Skip to content

SAML認証オプションのご利用にあたり

本機能は有償のオプションとなります。オプションのご契約や費用のお見積等につきましては、管理コンソール内のお問い合わせフォームよりご連絡ください。

SAML

SAML認証とは

SAML (Security Assertion Markup Language) 認証は、異なるドメイン間でユーザーの認証情報を安全にやり取りするためのXMLベースの標準規格です。これにより、ユーザーは複数のサービスにログインする際、IDプロバイダー(IdP)と呼ばれる1つのサービスで認証を行うだけで、サービスプロバイダー(SP)にシングルサインオン(SSO)できるようになります。

たとえば、HENNGE Access Control にログイン後に Customers Mail Cloudに自動的にログインできるようになる仕組みです。

Customers Mail Cloud、CMC Domain Protectionでは IdP-Initiated アクセス方式 のシングルサインオンを提供します。
※現在 SP-Initiated アクセス方式には対応しておりません。

ご利用可能なIdPについて

現在、以下のIdPとの連携(IdP-Initiated SSO)について、動作検証済みです。
・HENNGE ONE(HENNGE Access Control)
・Microsoft Entra ID(旧 Azure AD)
・Google Workspace(Google Cloud Identity)

その他IdPをご利用の際は、お客様にて導入・検証の実施をお願いいたします。
※詳細な仕様については「設定」をご参照ください。

SAML認証の構成要素とフロー

SAML認証は、以下の3つの主要な要素で成り立っています。

  • IdP (Identity Provider): ユーザーの認証情報を管理するサービスです。ユーザーがIdPでログインすると、SPに認証情報(アサーション)を提供します。
    例:HENNGE ONE、Microsoft Entra ID、Google Workspace(Google Cloud Identity)、OneLogin
  • SP (Service Provider): ユーザーが利用するサービス(アプリケーション)です。IdPから送られてきたアサーションを検証し、ユーザーにサービスへのアクセスを許可します。
    例:Customers Mail Cloud、CMC Domain Protection、Slack、Zoom
  • User Agent: ユーザーが利用するウェブブラウザ(Google Chrome、Microsoft Edgeなど)です。

認証フロー

ここでは、IdP-Initiated SSOのフローを説明します。 IdPはHENNGE Access Control、SPはCustomers Mail Cloud とします。

  1. ユーザーがIdPにログイン
    ユーザーはIdPのポータルサイトにアクセスし、IDとパスワードなどの認証情報を入力してログインします。

  2. IdPがSAMLアサーションを生成
    認証が成功すると、IdPはユーザー情報を含むSAMLアサーションを生成します。このアサーションは、SPがユーザーを識別するために必要な情報(ユーザー名、メールアドレスなど)を含んでいます。

  3. ユーザーがSPを選択
    IdPにログインしたユーザーは、連携しているSPのリストが表示されたダッシュボード画面などを参照します。
    ユーザーは利用したいSPのアイコンやリンクをクリックします。
    IdPでCustomers Mail Cloud をSPとして追加する手順は「シングルサインオン設定マニュアル」を参照ください

  4. IdPがSAMLレスポンスを送信
    ユーザーがSPを選択すると、IdPは生成したSAMLアサーションを含むSAMLレスポンスをユーザーのブラウザに送信します。

  5. ブラウザがSPにリダイレクト
    ユーザーのブラウザは、このSAMLレスポンスを自動的にSPのACS(Assertion Consumer Service)URLにHTTP POSTメソッドで送信します。

  6. SPがSAMLレスポンスを検証
    SPは受信したSAMLレスポンスとアサーションを検証します。この際、アサーションのデジタル署名を確認し、信頼できるIdPからのものかを検証します。

  7. SPがユーザーを認証
    検証が成功すると、SPはアサーション内のユーザー情報を基に、ユーザーをサービスにログインさせます。

SPの設定項目

SP側でSAML認証を有効にするためには、主に以下の情報をIdPと共有・設定する必要があります。

  • エンティティID (Entity ID): SPを一意に識別するためのURIです。
  • アサーションコンシューマサービスURL (Assertion Consumer Service URL / ACS URL): IdPから送られてくるアサーションを受け取るためのSP側のエンドポイントURLです。
  • 公開鍵証明書 (Public Certificate): アサーションの署名を検証するために使用します。IdPから受け取った公開鍵証明書をSPに登録します。

設定と確認方法についてはSAML設定マニュアルを参照ください。