Classic/VPC環境で利用できます。
NAVERクラウドプラットフォームのコンソールで Ncloud Single Sign-Onを連携するための認証プロトコルと認証情報のフローを管理する Tenantを作成して管理する方法について説明します。
Tenant画面
Tenantを利用するための基本的な説明は、次の通りです。
| 領域 | 説明 |
|---|---|
| ① メニュー名 | 現在確認中のメニュー名 |
| ② 基本機能 | Tenantメニューに初回アクセスすると表示される機能
|
| ③ 作成と設定 | Tenant作成と Tenant設定変更 |
Tenant作成
Tenantを作成する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、
> Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。 - Tenantメニューをクリックします。
- Tenant情報にある [作成] ボタンをクリックします。
- Tenant作成後には、 [削除] ボタンに変更されます。
- Tenant作成のポップアップが表示されたら、内容を確認し、約款に同意してから [Tenant作成] ボタンをクリックします。
- Tenant作成完了のポップアップが表示されたら、 [確認] ボタンをクリックします。
- Tenant IDと Tenant作成日時が自動的に付与されます。
- メインアカウントのログインサポート有無は、アプリケーションごとの設定に従うように初期設定され、変更が可能です。
- Authentication URLは、自動的に付与された Tenant IDを利用して初期設定され、変更が可能です。
NAVER Cloud login設定変更
Tenant作成後に初期設定されたメインアカウントのログインサポート有無と Authentication URLの変更が可能です。
メインアカウントのログインサポートを設定
Tenantに登録されたアプリケーションごとにメインアカウントでのログイン可否を設定できます。設定する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
- Tenantメニューをクリックします。
- NAVER Cloud login領域のメインアカウントのログインサポートでドロップダウンタウンリストをクリックし、サポート有無を選択します。
- 許可: 登録されたすべてのアプリケーションからメインアカウントでログインできるように設定
- 拒否: 登録されたすべてのアプリケーションからメインアカウントでログインできないように設定
- Application別の設定に従う: アプリケーションの登録時に個別に許可有無を設定
- 情報を確認した後、 [保存] ボタンをクリックします。
- [保存] ボタンをクリックしない場合、変更した内容が保存されません。
許可または拒否に設定すると、登録したすべてのアプリケーションに自動的に反映されます。
Authentication URLの設定
Tenant IDで設定された初期 Authentication URLは、Tenant Aliasを入力して設定できます。設定する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
- Tenantメニューをクリックします。
- NAVER Cloud login領域の Authentication設定で、Tenant Aliasに希望する値を入力します。
- 英字の大小文字、数字、記号「-」、「_」のみ入力できます。
- Tenant Alias入力後、 [削除] ボタンをクリックすると Tenant Aliasが初期化され、Authentication URLも初期化されます。
- Authentication URLに入力した値が適用されているか確認します。
- [コピー] ボタンをクリックすると、URLをコピーできます。
- URLをコピーした後、 [保存] ボタンをクリックします。
- [保存] ボタンをクリックしない場合、変更した内容が保存されません。
External IdP login設定変更
外部アカウントと連携するための External IdP情報を登録し、連携するユーザープロファイルを設定する方法について説明します。
Organization連携
マスターアカウントの場合は Organizationサービスと連携し、Organization内のメンバーアカウントが保有するリソースに対する SSO Userのアクセス権限を統合管理できます。
Organizationサービスと連携する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
- Tenantメニューをクリックします。
- External IdP login領域の [Organization連携] ボタンをクリックします。
- Organization連携が完了すると、アクセス権限を管理できるメンバーアカウントのリストが Assignmentメニューに更新されます。
Organization連携を解除する場合、Permission Setに関連付けられたアカウント情報もすべて削除されるため、SSO Userの使用権限に影響を与えることがあります。
External IdP登録
連携する External IdPのメタデータを登録し、External IdPと Ncloud Single Sign-Onサービスの連携体系を設定できます。
External IdP情報を登録する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
- Tenantメニューをクリックします。
- External IdP login領域の External IDP Metadataで [External IDP登録] ボタンをクリックします。
- Identity Provider Metadata画面が表示されたら、Metadata領域に連携する External IdPのメタデータを入力した後、 [保存] ボタンをクリックします。
- 有効なメタデータが入力されると、サブ情報が自動的に入力されます。
- [登録] ボタンをクリックします。
External IdP削除
連携中の External IdP情報を削除し、External IdPと Ncloud Single Sign-Onの連携を停止できます。
External IdP情報を削除する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
- Tenantメニューをクリックします。
- External IdP login領域の External IDP Metadataで [External IDP削除] ボタンをクリックします。
ログイン設定
外部アカウントでログインしたアカウントのログイン設定を変更する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
- Tenantメニューをクリックします。
- External IdP login領域のログイン設定領域で、希望する設定に変更します。
- セッションの満了時間: ログインした外部アカウントのセッションの満了時間。10分、30分、1時間、3時間の中から選択可能で、設定時間中に何の活動もしない場合は自動的にログアウト
- 重複ログインの許可: 重複ログインの許可有無を選択。重複ログインを許可しない場合、SSOロールごとに1つのセッションのみ接続可能
- 所持認証: 所持認証適用の有無を選択。所持認証を適用する場合、NAVERクラウドプラットフォーム内で SSO Userの認証された E-mail/SMS情報の登録と管理が可能。適用、未適用の中から選択可能
- 所持認証項目: 所持認証を行う認証手段を選択。E-mail、SMS、E-mail+SMSの中から選択可能
- 2段階認証: 2段階認証の有無を選択。2段階認証を適用する場合、SSO Userのログイン時に IDとパスワードを入力後、E-mail/SMS/OTPの中から選択して追加認証を実行。適用、未適用の中から選択可能
認証機能を使用していないお客様は、所持認証と2段階認証機能を活用して SSO User対象の認証機能を強化できます。
所持認証についての説明は、次の通りです。
- 「SSO User作成後、NAVERクラウドプラットフォームの初回ログイン時」または「External IdPの情報変更後、NAVERクラウドプラットフォームの初回ログイン時」に1度だけ認証を実行
- 所持認証が適用された SSO Userが認証を実行しない場合、NAVERクラウドプラットフォームへのログイン不可
- 2段階認証を適用した場合は所持認証が自動的に適用され、所持認証時に認証された情報で2段階認証を実行
例) 所持認証項目で E-mailのみを選択した場合、SMSでは2段階認証は不可
2段階認証についての説明は、次の通りです。
- NAVERクラウドプラットフォームにログインするたびに2段階認証を実行
- 2段階認証が適用された SSO Userが認証を実行しない場合、NAVERクラウドプラットフォームへのログイン不可
ユーザー Profile管理
外部アカウントと Ncloud Single Sign-Onアカウントを連携するためのユーザープロファイル情報を入力できます。
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
- Tenantメニューをクリックします。
- External IdP login領域の [Attribute Mapper] ボタンをクリックします。
- 連携する外部アカウントのユーザープロパティ情報を入力します。
- Sync Modeでユーザープロファイルの更新方法を設定します。
- None: ユーザープロファイルを更新しない
- Import: 初回ログイン時のみユーザープロファイルを更新
- Force: ログインするたびにユーザープロファイルを更新
- [保存] ボタンをクリックします。
証明書管理
External IdP Loginに必要な Service Provider Certificateと External IdP Certificateを作成および読み込むか、証明書の期限切れ前の通知を受け取るように設定できます。
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
- Tenantメニューをクリックします。
- External IdP login領域で [証明書管理] ボタンをクリックします。
- [証明書管理] ボタンは External IdPを登録した後から使用できます。
- 証明書のタイプはタブで区分されており、証明書タイプ別に以下の機能を提供します。
- Service Provider Certificate: 新規証明書の作成、証明書のダウンロード、有効化設定、証明書の削除、期限切れ通知の設定
- External IdP Certificate: 証明書を読み込む、証明書を見る、証明書の削除、期限切れ通知の設定
証明書タイプ別にそれぞれ最大2つまで証明書を管理できます。
証明書の期限切れ通知を設定した場合、期限切れの90日前/60日前/30日前/7日前/1日前に E-mailに期限切れ通知のメールを送信します。
Tenant削除
作成された Tenantを削除する方法は、次の通りです。
Tenantを削除すると復元できませんので、慎重に行ってください。
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
- Subscriptionメニューをクリックします。
- 利用中ボタンをクリックしてから、Tenant削除ボタンをクリックします。
- Tenant削除確認のポップアップが表示されたら文を入力した後、 [削除] ボタンをクリックします。
- Tenant登録時に付与・入力した値が削除されます。