SAML シングルサインオン設定

(この機能は、Enterprise Editionでのみサポートされています。)

ManageEngine Password Manager Pro (PMP) では、SAML 2.0をサポートし、シングルサインオンに対するフェデレーションID管理ソリューションとの連携を容易にしています。PMPは、サービスプロバイダ(SP)として作動し、SAML 2.0を使用してアイデンティティプロバイダ(IdP)と連携します。連携により、基本的にSP(サービスプロバイダ)についての詳細がIdP(アイデンティティプロバイダ)に提供され、また逆も同様に行われます。PMPをIdpと連携させると、ユーザーは、Oktaにログインする必要があり、それから、資格証明書の再提出をすることなく、各アイデンティティ プロバイダのGUIからPMPへ自動的にログインすることができるようになります。PMPでは、Oktaとの画期的な連携をサポートしています。

OktaでPMPをアプリケーションとして追加する方法

OktaとPMPを連携するには、次の4手順を行います;

    1. Oktaのダッシュボード上でアプリケーションとしてPassword Manager Proを追加する
    2. Password Manager ProでOktaの詳細を設定する
    3. OktaでPMPアプリケーションをユーザーに割り当てる
    4. Password Manager ProでSAMLサインオンを有効化する

1)Oktaのダッシュボード上でアプリケーションとしてPassword Manager Proを追加する

  • Okta管理者アカウントにログインし、[アプリケーション]タブをクリックします。
    • dashboard
  • 新しいページが開くので、[アプリケーションの追加]を選択します。
    • addapplication
  • 次の画像が表示されるので、[新しいアプリケーションの作成]をクリックします。
    • addapplication
  • すると直ぐに、アプリケーション連携の種別についての情報確認画面がポップアップされます。[SAML 2.0]を選択し、[作成]をクリックします。
    • create_application
  • [一般設定]の入力画面で、追加するアプリケーションの名前(ME Password Manager Pro)を入力します。任意で、アプリケーションのロゴをアップロードすることもできます。完了したら、[次へ]をクリックします。
    • create_saml
  • 続いて、サービスプロバイダについての詳細をOktaへ提供します。これらの詳細にアクセスするには、PMPのホームページに移動し、[管理] >> [SAMLシングルサインオン]を選択します。
    • service_provider_details
  • 赤色でハイライトされた部分には、"サービスプロバイダ詳細情報"と名づけられた各詳細情報が記載されています。OktaのSAML設定ページで各項目に必要事項を入力してください。
    • saml_settings
  • シングルサインオンのURLとSPエンティティID(Audience URL)項目を入力した後、OktaによるPMPユーザー名の認識方法を指定します。Oktaでのユーザー名表示方法は、PMP上での表示方法とは異なるので、その形式を決定する必要があります。ここで、2つのシナリオを例として挙げます;
    1. シナリオ1:Active DirectoryからPMPへユーザーをインポートする場合、[ドメイン\ユーザー名]の形式でインポートされます。Okta GUIでは、[名前ID形式]のドロップダウンメニューより、[カスタム]を選択してください。それから、次のようなカスタム形式を指定します;
      2. ${f:toUpperCase(f:substringBefore(f:substringAfter(user.login, "@"), "."))}${"\\"}${f:substringBefore(user.login, "@")}
    2. シナリオ2:PMPでActive Directory連携を使用していない場合、[Oktaユーザー名プレフィックス]を選択してください。Oktaでは、ユーザープロファイリングが、[username@domain.com]という形式で実行されるからです。しかし、PMPでは、ユーザー名はusernamesとしてのみ表示されます。
      3. Oktaで適切な[名前ID形式]を指定する場合のみ、Oktaで他のユーザーにアプリケーション(PMP)を割り当てることができるので、この手順はとても重要となります。
  • 上記のように必要事項を入力したら、[終了]をクリックし、アプリケーションを追加します。更に、アプリケーションの詳細は、次の画像のように表示されます。[サインオン]をクリックし、そして、[View Setup instructions]を選択します。PMPでSAML2.0を設定するために必要な新しいタブが表示されます。これについては、次の手順で説明します。
    • setting_edit

2)Password Manager ProでOkta詳細を設定する

  • PMPでIdP詳細情報を設定してください。次に、第2の手順の一つとして、"アイデンティティ プロバイダの詳細設定"をPMPのSAMLシングルサインオンのページで行います。ここで、IdPからメタデータを提供すると、詳細情報を直接入力、もしくは自動入力することができます。
    1. 手動直接入力:詳細情報を直接手動で入力する選択をした場合、Oktaページの[Setup Instructions]から、発行者ID、ログインURL、ログアウトURLのようなIdP詳細情報を取得してください。PMPのSAMLサインオン設定ページにあるステップ2において、上記内容を設定してください。各項目に必要事項を入力し、Okta資格証明書をダウンロードします。そして、PMPクライアント(PMP GUIのステップ3でリストアップされます。)にアップロードします。代わりに、PMPファイルストアもしくは鍵ストアに証明書ファイルを保存することもできます。
      2. configure_saml
      provider_details_manually
      import_ldps
    2. IdPメタデータファイルでの自動入力:OktaのSAML 2.0セットアップガイドのページをスクロールダウンすると、[オプション]のところに、IdPメタデータがあります。テキストをコピーし、.xmlの拡張子で保存してください。そして、PMPクライアント上でその.xmlファイルをアップロードしてください。この場合、PMPでIdP資格証明書をインポートする必要はありません。自動的に更新されます。
    provider_details

3)Oktaでアプリケーションをユーザーに割り当てる

PMPでの設定が完了した後、Oktaに戻り、ユーザーに新しく追加されたアプリケーションを割り当てます。[アプリケーション] >> [アプリケーションの割り当て]を開き、PMPアプリケーションを選択します。[People]の項目で、対象となるユーザーを選択し、割り当てを確認します。

application_saml

4)Password Manager ProでSAMLサインオンを有効化する

最後のステップとして、Password Manager ProでSAMLシングルサインオンを有効にします。PMP GUI画面のSAMLページで、ステップ4を参照してください。右側に表示される[有効化]をクリックすると、この機能を使用することができるようになります。

メモ: Actie DirectoryとPMPを連携させてログインしている場合、SAML SSOを有効にできません。AD連携を無効にする場合には、管理 --> Active Directoryから設定してください。
enable_disable_saml