRF(Cross-stie request forgery)防止のために任意に作成された固有値(authorization codeを返す際に URLに持たせてパラメータで state値を返す)
loginId String N ユーザーが入力したログイン ID

認可コードの発行

顧客会社の SSOシステムで顧客会社の認証と SSOに必要な処理を行った後、Authorization Codeを発行して Media Connect Center認証システムにリダイレクトします。

Request URL
Media Connect Center認証システムでログインページをリクエストする際に渡した redirect_uriのパラメータ値であり、ユーザー環境や Media Connect Centerポリシーに応じていつでも変わることができるため、必ず redirect_urlで渡してもらった URLを使用すべきである

例) https://Media Connect Center認証システム URL/authorizationURL

HTTP Method
GET/POST

Request

パラメータ タイプ 必須有無 説明
code String Y(成功) Authorization Code Access Tokenの発行に用いられる1回限りのコード
state String Y(成功) CSRFを防止するために使用する client sideの認証値。URLエンコードされている(redirect_uriパラメータで渡した state値)
error String Y(失敗) 失敗の場合に返すエラーコード
error_description String Y(失敗) 失敗の場合に返すエラーの説明

Access Token発行 API

顧客会社の SSOシステムは、Authorization Codeを検証した後、Access Tokenを発行して返します。

Request URL
作成した Request URLを Access Token Return APIフィールドに入力。ポート番号は、インフラセキュリティポリシーに従い、443ポートのみ使用できる

例) https://顧客会社ドメイン/accessToken

mediaconnectcenter-ssosettings_03_ko

HTTP Method
POST

Request

パラメータ タイプ 必須有無 説明
grant_type String Y 認証プロセスに対する区分値としてどんな形の結果値を受け取るかを明示し、常に「authorization_code」という固定された文字列を使用
client_id String Y NAVERクラウドプラットフォームコンソールの Developersで登録した client id値
client_secret String Y NAVERクラウドプラットフォームコンソールの Developersで登録した client secret値
code String Y Authorization Code
state String N CSRFを防止するために使用する client sideの認証値で、URLエンコードされている

Response

プロパティ タイプ 必須有無 説明
access_token String Y(成功) Access Token
token_type String Y(成功) Access Tokenの type。「Bearer」に固定
expires_in String Y(成功) Access Tokenの有効期間(秒)。アプリケーションの実際のログイン維持時間
error String Y(失敗) 失敗の場合に返すエラーコード
error_description String Y(失敗) 失敗の場合に返すエラーの説明

ユーザー情報を返す API

顧客会社の SSOシステムで Access Tokenを検証した後、ユーザー情報を返します。

Request URL
作成した Request URLを User info Return APIフィールドに入力。ポート番号は、インフラセキュリティポリシーに従い、443ポートのみ使用できる

例) https://顧客会社のドメイン/ユーザー情報

mediaconnectcenter-ssosettings_04_ko

HTTP Method
POST

Request

パラメータ タイプ 必須有無 説明
client_id String Y NAVERクラウドプラットフォームコンソールの Developersで登録した client id値
client_secret String Y NAVERクラウドプラットフォームコンソールの Developersで登録した client secret値
access_token String Y Access Token

Response

プロパティ タイプ 必須有無 説明
email_id String Y(成功) メンバーの業務メールログイン ID
error String Y(失敗) 失敗の場合に返すエラーコード
error_description String Y(失敗) 失敗の場合に返すエラーの説明

SAML

SAML 2.0ベースで SSOを設定できます。

動作手順

SAML 2.0ベースの SSO動作の手順は次の通りです。

  1. Media Connect Centerの使用
    • ユーザーが Media Connect Centerサービスを使用するために、ウェブブラウザで URLへアクセス
  2. SAML Request作成後に伝達(redirect)
    • Media Connect Centerにログインしていない場合、顧客会社の認証システムに SAML Requestを作成して送信
  3. 顧客会社にログインしていない場合、 SAML Requestの検証後、ログインページを実行**
    • 顧客会社の認証システムでは、 SAML Requestが有効なリクエストかどうか確認
    • 顧客会社の要求事項に合わせて直接作成したログインページをユーザーに提供
  4. アカウント情報を入力
    • 顧客会社のログインポリシーに応じてユーザーが IDとパスワードを入力
  5. 顧客会社の認証処理後に SAML Responseを作成
    • ユーザーが入力したアカウント情報で顧客会社のシステム認証処理後、SAML Responseを作成
    • 顧客会社システムに既にログインされている場合は、3.~4.ステップを省略して、すぐに SAML Responseを作成
    • SAML Responseは Media Connect Centerに事前に登録した証明書で電子署名
  6. SAML Requestを伝達(redirect)
    • SAML Responseを Media Connect Centerで伝達した SAML Requestの ACS URLに伝達
  7. Media Connect Center認証トークンを発行
    • 顧客会社が事前に登録した証明書で SAML Responseを検証して認証およびユーザー情報を確認し、Media Connect Center用認証トークンを発行

設定方法

SAML 2.0ベースの SSO設定方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Media > Media Connect Centerメニューを順にクリックします。
  2. Developersメニューをクリックします。
  3. 設定SSO設定メニューをクリックします。
  4. 設定を選択を Onに変更するためにクリックします。
  5. SSO方式で SAMLをクリックして選択します。
  6. 設定のための情報を入力します。
    mediaconnectcenter-ssosettings_05_ko
    • ACS URL: 情報の確認後に使用する場合、 [コピー] ボタンをクリック
    • Entity ID: 情報の確認後に使用する場合、 [コピー] ボタンをクリック
    • 必須入力事項
      • Web Login URL: ユーザーが Media Connect Centerウェブにログインするためにアカウント情報を入力するページ。詳しい設定方法は、Web Login URL(SAML)SAML Requestの検証を参照
    • 任意入力事項
      • Application Login URL, Logout URL, Logout Domain
  7. SAML電子署名を行う際に使用する証明書ファイルを登録するには、ファイル登録[ファイル添付] ボタンをクリックします。
    • Media Connect Centerは ACS URLに SAML Responseを受信すると、登録した証明書を用いて有効性を検証
  8. ファイルを選択して登録します。
  9. [適用] ボタンをクリックします。

Web Login URL(SAML)

SAML Requestを検証して顧客会社のログインを処理した後、SAML Responseを作成して ACS URLに返します。

Request URL
作成した Request URLをコンソールの Web Login URLフィールドに入力。ポート番号は、インフラセキュリティポリシーに従い、80か443ポートのみ使用できる

例) https://顧客会社のドメイン/顧客会社のログインページ

mediaconnectcenter-ssosettings_06_ko

HTTP Method
GET

Request

パラメータ タイプ 必須有無 説明
SAMLRequest String Y SAML 2.0 Requestの仕様に従った文字列(Deflate + Base64でエンコードした値)
RelayState String Y 認証を失敗した場合、再度試みる URL

SAML Requestの検証

SAML Requestは、Deflate + Base64でエンコードされています。

SAML Requestの仕様

<?xml version="1.0" encoding="UTF-8"?>
<saml2p:AuthnRequest
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
  AssertionConsumerServiceURL="{ACS URL}"
  ID="{Media Connect Center認証システムから発行する ID}"
  IssueInstant="{Requestの作成日時}"
  ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
  ProviderName="ncloudmediaconnectcenter.com"
  Version="2.0">
  <saml2:Issuer
      xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ncloudmediaconnectcenter.com</saml2:Issuer>
  <saml2p:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
</saml2p:AuthnRequest>

SAML Requestの各項目は次の通りです。

項目 説明
AuthnRequest AssertionConsumerServiceURL SAML Responseを伝達する URL(ACS URL)
AuthnRequest ID Media Connect Center認証システムから発行する IDで、SAML Responseの作成時に使用
AuthnRequest IssueInstant SAML Requestの作成日
AuthnRequest ProtocolBinding 「HTTP-POST」で送るので、SAML Responseは必ず POST方式で転送
AuthnRequest ProviderName サービスプロバイダ名で、「ncloudmediaconnectcenter.com」に送っている
Issuer サービスプロバイダの作成者名タブから発行される IDで、SAML Responseの作成時に使用

SAML Requestの例

<?xml version="1.0" encoding="UTF-8"?>
<saml2p:AuthnRequest
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
  AssertionConsumerServiceURL="https://会社 ID.ncloudmediaconnectcenter.com/...."
  ID="bemkplgpdoemkhjmncgmbcdibglpngclfombpmed"
  IssueInstant="2018-02-14T03:33:49.999Z"
  ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
  ProviderName="ncloudmediaconnectcenter.com"
  Version="2.0">
  <saml2:Issuer
      xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ncloudmediaconnectcenter.com</saml2:Issuer>
  <saml2p:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
</saml2p:AuthnRequest>

LDAP

LDAPベースで SSOを設定できます。

設定方法

LDAPベースの SSOの設定方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Media > Media Connect Centerメニューを順にクリックします。
  2. Developersメニューをクリックします。
  3. 設定SSO設定メニューをクリックします。
  4. 設定を選択を Onに変更するためにクリックします。
  5. SSO方式で LDAPをクリックして選択します。
  6. 設定のための情報を入力します。
    mediaconnectcenter-ssosettings_07_ko
    • 必須入力事項
      • LDAP URL, URL, Domain Access User Name, Domain Access User, Password, Domain Base, User Class Name, User ID attribute
  7. ファイルを選択して登録します。
  8. [適用] ボタンをクリックします。

ログアウト

ログアウトには、Media Connect Centerのログアウトと顧客会社のログアウトがあります。

Media Connect Centerのログアウト

顧客会社の企業情報システムからログアウトした後、Media Connect Centerからログアウトする場合に使用します。ログアウトリクエストを受信すると、Media Connect Centerではログイン中の Media Connect Centerのアカウントをログアウトし、受信した redirect_uriにリダイレクトします。

Request URL
redirect_uriは white_urlで管理されるため、作成した Request URLをコンソールの Logout Domainフィールドに入力

例) https://会社 ID.ncloudmediaconnectcenter.com/authn/logoutProcess
  • OAuth
    mediaconnectcenter-ssosettings_08_ko
  • SAML
    mediaconnectcenter-ssosettings_10_ko

HTTP Method
GET/POST

Request

パラメータ タイプ 必須有無 説明
redirect_uri String Y Media Connect Centerからログアウトした後、リダイレクトする URLに URLエンコードされている

Response
redirect_uriにリダイレクト

顧客会社のログアウト

Media Connect Centerからログアウトした後、顧客会社の企業情報システムからもログアウトする場合に使用します。

Request URL
作成した Request URLをコンソールの Logout URLフィールドに入力。ポート番号は、インフラセキュリティポリシーに従い、443ポートのみ使用できる

例) https://顧客会社ドメイン/ログアウト
  • OAuth
    mediaconnectcenter-ssosettings_09_ko
  • SAML
    mediaconnectcenter-ssosettings_11_ko

HTTP Method
GET

Request

パラメータ タイプ 必須有無 説明
redirect_uri String N 顧客会社システムからログアウト処理した後、redirectする URLに URLエンコードされている