Yellowfin-ps SSO連携設定
(最終更新:2024年2月)
利用に際しての留意事項
- SAML連携を有効化するには、Yellowfinのアプリケーションディレクトリに、SAMLBridge(https://wiki.yellowfin.co.jp/pages/viewpage.action?pageId=8486936)をインポートする必要があります。
- SAMLBridgeを経由せずにYellowfinへのログインが可能なため、パスワードの秘匿化またはログインページの一本化が必要となります。詳細な設定方法についてはサービス提供ベンダー様にご相談ください。
- Yellowfinはシングルサインアウト機能が備わっていないため、Yellowfinからログアウトした際は、CloudGate UNOからもログアウトする必要があります。
- スマートデバイス向けYellowfinアプリはSAML連携非対応です。スマートデバイスブラウザーからのSAML連携は可能です。
SSO連携設定の手順
Yellowfin-ps のSSO設定
Yellowfin-ps のSSO設定には CloudGate UNO の情報が必要になります。
CloudGate UNO 管理者サイトのシングルサインオン設定画面(左メニュー > 設定 > サービスプロバイダー > 各サービスパネルの「編集」 > シングルサインオン設定タブ)の「SAML 2.0のIdP情報」項目より以下情報を取得して、 Yellowfin-ps に設定します。
CloudGate UNO 項目名 |
Yellowfin-ps の設定箇所 |
---|---|
プロバイダー名 |
プロパティーファイルの[onelogin.saml2.idp.entityid = ]に入力します。 |
ログインURL |
プロパティーファイルの[onelogin.saml2.idp.single_sign_on_service.url = ]に入力します。 |
ログアウトURL |
プロパティーファイルの[onelogin.saml2.idp.single_logout_service.url = ]と[onelogin.saml2.idp.single_logout_service.response.url = ]に入力します。 |
パスワード変更画面URL |
ー |
証明書 |
ダウンロードした証明書をテキストエディターなどで開いて文字列をすべてコピーし、プロパティーファイルの[onelogin.saml2.idp.x509cert = ]にペーストします。(「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」は含めず、改行せずに1行の文字列にします) |
SAML 2.0 メタデータURL |
ー |
SAML 2.0メタデータ |
ー |
CloudGate UNO のSSO設定
CloudGate UNO 項目名 |
設定値 |
|||||||||
---|---|---|---|---|---|---|---|---|---|---|
IdP-initiated SSO |
OFF |
|||||||||
SP-initiated SSO |
ON |
|||||||||
Sign-on URL / SAML endpoint URL / SSO URL(*) |
[サーバURL] を取得し、その値を入力します。 |
|||||||||
Issuer / Provider name / Entity ID(*) |
[EntityID] を取得し、その値を入力します。 |
|||||||||
Assertion consumer service URL(*) |
[Assertion consumer service URL] を取得し、その値を入力します。 |
|||||||||
Name IDの形式 |
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified |
|||||||||
リクエストの署名要求 |
OFF |
|||||||||
レスポンスへの署名 |
ON |
|||||||||
アサーションへの署名 |
OFF |
|||||||||
ダイジェストアルゴリズムタイプ |
http://www.w3.org/2000/09/xmldsig#sha1 |
|||||||||
署名検証アルゴリズム情報タイプ |
http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 | |||||||||
正規化アルゴリズムタイプ |
http://www.w3.org/2001/10/xml-exc-c14n#WithComments | |||||||||
署名検証鍵情報タイプ |
x509 | |||||||||
追加属性(*) |
シングルサインオンするには下記の追加属性が必要です。
|
|||||||||
シングルサインオフの設定 | ||||||||||
サインオフメソッド |
HTTP GET |
|||||||||
ログアウトURL(*) |
https://echizen.cloudgate.jp/ |
CloudGate UNO と Yellowfin-ps アカウントIDの関連付け
下記の情報が一致している必要があります。
CloudGate UNO |
Yellowfin-ps |
---|---|
アカウントID |
YellowfinへのログインID(ユーザー名もしくはメールアドレス) |
SAML認証の有効化
SAML認証を有効化するには、SAML Bridgeのプロパティーファイル(<YellowfinのサーバーURL>/appserver/webapps/samlbridge/WEB-INF/classes/onelogin.saml.properties)をテキストエディターなどで開き、以下の通り編集してください。
- [onelogin.saml2.debug = ]:true
- [onelogin.saml2.sp.entityid = ]:[YellowfinのサーバーURL]の末尾に「/samlbridge/metadata.jsp」を付け足した文字列(例:http(s)://<YellowfinのサーバーURL>/samlbridge/metadata.jsp)
- [onelogin.saml2.sp.assertion_consumer_service.url = ]:[YellowfinのサーバーURL]の末尾に「/samlbridge/acs.jsp」を付け足した文字列(例:http(s)://<YellowfinのサーバーURL>/samlbridge/acs.jsp)
- [onelogin.saml2.sp.single_logout_service.url = ]:[YellowfinのサーバーURL]の末尾に「/samlbridge/sls.jsp」を付け足した文字列(例:http(s)://<YellowfinのサーバーURL>/samlbridge/sls.jsp)
- [onelogin.saml2.idp.entityid = ]:CloudGate UNOから取得した[プロバイダー名]
- [onelogin.saml2.idp.single_sign_on_service.url = ]:CloudGate UNOから取得した[ログインURL]
- [onelogin.saml2.idp.single_logout_service.url = ]:CloudGate UNOから取得した[ログアウトURL]
- [onelogin.saml2.idp.single_logout_service.response.url = ]:CloudGate UNOから取得した[ログアウトURL]
- [onelogin.saml2.idp.x509cert = ]:CloudGate UNOからダウンロードした[証明書]をテキストエディターなどで開いて文字列をすべてコピー&ペースト(※「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」は含めず、改行せずに1行の文字列にします)
上記設定後「保存」したら、SAML Bridgeのweb.xmlファイル(<YellowfinのサーバーURL>/appserver/webapps/samlbridge/WEB-INF/web.xml)をテキストエディターなどで開き、以下の通り編集してください。
- [<param-name>YellowfinWebserviceURL</param-name>]:<param-value>YellowfinのサーバーURL</param-value>(例:<param-value>https://hogehoge</param-value>)
- [<param-name>AutoProvision</param-name>]:<param-value>false</param-value>
上記設定後「保存」したら、Yellowfinを再起動(https://wiki.yellowfin.co.jp/pages/viewpage.action?pageId=5767222)してください。