​技術ブログ

  • N

UPN 以外の属性で シングルサインオン する方法


今回は SAML でのシングルサインオン(以降 SSO )設定で、UPN 以外の属性を使用し SSO する方法について書いていきます。


可能なのか

まず可能なのかというと、可能です

SAML トークン でSP( Service Provider ) に渡す NameIdentifer を UPN 以外の属性に変更することで実現可能となります。


参考:Microsoft 社 公開記事

https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-saml-claims-customization


設定方法

設定はエンタープライズアプリを SAML トークンを使用した SSO 設定する際の設定項目「ユーザー属性とクレーム」にて設定します。


編集する箇所は上記の「一意のユーザー ID」となります。

例えば SAML の NameID (一意のユーザー ID )としてオンプレADの samAccountName を使用したい場合、編集画面にてクレーム名「 http://省略/nameidentifier 」のソース属性を

user.onpremisessamaccountName 」としてあげます。

これで設定は完了です。

samAccountName で SSO が可能となります。


ちなみに Salesforce ではユーザー名がメールアドレスと同じ形式でないと作成できないため、以下のような設定方法となります。



また、他の方法についてもご紹介します。

例えば SP にUPNとは異なる名前で作成したユーザー名 「test@mahty.com」でSSOをさせたい場合、まず、ユーザー属性 user.extensionattribute2 の値として「test@mahty.com」を設定します。その後、以下のように user.extensionattribute2 を指定します。

※ オンプレミスの AD と同期している環境下であればオンプレミス側で ExtensionAttributeを編集し、同期してください。

※ 今回は ExtensionAttribute2 属性を使用しておりますが、その他の属性を使用することも可能です。​

これで設定は完了です。

UPN とは異なるユーザー名 「test@mahty.com」で SSO することが可能となります。


まとめ

UPN 以外の属性を使用し SSO することは可能です。

SP側に一人が複数のアカウントを作成する場合、一方はUPN、一方は他属性として SSO が可能となり、有効な手段となりそうです。



最新記事

すべて表示

エンタープライズ アプリケーション の名前 と ロゴ を変更可能なのは誰か

みなさん一度は経験ある方が多いと思いますが、ポリシー等を設定した後に "名前" を変更したいっ、となったときがあるかと思います。しかし、名前を変更できる設定と変更できない設定があり、できない場合はポリシーを削除して再作成という手間が生じていたはずです。 微力ながら、今回は ギャラリーから追加した エンタープライズ アプリケーション に焦点を当てて "名前" と "ロゴ" の変更についてご案内してい

Azureポータルへログインできない

先日、評価テナントでゲストユーザーを制御する条件付きアクセスの評価を行っていたところ、Azureポータル( https://portal.azure.com )に自分のIDで入れなくなる事象が起こりました。 これはテナントの設定にある「既定のディレクトリの設定」を評価テナントに指定していたため起こった現象でした。 (評価テナントにはゲストユーザーとして自分のIDを追加してました) 回避策 回避策と

マーティー・ソリューションズ株式会社

​東京都台東区浅草橋5-23-6 KAMAYAビル6F