SAML認証によるKeycloakからZohoアカウントへのアクセス

SAML認証によるKeycloakからZohoアカウントへのアクセス

KeycloakでSAML認証を使用したシングルサインオンを設定すると、ユーザーがKeycloakの認証情報を使用してZohoアカウントにサインインできるようになります。

A. KeycloakのIDプロバイダー設定

  1. Keycloakの管理画面に管理者としてサインインします。
  2. 画面左側のメニューで[Manage realms](レルムの管理)をクリックします。
  3. Zohoとの連携を設定するレルムを選択します。レルムがない場合は、新しく作成します。

B. KeycloakでのZohoの設定

  1. 新しいタブでaccount.zoho.comにサインインします。
  2. 画面左側のメニューから組織タブに移動して、[SAML認証]を選択します。
  3. [メタデータをダウンロードする]をクリックします。

  4. ブラウザーまたはテキストエディターを使用して、メタデータファイルを開きます。

  5. メタデータファイルから、以下の内容をコピーします。
    1. Entity ID
    2. SingleLogoutService URL
    3. AssertionConsumerService URL(ACS URL)
  6. Keycloakの管理画面に戻ります。
  7. 画面左側のメニューから[Clients](クライアント)に移動して、[Create client](クライアントを作成する)をクリックします。

  8. [General settings](一般設定)のセクションで、以下の手順を実行します。
    1. [Client type](クライアントの種類)の項目でSAMLを選択します。
    2. [Client ID](クライアントID)の項目でentityIDを入力します。
    3. 名前説明を入力します。
    4. [Next](次へ)をクリックします。

  9. [Login settings](ログイン設定)のセクションで、以下の手順を実行します。
    1. [Valid redirect URIs](有効なリダイレクトURI)の項目にACS URLを貼り付けます。
    2. [Valid post logout redirect URIs](有効なログアウト後のリダイレクトURI)の項目にSingleLogoutService URLを貼り付けます。
    3. [Home URL](ホームのURL)の項目に、「signin/samlsp」の部分を「samlauthrequest」に置き換えたACS URLに貼り付けます。
    4. [Save](保存する)をクリックします。

  10. [SAML capabilities](SAMLの機能)のセクションまで下に移動して、以下の手順を実行します。
    1. [Name ID format](名前IDの形式)の項目で[email](メール)を選択します。
    2. [Force name ID format](名前IDの形式を必須にする)を有効にします。


  11. [Signature and Encryption](署名と暗号化)のセクションまで下に移動して、以下の手順を実行します。
    1. [Sign documents](ドキュメントに署名する)を有効にします。
    2. [Sign assertions](アサーションに署名する)を有効にします。
    3. [Signature algorithm](署名のアルゴリズム)の項目で[RSA_SHA256]を選択します。
    4. [SAML signature key name](SAML署名キー名)の項目で[NONE](なし)を選択します。
    5. [Canonicalization method](正規化の方法)の項目で[EXCLUSIVE](除外)を選択します。


  12. [Logout settings](ログアウトの設定)のセクションで、[Force channel logout](チャネルのログアウトを必須にする)を有効にします。
  13. [Save](保存する)をクリックします。
  14. [Keys](キー)タブに移動して、[Client signature required](クライアントの署名を必須にする)を無効にします。

  15. 表示される確認画面で[Yes](はい)をクリックし、クライアントの署名を無効にします。
  16. [Advanced](詳細)タブに移動します。
  17. [Fine Grain SAML Endpoint Configuration](SAMLのエンドポイントの詳細設定)のセクションで、[Logout service POST Binding URL](ログアウト後のレスポンスの送信先のURL)の項目にZohoのメタデータファイルからコピーした[SingleLogoutService URL]を貼り付けます。

  18. [Save](保存する)をクリックします。

C. ZohoでのKeycloakの設定

  1. Keycloakの設定画面左側のメニューで、[Realm settings](レルムの設定)に移動します。
  2. 下に移動して、[Endpoints](エンドポイント)の隣にある[SAML 2.0 Identity Provider Metadata](SAML 2.0のIDプロバイダーのメタデータ)をクリックします。

  3. IDプロバイダーのXMLファイルから、以下の詳細をコピーして保存します。
    1. X509証明書の詳細(<ds : X509Certificate> </ds : X509Certificate>で囲まれている箇所)
    2. SingleLogoutServiceURL(任意)
    3. SingleSignOnService URL

  4. [Save](保存する)をクリックします。
  5. ZohoアカウントのSAML認証のページに戻ります。
  6. 以下の手順を実行します。
    1. [サインインURL]の項目に、コピーしたSingleSignOnServiceを貼り付けます。
    2. [サインアウトURL]の項目に、コピーしたSingleLogoutServiceを貼り付けます。
    3. [X.509証明書]の項目に、コピーしたX509証明書の詳細を貼り付けます。
  7. [送信する]をクリックします。

SAML認証設定のテスト

SAML認証の設定が正しく行われているかテストを実施できます。実施するには、以下の手順を実行します。

サービスプロバイダー(Zoho)を起点としたSAML認証のテスト
  1. Zohoのサインインページに移動します。
  2. メールアドレスを入力して、[次へ]をクリックします。
  3. [SAMLを使用してサインインする]を選択します。Keycloakの認証ページに移動します。
  4. Keycloakの認証情報を入力して、[Sign In](サインインする)をクリックします。Zohoのページに移動し、サインインが完了します。
IDプロバイダー(Keycloak)を起点としたSAML認証のテスト:
      1.Keycloakにサインインします。
      2.[Applications](アプリケーション)に移動します。
      3.[Review the sign-in URL](サインインURLの確認)のページで、[Proceed](続ける)をクリックします。Zohoのページに移動し、サインインが完了します。