SAML を使用してシングルサインオンを設定する
最小限の設定で、このコネクターは SAML ベースのアイデンティティプロバイダー (IdP) との統合を可能にします。
SSO についての詳細や Logto での SSO の設定方法については、エンタープライズシングルサインオン (SSO) (SAML & OIDC) ドキュメントを参照して始めてください。
ステップ 1: IdP に SAML SSO アプリケーションを作成する
IdP 側でアプリケーションを作成することで、SAML SSO 統合を開始します。Logto から次の設定を取得し、あなたのサービスプロバイダー (SP) を表します:
- オーディエンス URI (SP エンティティ ID): これは、Logto サービスのグローバルに一意の識別子として機能し、IdP への認証リクエスト時に SP の EntityId として機能します。この識別子は、IdP と Logto 間での SAML アサーションやその他の認証関連データの安全な交換において重要です。
- ACS URL: アサーションコンシューマーサービス (ACS) URL は、SAML アサーションが POST リクエストで送信される場所です。この URL は、IdP が SAML アサーションを Logto に送信するために使用されます。これは、Logto がユーザーのアイデンティティ情報を含む SAML 応答を受信し消費することを期待するコールバック URL として機能します。
IdP の SAML アプリケーションにオーディエンス URI と ACS URL の設定を入力し、IdP から次の設定を取得し続けます。
ステップ 2: Logto で SAML SSO を設定する
SAML SSO 統合を機能させるには、IdP メタデータを Logto に提供する必要があります。IdP メタデータは、Logto が IdP との信頼を確立するために必要なすべての情報を含む XML ドキュメントです。
Connection タブに移動します。Logto は、IdP メタデータを設定するための 3 つの異なる方法を提供します:
- メタデータ URL: IdP メタデータ XML ドキュメントの URL を提供します。Logto は URL からメタデータを取得し、SAML SSO 統合を自動的に設定します。
- メタデータのアップロード: IdP メタデータ XML ドキュメントをアップロードします。Logto は XML ドキュメントを解析し、SAML SSO 統合を自動的に設定します。
- 手動設定: IdP メタデータを手動で設定します。
- IdP エンティティ ID: IdP のエンティティ ID。
- シングルサインオン URL: IdP シングルサインオンサービスの URL。
- 署名証明書: IdP からの SAML 応答の署名を検証するために使用される x509 証明書。
上記のいずれかの設定で、Logto は IdP メタデータを解析し、SAML SSO 統合を適切に設定します。
ステップ 3: ユーザー属性マッピングを設定する
IdP から返されるユーザー属性は、IdP の設定によって異なる場合があります。Logto は、IdP から返されるユーザー属性を Logto のユーザー属性にマッピングする柔軟な方法を提供します。SAML SSO 統合体験タブでユーザー属性マッピングを設定できます。
- id: ユーザーの一意の識別子。Logto は SAML 応答から
nameIdクレームを読み取り、ユーザー SSO アイデンティティ ID として使用します。 - email: ユーザーのメールアドレス。
- name: ユーザーの名前。
ステップ 4: メールドメインを設定し、SSO コネクターを有効にする
Logto のコネクター SSO 体験 タブに組織の メールドメイン を提供します。これにより、SSO コネクターがこれらのユーザーの認証方法として有効になります。
指定されたドメインのメールアドレスを持つユーザーは、唯一の認証方法として SAML SSO コネクターを使用するようにリダイレクトされます。