SSO設定
- 印刷する
- PDF
SSO設定
- 印刷する
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
Classic/VPC環境で利用できます。
SSO(Single Sign On)設定では、Media Connect Centerと顧客会社が同じIDでアクセスできるように統合認証連携を設定できます。SSOを設定すると、顧客会社の企業情報システムのログイン状態がMedia Connect Centerでも同様に維持されます。SSO連携が完了すると、それまで使用してきた顧客会社の企業情報システムのログインアカウント情報でMedia Connect Centerにログインできるようになります。
Media Connect CenterはSP(Service Provider)方式のSSOをサポートします。提供中のSSO方式は以下のとおりです。
OAuth
OAuth 2.0を基盤としてSSOを設定できます。
動作の順序
OAuth 2.0基盤のSSO動作の順序は以下のとおりです。
- Media Connect Centerの使用
- ユーザーがMedia Connect Centerサービスを使用するためにウェブブラウザでURLにアクセス
- 認可コードの発行をリクエスト
- Media Connect Centerにログインしていない場合、顧客会社の認証システムに認可コードの発行をリクエスト
- 顧客会社にログインしていない場合、ログインページを実行
- 顧客会社の要求事項に合わせて直接作成したログインページをユーザーに提供
- アカウント情報を入力
- 顧客会社のログインポリシーに応じてユーザーがIDとパスワードを入力
- 顧客会社の認証処理後、認可コードを発行
- ユーザーが入力したアカウント情報で顧客会社のシステム認証処理後、認可コードを発行
- 顧客会社のシステムに既にログインしている場合、3.~4.番の手順を飛ばして直接認可コードを発行
- 認可コードは、Access Tokenを返すのに使用したら消滅する1回限りのコード
- 認可コードを返す(redirect)
- 最初に認可コードの発行をリクエストした際に受けたRequestの中で、Media Connect Center認証システムのredirect_uriで認可コードをredirect
- 認可コードでAccess Tokenをリクエスト
- 認可コードをパラメータにして顧客会社の認証システムにAccess Tokenをリクエスト
- Access Tokenを返す
- 顧客会社の認証システムは、認可コードを検証した後、Access Tokenを発行して返す
- Access Tokenでユーザー情報をリクエスト
- Access Tokenをパラメータにして顧客会社の認証システムにユーザー情報をリクエスト
- ユーザー情報を返す
- 顧客会社の認証システムは、Access Tokenを検証した後、ユーザーのログインメールアドレス情報を返す
- Media Connect Center認証トークンを発行
- Media Connect Center認証システムでユーザー情報をもとにMedia Connect Center用認証トークンを発行
設定方法
OAuth 2.0基盤のSSO設定方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Media > Media Connect Centerメニューを順にクリックします。
- Developersメニューをクリックします。
- 設定でSSO設定メニューをクリックします。
- 設定を選択をOnに変更するためにクリックします。
- SSO方式でOAuthをクリックして選択します。
- 設定のための情報を入力します。
- Redirect URL:情報の確認後に使用する場合、[コピー] ボタンをクリック
- 必須入力事項
- Web Login URL:ユーザーがMedia Connect Centerウェブにログインするためにアカウント情報を入力するページ。顧客会社のログイン処理後、認可コードを発行してredirect_uriで返す。詳しい設定方法は、Web Login URL(OAuth)と認可コードの発行を参照
- Access Token Return API:詳しい設定方法は、Access Token発行APIを参照
- User Info Return API:詳しい設定方法は、ユーザー情報を返すAPIを参照
- 任意入力事項
- Application Login URL, Client ID, Client Secret, Scope, Logout URL, Logout Domain
- [適用] ボタンをクリックします。
Web Login URL(OAuth)
顧客会社のログインを処理した後、認可コードを発行してredirect_uriで返します。
Request URL
作成したRequest URLをコンソールのWeb Login URLフィールドに入力。ポート番号は、インフラセキュリティポリシーに従い、443ポートのみ使用できる
<例> https://顧客会社のドメイン/顧客会社のログインページ
HTTP Method
GET
Request
| パラメータ | タイプ | 必須の有無 | 説明 |
|---|---|---|---|
| response_type | String | Y | 認証プロセスに対する区分値としてどんな形の結果値を受け取るかを明示し、常に「code」という固定された文字列を使用 |
| client_id | String | Y | NAVERクラウドプラットフォームコンソールのDevelopersで登録したclient id値 |
| redirect_uri | String | Y | 認証を処理した後に認可コードを返すURLで、URLエンコードされている |
| state | String | Y | CSRF(Cross-stie request forgery)防止のために任意に作成された固有値 (認可コードを返す際にURLに持たせてパラメータでstate値を返す) |
| loginId | String | N | ユーザーが入力したログインID |
認可コードの発行
顧客会社のSSOシステムで顧客会社の認証とSSOに必要な処理を行った後、認可コードを発行してMedia Connect Center認証システムにリダイレクトします。
Request URL
Media Connect Center認証システムでログインページをリクエストする際に渡したredirect_uriのパラメータ値であり、ユーザー環境やMedia Connect Centerポリシーに応じていつでも変わることができるため、必ずredirect_urlで渡してもらったURLを使用すべきである
<例> https://Media Connect Center認証システムのURL/authorizationURL
HTTP Method
GET/POST
Request
| パラメータ | タイプ | 必須の有無 | 説明 |
|---|---|---|---|
| code | String | Y(成功) | 認可コード。Access Tokenの発行に用いられる1回限りのコード |
| state | String | Y(成功) | CSRFを防止するために使用するclient sideの認証値。URLエンコードされている(redirect_uriパラメータで渡したstate値) |
| error | String | Y(失敗) | 失敗の場合に返すエラーコード |
| error_description | String | Y(失敗) | 失敗の場合に返すエラーの説明 |
Access Tokenの発行API
顧客会社のSSO認証システムは、認可コードを検証した後、Access Tokenを発行して返します。
Request URL
作成したRequest URLをAccess Token Return APIフィールドに入力。ポート番号は、インフラセキュリティポリシーに従い、443ポートのみ使用できる
<例> https://顧客会社のドメイン/accessToken
HTTP Method
POST
Request
| パラメータ | タイプ | 必須の有無 | 説明 |
|---|---|---|---|
| grant_type | String | Y | 認証プロセスに対する区分値としてどんな形式の結果値を受け取るかを明示し、常に「authorization_code」という固定された文字列を使用 |
| client_id | String | Y | NAVERクラウドプラットフォームコンソールのDevelopersで登録したclient id値 |
| client_secret | String | Y | NAVERクラウドプラットフォームコンソールのDevelopersで登録したclient secret値 |
| code | String | Y | Authorization Code |
| state | String | N | CSRFを防止するために使用するclient sideの認証値で、URLエンコードされている |
Response
| 属性 | タイプ | 必須の有無 | 説明 |
|---|---|---|---|
| access_token | String | Y(成功) | Access Token |
| token_type | String | Y(成功) | Access Tokenのtype。「Bearer」に固定 |
| expires_in | String | Y(成功) | Access Tokenの有効期間(秒)。アプリケーションの実際のログイン維持時間 |
| error | String | Y(失敗) | 失敗の場合に返すエラーコード |
| error_description | String | Y(失敗) | 失敗の場合に返すエラーの説明 |
ユーザー情報を返すAPI
顧客会社のSSOシステムでAccess Tokenを検証した後、ユーザー情報を返します。
Request URL
作成したRequest URLをUser info return APIフィールドに入力。ポート番号は、インフラセキュリティポリシーに従い、443ポートのみ使用できる
<例> https://顧客会社のドメイン/ユーザー情報
HTTP Method
POST
Request
| パラメータ | タイプ | 必須の有無 | 説明 |
|---|---|---|---|
| client_id | String | Y | NAVERクラウドプラットフォームコンソールのDevelopersで登録したclient id値 |
| client_secret | String | Y | NAVERクラウドプラットフォームコンソールのDevelopersで登録したclient secret値 |
| access_token | String | Y | Access Token |
Response
| 属性 | タイプ | 必須の有無 | 説明 |
|---|---|---|---|
| email_id | String | Y(成功) | メンバーの業務メールログインID |
| error | String | Y(失敗) | 失敗の場合に返すエラーコード |
| error_description | String | Y(失敗) | 失敗の場合に返すエラーの説明 |
SAML
SAML 2.0を基盤としてSSOを設定できます。
動作の順序
SAML 2.0基盤のSSO動作の順序は以下のとおりです。
- Media Connect Centerの使用
- ユーザーがMedia Connect Centerサービスを使用するためにウェブブラウザでURLにアクセス
- SAML Request作成後に伝達(redirect)
- Media Connect Centerにログインしていない場合、顧客会社の認証システムにSAML Requestを作成して伝達
- 顧客会社にログインしていない場合、SAML Requestの検証後、ログインページを実行**
- 顧客会社の認証システムでは、SAML Requestが有効なリクエストかどうか確認
- 顧客会社の要求事項に合わせて直接作成したログインページをユーザーに提供
- アカウント情報を入力
- 顧客会社のログインポリシーに応じてユーザーがIDとパスワードを入力
- 顧客会社の認証処理後にSAML Responseを作成
- ユーザーが入力したアカウント情報で顧客会社のシステム認証処理後、SAML Responseを作成
- 顧客会社のシステムに既にログインしている場合、3.~4.番の手順を飛ばして直接SAML Responseを作成
- SAML ResponseはMedia Connect Centerにあらかじめ登録した証明書で電子署名
- SAML Requestを伝達(redirect)
- SAML ResponseをMedia Connect Centerから渡したSAML RequestのACS URLで伝達
- Media Connect Center認証トークンを発行
- 顧客会社があらかじめ登録した証明書でSAML Responseを検証して認証を行ってユーザー情報を確認し、Media Connect Center用認証トークンを発行
設定方法
SAML 2.0基盤のSSOの設定方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Media > Media Connect Centerメニューを順にクリックします。
- Developersメニューをクリックします。
- 設定でSSO設定メニューをクリックします。
- 設定を選択をOnに変更するためにクリックします。
- SSO方式でSAMLをクリックして選択します。
- 設定のための情報を入力します。
- ACS URL:情報の確認後に使用する場合、[コピー] ボタンをクリック
- Entity ID:情報の確認後に使用する場合、[コピー] ボタンをクリック
- 必須入力事項
- Web Login URL:ユーザーがMedia Connect Centerウェブにログインするためにアカウント情報を入力するページ。詳しい設定方法は、Web Login URL(SAML)とSAML Requestの検証を参照
- 任意入力事項
- Application Login URL, Logout URL, Logout Domain
- SAML電子署名を行う際に使用する証明書ファイルを登録するには、ファイルの登録の [ファイル添付] ボタンをクリックします。
- Media Connect CenterはACS URLでSAML Responseを受けると、登録した証明書を利用して有効性を検証
- ファイルを選択して登録します。
- [適用] ボタンをクリックします。
Web Login URL(SAML)
SAML Requestを検証し、顧客会社のログインを処理した後、SAML Responseを作成してACS URLで返します。
Request URL
作成したRequest URLをコンソールのWeb Login URLフィールドに入力。ポート番号は、インフラセキュリティポリシーに従い、80か443ポートのみ使用できる
<例> https://顧客会社のドメイン/顧客会社のログインページ
HTTP Method
GET
Request
| パラメータ | タイプ | 必須の有無 | 説明 |
|---|---|---|---|
| SAMLRequest | String | Y | SAML 2.0 Request明細に従った文字列(Deflate + Base64でエンコードした値) |
| RelayState | String | Y | 認証を失敗した場合、再度試みるURL |
SAML Requestの検証
SAML Requestは、Deflate + Base64でエンコードされています。
SAML Requestの明細
<?xml version="1.0" encoding="UTF-8"?>
<saml2p:AuthnRequest
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
AssertionConsumerServiceURL="{ACS URL}"
ID="{Media Connect Center認証システムから発行するID}"
IssueInstant="{Requestの作成日時}"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
ProviderName="ncloudmediaconnectcenter.com"
Version="2.0">
<saml2:Issuer
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ncloudmediaconnectcenter.com</saml2:Issuer>
<saml2p:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
</saml2p:AuthnRequest>
SAML Requestの各項目は以下のとおりです。
| 項目 | 説明 |
|---|---|
| AuthnRequest AssertionConsumerServiceURL | SAML Responseを伝達するURL(ACS URL) |
| AuthnRequest ID | Media Connect Center認証システムで発行するIDで、SAML Response作成時に使用 |
| AuthnRequest IssueInstant | SAML Requestの作成日 |
| AuthnRequest ProtocolBinding | 「HTTP-POST」で送るので、SAML Responseは必ずPOST方式で送信 |
| AuthnRequest ProviderName | サービス提供者名で、「ncloudmediaconnectcenter.com」に送っている |
| Issuer | サービス提供者から発行されるIDで、SAML Response作成時に使用 |
SAML Requestの例
<?xml version="1.0" encoding="UTF-8"?>
<saml2p:AuthnRequest
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
AssertionConsumerServiceURL="https://会社ID.ncloudmediaconnectcenter.com/...."
ID="bemkplgpdoemkhjmncgmbcdibglpngclfombpmed"
IssueInstant="2018-02-14T03:33:49.999Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
ProviderName="ncloudmediaconnectcenter.com"
Version="2.0">
<saml2:Issuer
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ncloudmediaconnectcenter.com</saml2:Issuer>
<saml2p:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
</saml2p:AuthnRequest>
LDAP
LDAPを基盤としてSSOを設定できます。
設定方法
LDAP基盤のSSOの設定方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Media > Media Connect Centerメニューを順にクリックします。
- Developersメニューをクリックします。
- 設定でSSO設定メニューをクリックします。
- 設定を選択をOnに変更するためにクリックします。
- SSO方式でLDAPをクリックして選択します。
- 設定のための情報を入力します。
- 必須入力事項
- LDAP URL, URL, Domain Access User Name, Domain Access User, Password, Domain Base, User Class Name, User ID attribute
- 必須入力事項
- ファイルを選択して登録します。
- [適用] ボタンをクリックします。
ログアウト
ログアウトには、Media Connect Centerログアウトと顧客会社ログアウトがあります。
Media Connect Centerログアウト
顧客会社の企業情報システムからログアウトした後、Media Connect Centerからもログアウトする場合に使用します。ログアウトのリクエストを受けると、Media Connect CenterではログインしているMedia Connect Centerのアカウントをログアウトさせ、渡されたredirect_uriにリダイレクトします。
Request URL
redirect_uriはwhite_urlで管理されるため、作成したRequest URLをコンソールのLogout Domainフィールドに入力
<例> https://会社ID.ncloudmediaconnectcenter.com/authn/logoutProcess
- OAuth
- SAML
HTTP Method
GET/POST
Request
| パラメータ | タイプ | 必須の有無 | 説明 |
|---|---|---|---|
| redirect_uri | String | Y | Media Connect Centerからログアウトした後、リダイレクトするURLにURLエンコードされている |
Response
redirect_uriにリダイレクト
顧客会社ログアウト
Media Connect Centerからログアウトした後、顧客会社の企業情報システムからもログアウトする場合に使用します。
Request URL
作成したRequest URLをコンソールのLogout URLフィールドに入力。ポート番号は、インフラセキュリティポリシーに従い、443ポートのみ使用できる
<例> https://顧客会社のドメイン/ログアウト
- OAuth
- SAML
HTTP Method
GET
Request
| パラメータ | タイプ | 必須の有無 | 説明 |
|---|---|---|---|
| redirect_uri | String | N | 顧客会社のシステムからログアウト処理した後、redirectするURLにURLエンコードされている |
この記事は役に立ちましたか?