外部IdPとは
CloudGate UNO には「 外部 Idp 連携オプション 」という機能があり、この機能に外部IdPを指定し設定を行うと、サインオン処理の一部「ユーザー認証」を外部へ委託できます。 この機能を利用している場合でも通常と同じようにアクセス制限や証明書の利用、SSOサービスなどはそのまま利用可能です。 ※ IdPは、 アイデンティティプロバイダー (Identify Providerの略称)のことです。
外部サービスは、Microsoft Entra IDのような SAML2.0対応のアイデンティティプロバイダーである必要があります。
- Active Directoryから Microsoft Entra(旧 Azure AD)に移行を検討中である
- グループ企業内で別々の IDaaS、SSOサービスを利用している
アイデンティティプロバイダーの設定はレルム単位で行うことができ、簡単な操作で切り替え可能です。 外部IdPを利用しない場合は、アイデンティティプロバイダー設定に「 CloudGate UNO 」(内部IdP)を指定してください。
利用手順
※事前に「 外部 Idp 連携オプション 」の契約が必要です。
- アイデンティティプロバイダー設定画面:外部IdPタブ (左メニューの )で アイデンティティプロバイダーを追加する 。
- 手順1と同じ画面で「外部IdP向け設定情報」を取得し、外部サービスのアイデンティティプロバイダー側へ設定する。
- レルム設定画面(内部認証) または レルム設定画面(LDAP認証) (左メニューの )で「基本情報」の「アイデンティティプロバイダー」を手順1で追加した アイデンティティプロバイダーへ変更する 。
注意事項
サインオン時の画面が変わります
外部IdPを設定すると、ユーザーの初回アクセス時にアイデンティティプロバイダーの選択画面が表示されます。 ユーザーは、自分がどのアイデンティティプロバイダーを選択するべきか知っておく必要がありますので、 管理者はユーザーへの案内を事前に行ってください。2回目以降のアクセスでは、過去の操作により画面のスキップや強調表示などが自動で行われます。
アイデンティティプロバイダーの選択画面で、 CloudGate UNO を選択すると CloudGate UNO のサインオン画面(下図の「通常のサインオン」と同じ画面)が表示され、 CloudGate UNO 以外の選択をした場合は、外部サービス側の画面(下図では「外部IdP経由でサインオン」)が表示されます。 ユーザー認証が成功すれば、設定によってアクセスしたサイトに戻るなどしてサービスが開始されます。
いくつかの機能が無効化されます
外部IdPを設定すると CloudGate UNO が保持している認証情報にはアクセスできないよう操作制限が入ります。 パスワード変更や「パスワードリカバリー」機能の利用、認証器の登録・参照、パスワード有効期限の検知などはできません。 詳しい影響範囲は こちら をご参照ください。
シングルサインオフは無効にします(推奨)
外部IdPを利用する場合、シングルサインオフを「なし」に設定して無効化することを推奨しています。
技術的には対応済みですが、不安定な動作となることを確認しています。 連携先のサービスや連携するサービス間の状況に依存するため改善は難しい状況ですので、 現状はすべてのサービスのサインオフを保証できかねます。
Microsoft社のサービス以外は CloudGate UNO からアクセス(推奨)
SSO連携において、外部IdPに Microsoft Entra IDを利用している場合、 Microsoft社のサービスは Microsoft Entra IDから、それ以外は CloudGate UNO から連携する構成を推奨しています。同じベンダー系の連携は独自の仕様により利用できる機能が増えますが、 それ以外のサービスに関しては、追加・削除の手間を考えると CloudGate UNO で管理する方が利便性が高く工数削減が見込めます。