SAML認証に関する用語
一般用語
シングルサインオン(SSO)
シングルサインオン(SSO:Single Sign On)とは、1組のIDとパスワードを使用して複数のサービスにサインインするための仕組みです。サービスごとに認証情報を使い分ける手間を省くことができます。シングルサインオン(SSO)を使用すると、アイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)にサインインするだけで、他のサービスにアクセスできるようになります。
SAML
SAML(Secure Assertion Markup Language)とは、シングルサインオン(SSO)を設定するための認証の仕組みです。SAMLでは、アイデンティティプロバイダー(IdP)とサービスプロバイダー(SP:Service Provider)間でのデータ通信にXML形式のファイルが使用されます。
XML
XML(Extensible Markup Language)とはコンピューター言語の一種で、SAMLを使用したシングルサインオンを行う際に、アイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)とサービスプロバイダー(SP:Service Provider、認証情報を利用するサービス)間でのデータ通信に使用されます。
認証
認証とは、ユーザーがあるサービスにサインインする際に本人であることを検証するためのプロセスです。一般的な認証方法では、ユーザーはサービスプロバイダー(SP:Service Provider、認証情報を利用するサービス)にアクセスする際にユーザー名とパスワードを入力し、正しい場合はサービスプロバイダーによってアクセスが許可されます。
SAML認証の場合、ユーザーがサービスプロバイダー(SP)にサインインしようとすると、アイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)によってユーザーの認証が行われます。認証情報が正しい場合、アイデンティティプロバイダー(IdP)からサービスプロバイダー(SP)に認証が完了した旨の連絡(SAML認証応答/レスポンス)が送信されます。サービスプロバイダー(SP)はアイデンティティプロバイダー(IdP)から連絡を受け取ると、ユーザーに対してアクセスを許可します。
一括サインアウト(シングルサインアウト)
一括サインアウト(シングルサインアウト)とは、アイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)を通じてサインイン中のすべてのアプリからサインアウトする仕組みです。一括サインアウトを有効にした場合、ユーザーがZohoサービスからサインアウトすると、アイデンティティプロバイダー(IdP)からもサインアウトします。同様に、ユーザーがアイデンティティプロバイダー(IdP)からサインアウトすると、Zohoサービスからもサインアウトします。一括サインアウトを有効にするには、アイデンティティプロバイダー(IdP)がシングルサインアウト/シングルログアウト(SLO)の機能に対応している必要があります。
トップレベルドメイン(TLD)
トップレベルドメイン(TLD:Top Level Domain)とは、ドメインの後半部分です。たとえば、ドメインが「
https://accounts.zylker.com」の場合、トップレベルドメイン(TLD)は「
.com」です。Zohoサービスの場合、
汎用トップレベルドメイン(generic TLD:gTLD)と
国コードトップレベルドメイン(country code TLD:ccTLD)の2種類のトップレベルドメイン(TLD)があります。組織のデータがUSデータセンターに保存されている場合、汎用トップレベルドメイン「
.com.」が使用されます。組織のデータが他のデータセンターに保存されている場合、「
.com.cn」、「
.in」、「
.com.au」、「
.eu」などの国コードトップレベルドメインが使用されます。
アイデンティティプロバイダー(IdP)に関する用語
アイデンティティプロバイダー(IdP)
アイデンティティプロバイダー(IdP:Identity Provider)とは、ユーザーの認証情報を管理するサービスです。ユーザーが特定のサービス(この場合ではZohoサービス)にアクセスしようとすると、アイデンティティプロバイダー(IdP)によってユーザーの認証情報が検証され、サービスプロバイダー(SP:Service Provider、認証情報を利用するサービス)宛てに認証情報が送信されます。
例:Okta、Microsoft Entra ID、Google Cloud Identity
サインインURL
サインインURLとは、アイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)のURLです。ユーザーがZohoサービスにアクセスしようとすると、認証を行うためにこのURLに移動します。アイデンティティプロバイダー(IdP)によってはログインURLと呼ばれることもあります。
サインアウトURL
サインアウトURLとは、ユーザーがZohoサービスからサインアウトした後の移動先となるアイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)のURLです。アイデンティティプロバイダー(IdP)によってはログアウトURLと呼ばれることもあります。
一括サインアウト(シングルサインアウト)を有効にするには、サインアウトURLを指定する必要があります。
パスワード変更用URL
パスワード変更用URLとは、ユーザーがZohoアカウントのパスワードを変更しようとした際の移動先となるアイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)のURLです。
X.509証明書/公開鍵
X.509証明書とは、認証に必要な情報が含まれている電子証明書です。X.509証明書には公開鍵も含まれます。ユーザーがサービスプロバイダー(SP:Service Provider、例:Zohoサービス)にサインインしようとした際に、認証が完了した旨の連絡(SAML認証応答/レスポンス)がアイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)から本当に行われたかどうかを検証するために使用されます。
証明書は次の形式で記述されます:
-----BEGIN CERTIFICATE-----
<
公開鍵のテキスト>
-----END CERTIFICATE-------
ZohoサービスでSAMLを設定するにあたって、X.509証明書を直接アップロードするか、X.509証明書の内容をコピーして貼り付けます。
メモ:Zohoサービスで利用可能な証明書の形式は、.cer、.crt、.cert、.pemのみです。また、これらのファイルはBase64でデータを変換(エンコード)する必要があります。アップロードする際は、証明書の形式がこれらのいずれかの形式であることを確認してください。
アイデンティティプロバイダー(IdP)メタデータ
アイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)メタデータとは、サインインURL、サインアウトURL、X.509証明書などのデータが含まれているXML形式のファイルです。
サービスプロバイダーに関する用語
サービスプロバイダー(SP)
サービスプロバイダー(SP:Service Provider)とは、ユーザーにサービスやアプリケーションを提供するWebサイトです。アイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)を通じてユーザーを認証し、アクセスを許可します。今回の場合では、Zohoサービスがサービスプロバイダー(SP)に該当します。
サービスプロバイダー(SP)メタデータ
サービスプロバイダー(SP:Service Provider)のエンティティID、ACS URLなどのデータが含まれているXML形式のファイルです。ZohoサービスでSAMLを設定すると、このファイルをダウンロードできます。
サービスプロバイダー(SP)エンティティID(発行者URL/ID)
サービスプロバイダー(SP:Service Provider)エンティティIDとは、サービスプロバイダー(例:Zoho)を識別するための専用のIDです。サービスプロバイダー(SP)エンティティIDは、組織のデータが保存されているデータによって異なります。サービスプロバイダー(SP)メタデータファイル内の<md:EntityDescriptor>タグ内で確認できます。
ACS URL(返信URL/シングルサインオンURL)
ACS URL(Assertion Consumer Service URL)とは、ユーザーの認証が完了した後に、アイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)によって送信されるSAML認証が完了した旨の連絡(SAML認証応答/レスポンス)の宛先のURLです。メタデータファイル内の<md:AssertionConsumerService>タグ内で確認できます。ACS URLの後半部分(数字)は、Zohoの組織ID(ZOID)です。
NameID
SAML認証を行うにあたって、アイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)からZohoに共有される、ユーザーを識別するための情報です。NameIDを使用してユーザーを識別し、Zohoアプリへのアクセスを許可します。Zohoで使用できるNameIDの形式は、以下のとおりです。
- メールアドレス
- Windowsの完全修飾ドメイン名/絶対ドメイン名
- 指定なし
リレー状態URLとZohoサービス
リレー状態URLを指定すると、ユーザーがアイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)を通じてZohoサービスにアクセスした際に、ユーザーは指定先のURLに移動します。管理者は、ユーザーがサインインした際に特定のZohoサービスへの移動を促すことができます。たとえば、Zoho Cliqをサービスとして指定すると、ユーザーはサインインした際にZoho Cliqに移動します。
リレー状態URLは、Zoho AccountsでSAML認証を設定する際に選択できます。詳細については、こちらの
ヘルプの手順6をご参照ください。
SAMLの設定時にアイデンティティプロバイダー(IdP)でリレー状態URLを指定する必要がある場合は、次の形式で入力します:
https://{
Zohoサービス名}.zoho.{
組織のトップレベルドメイン}
サインアウトレスポンス(一括サインアウト)
サインアウトレスポンスは、組織のユーザーに対して一括サインアウト(シングルサインアウト/シングルログアウト、1回のサインアウト操作ですべてのアプリからまとめてサインアウトする機能)を有効にする際に使用されます。一括サインアウトには2種類あります:
- サービスプロバイダー(Zoho)を起点とした一括サインアウト:ユーザーがZohoサービスからサインアウトすると、アイデンティティプロバイダー(IdP)からもサインアウトします。
- アイデンティティプロバイダー(IdP)を起点とした一括サインアウト:ユーザーがアイデンティティプロバイダー(IdP)からサインアウトすると、Zohoサービスからもサインアウトします。
一括サインアウトを有効にするには、認証情報を提供するアイデンティティプロバイダー(IdP)が一括サインアウト(シングルサインアウト/シングルログアウト)の機能に対応している必要があります。アイデンティティプロバイダー(IdP)によっては、一括サインアウトの種類を両方ともサポートしているもの、どちらかのみをサポートしているもの、両方ともサポートしていないものがあります。一括サインアウトを有効にする手順は、
SAMLに関するヘルプ記事をご参照ください。
一括サインアウトを有効にするには:
- ZohoにおけるSAML認証の設定中に、[サインアウトレスポンスが必要] の欄にチェックを入れます。
- ZohoでのSAML認証の設定において、アイデンティティプロバイダー(IdP)のサインアウトURLを入力します。
- アイデンティティプロバイダー(IdP)での設定において、ZohoのサインアウトURLを入力します。ZohoのサインアウトURLは、メタデータファイルの<md:SingleLogoutService>タグの中の「Location」属性に記載されています。
ジャストインタイムプロビジョニング
ジャストインタイム(JIT:Just In Time)プロビジョニングを利用すると、新規ユーザーがSAMLを通じてZohoサービスにサインインした際に、ユーザーをZohoの組織に自動で追加することができます。新規ユーザーを追加する際には、SAML認証応答とユーザーのドメインの検証が行われます。ジャストインタイムプロビジョニングが有効になっていない場合に新規ユーザーに対してシングルサインオンを有効にするには、管理者はこれらのユーザーをZohoサービスの組織に手動で追加する必要があります。
ジャストインタイムプロビジョニングを利用すると、アイデンティティプロバイダー(IdP:Identity Provider、認証情報を提供するサービス)を通じてユーザー情報を取得することもできます。取得したデータは、Zohoサービスのユーザー情報の項目に自動で入力されます。ユーザー情報を取得するには、ジャストインタイムプロビジョニングを有効にする際に、Zohoサービスのユーザー情報の項目とアイデンティティプロバイダー(IdP)の項目を関連付けます。
- 名
- 姓
- 表示名