フィードバックを送信
Configuring Single Sign-On
ご覧のページは、お客様の利便性のために一部機械翻訳されています。また、ドキュメントは頻繁に更新が加えられており、翻訳は未完成の部分が含まれることをご了承ください。最新情報は都度公開されておりますため、必ず英語版をご参照ください。翻訳に問題がある場合は、 こちら までご連絡ください。

SAMLを使用したPingOneによるLiferay認証の設定

このチュートリアルでは、セキュリティ アサーション マークアップ言語 (SAML) を使用して、アイデンティティ プロバイダー (IdP) である PingOne を Liferay 環境に統合するために必要な基本的な手順について説明します。

前提条件

  • PingOne環境
  • Liferay DXP環境
  • PingOne環境への管理者アクセス権を持つユーザー
  • Liferayのコントロールパネルへの管理者権限を持つユーザー

PingOneの設定

  1. PingOne 環境にサインインします。

  2. 「アプリケーション」→「アプリケーション」に移動し、クリックして新しいアプリケーションを追加します。

    クリックして新しいアプリケーションを追加します

  3. アプリケーション名を入力し、アプリケーションの種類を選択します。

    1. アプリケーション名: Liferay DXP - SAML

    2. 説明: (オプション) 説明を入力してください

    3. アイコン: (オプション) アイコンをアップロードします

    4. アプリケーションの種類: SAML アプリケーション

    アプリケーション名を入力し、アプリケーションの種類を選択します

  4. 構成をクリックします。

  5. SAML 構成セクションで、アプリケーションのメタデータを入力します。

    1. アプリケーションメタデータの提供: を選択、を手動で入力

    2. ACS URL: https://[your_instance_url]/c/portal/saml/acs

    3. エンティティID: samlsp

    SAML構成にアプリケーションのメタデータを入力します

  6. [保存]をクリックします。

  7. 構成 タブに移動し、編集アイコンをクリックします。

    1. 署名証明書: 使用ケースに応じて、 署名レスポンス または 署名アサーション & レスポンス のいずれかを選択します。 これらの選択肢の詳細については、PingOne の 署名ポリシーの定義 (SAML) を参照してください。

    2. 署名アルゴリズム: RSA_SHA256

    3. 暗号化: チェックを外す。

      暗号化の使用をお勧めしますが、このチュートリアルではこれをチェックしないままにしておきます。 暗号化を有効にするには、インフラストラクチャで追加の構成が必要になる場合があります。

    4. SLOエンドポイント: https://[your_instance_url]/c/portal/saml/slo

    5. SLOバインディング: HTTP POST

    6. アサーションの有効期間(秒): 3000

  8. [保存]をクリックします。

  9. 「属性マッピング」タブに移動し、次の属性を追加します。

    属性PingOneマッピング
    saml_subjectメールアドレス
    電子メールアドレスメールアドレス
    ファーストネーム
    苗字苗字
    ハンドルネームユーザーID

  10. [保存]をクリックします。

    「ディレクトリ」→「ユーザー」に移動してユーザーを作成します。

  11. 構成 タブに移動し、メタデータ .xml ファイルをダウンロードします。 Liferay DXPの設定時に使用します。

  12. 右上のトグルスイッチからこのアプリケーションへのアクセスを有効にします。

    右上のトグルスイッチからこのアプリケーションへのアクセスを有効にします

Liferay DXPの設定

  1. Liferay DXPインスタンスで、 コントロールパネルセキュリティSAML管理に移動します。

  2. SAML ロールを サービス プロバイダーに設定し、エンティティ ID を samlspに設定します。 [保存]をクリックします。

  3. 証明書と秘密キーのセクションの下にある 証明書の作成 をクリックします。 証明書をインポートまたは作成します。

    SAMLロールをサービスプロバイダーに設定し、エンティティIDをsamlspに設定し、証明書を追加します。

  4. サービスプロバイダー タブに移動します。

    1. Authnリクエストに署名しますか? - 有効にする

    2. メタデータに署名しますか? - 有効にする

    3. SSLが必要 - 有効

    4. ログインポートレットの表示を許可する。 - 有効にする

    5. PingOne を アサーション署名 & レスポンスに設定している場合は、「アサーション署名が必要ですか?」を有効にします。

  5. [保存]をクリックします。

  6. アイデンティティプロバイダ接続 タブをクリックします。 [アイデンティティプロバイダーの追加] をクリックし、以下を設定します。

    1. 名前: PingOne

    2. エンティティIDを入力します(前のセクションでダウンロードしたxmlファイルでは エンティティID として見つかります)

    3. 有効 ボックスをチェックします

    4. メタデータ セクションで、IdP のメタデータ URL を入力します。 これは、PingOne 環境の [構成] タブにあります。

    5. 名前識別子形式メールアドレスに設定します

    6. 基本ユーザー フィールドに次の属性マッピングを入力します。

      ユーザーフィールド表現SAML 属性
      電子メールアドレス電子メールアドレス
      ファーストネームファーストネーム
      苗字苗字
      ハンドルネームハンドルネーム

    7. 「保存」をクリックします。

    アイデンティティプロバイダ接続を追加する

  7. [全般] タブに戻り、 [有効] チェックボックスがオンになっていることを確認します。 [保存]をクリックします。

    全般タブの有効チェックボックスをオンにします

入力値の検証

  1. Liferay インスタンスに移動し、新しいブラウザを開くか、アカウントからサインアウトします。

  2. サインイン ボタンをクリックすると、PingOne のログイン ページにリダイレクトされます。

    「サインイン」ボタンをクリックすると、PingOneのログインページにリダイレクトされます。

  3. ユーザーのユーザー名とパスワードを入力します。 ログインに成功しました。

  4. Liferay 管理者アカウントで再度サインインします。 コントロールパネルユーザーと組織に移動し、アカウントがLiferayに登録されていることを確認します。

    このユーザーにはどのロールも割り当てられていないため、ログインすると、次の画面が表示されます。

さいごに

  ユーザーは、PingOne を使用して環境に認証できるようになりました。

ヒントとトラブルシューティング

無効なACS_URL

ErrorCode: INVALID_ACS_URLが発生した場合は、PingOne で ACS URL が適切なパスとハイパーテキスト転送プロトコル (HTTP または HTTPS) を使用して正しく構成されていることを確認してください。 これらは、作成したアプリケーションに移動 → [構成] タブ → [編集] アイコンすると、PingOne アカウントで見つけることができます。

Liferay にサインインしようとすると、INVALID_ACS_URL エラーが発生します。

Capability:
Platform
Resource Type:
Official Documentation
Feature:
DXP Configuration
Identity Management and Authentication
Deployment Approach:
Liferay PaaS
Liferay SaaS
Liferay Self-Hosted