Zoho と IDプロバイダー(IdP)の間で SAML認証を設定するには、Zoho Accountsから取得した情報をIDプロバイダーの設定画面で入力する必要があります。また、反対に、IDプロバイダーから取得した情報をZoho Accountsの設定画面に入力する必要もあります。Zohoアカウントの認証に必要な情報はメタデータファイルとして取得し、IDプロバイダーのサイトでアップロード/入力できます。その後、IDプロバイダーから取得した詳細情報をZoho Accountsの設定画面に入力します。
Zohoのメタデータ
認証情報を提供するIDプロバイダー(Identity Provider、IdP)において、Zohoをサービスプロバイダー(Service Provider、SP)として設定するには、Zohoの詳細情報を登録する必要があります。必要な情報は、Zoho Accountsからダウンロード可能なメタデータファイルに含まれています。IDプロバイダーでは、メタデータファイルをアップロードするか、手動でIDプロバイダーの詳細を入力する必要があります。具体的な手順については、IDプロバイダーのヘルプを参照するか、サポート窓口にお問い合わせください。
Zohoのメタデータファイルには、以下の情報が含まれます:
-
エンティティID(または発行者URL/ID)
-
ACS URL(または返信URL/シングルサインオンURL)
-
サインアウトURL
-
ユーザー識別情報(名前ID)の形式(NameID Format)
-
ZOID
(ACS URLの最後の部分)
Zohoのメタデータをダウンロードするには:
-
accounts.zoho.com
にサインインします。
-
画面左側のメニューから
[組織]
→
[SAML認証]
をクリックします。
-
[メタデータをダウンロードする]
をクリックします。「zohometadata.xml」という名前のファイルがダウンロードされます。
-
必要なデータを表示/コピーするには、ブラウザーまたはテキストエディターでファイルを開いてください。
Zoho AccountsでSAML認証を設定するには、あらかじめアイデンティティプロバイダー(IdP)から以下の認証情報を取得する必要があります。取得した認証情報は、Zoho Accountsに手動で入力することも、アイデンティティプロバイダー(IdP)から取得したメタデータファイルをアップロードして自動入力することもできます。
- サインインURL
- サインアウトURL(任意)
- 名前ID(NameID)
- X.509証明書(対応しているファイル形式:Base64形式でエンコードされた.cer、.crt、.cert、.pem)
認証情報の入力方法:
- Zoho Accounts(accounts.zoho.com)にサインインします。
- 画面左側のメニューから[組織]をクリックし、[SAML認証]に移動します。画面左側のメニューに[組織]が見つからない場合は、[さらに表示する]をクリックします。
- [設定する]をクリックします。
- アイデンティティプロバイダー(IdP)から取得したメタデータファイルをアップロードして自動入力するか、手動で入力します。
- [名前ID(NameID)]の項目は、初期設定で「メールアドレス」が指定されています。アイデンティティプロバイダー(IdP)で別の名前ID(NameID)が使用される場合は、一覧から選択します。
- [Zohoサービス]の項目には、ユーザーがアイデンティティプロバイダー(IdP)からサインインした後に移動するZohoアプリを選択します。詳細については、こちらをご参照ください。
SAML認証の設定には、必要に応じて、次の方法も利用できます:
パラメーター
ユーザーがサインインまたはサインアウトする際、アイデンティティプロバイダーからZohoのユーザー名またはメールアドレスが要求される場合があります。たとえば、ユーザーがZohoに直接サインインしようとした場合、アイデンティティプロバイダー(IdP)に自動的に移動します。アイデンティティプロバイダー(IdP)によって、ユーザーに認証用のサインインフォームが表示されます。アイデンティティプロバイダー(IdP)にZohoからユーザーのユーザー名またはメールアドレスを送信すると、サインインフォーム内の該当の項目に自動で入力されます。
Zohoからこのような情報をアイデンティティプロバイダー(IdP)に送信するには、パラメーターの設定を有効にする必要があります。[値]の項目には、ユーザー名またはメールアドレスを設定できます。[Name]の項目に入力したパラメーター名は、アイデンティティプロバイダー(IdP)において、Zohoから送信された値を識別するために使用されます。
SAMLの送信データに署名する
ユーザー認証のために、Zohoからアイデンティティプロバイダー(IdP)に対して、SAML認証リクエストが送信されます。その際、以下を保証するために、SAML認証のリクエストに署名することをアイデンティティプロバイダー(IdP)から求められる場合があります。
- 送信されたリクエストがZohoからのものであること
- 送信された情報が改ざんされていないこと
SAMLリクエストに署名するには、ZohoからのSAMLの送信データに署名する設定を有効にします。設定を有効にすると、公開鍵が生成され、SAML認証ページでダウンロードできるようになります。署名付きSAMLリクエストの検証用に、この公開鍵をアイデンティティプロバイダー(IdP)に提供する必要があります。
認証用の鍵のセット(キーペア)の生成
アイデンティティプロバイダー(IdP)によってユーザーが認証されると、認証済みのユーザーに関する情報を含むSAML認証のレスポンスがZohoに送信されます。この情報の機密性を保つため、SAML認証のレスポンスを暗号化することをアイデンティティプロバイダー(IdP)から求められる場合があります。この条件を満たすために、公開鍵と非公開鍵とのセット(暗号化キーペア)を生成できます。公開鍵はダウンロードして、アイデンティティプロバイダー(IdP)に提供する必要があります。非公開鍵はZohoにおいて安全に保管されます。アイデンティティプロバイダー(IdP)において、この公開鍵を使用してSAML認証のレスポンスの情報が暗号化されます。暗号化されたレスポンスが、Zohoに送信されます。暗号化されたレスポンスの情報を復号するには、Zohoが保管している非公開鍵を使用する必要があります。したがって、送信されたレスポンスの情報は、アイデンティティプロバイダー(IdP)とZohoの間で機密性を保つことができます。
メモ:SAMLの送信データに署名する設定を有効にすると、公開鍵と非公開鍵のセット(キーペア)が自動で生成されます。
一括サインアウト(シングルサインアウト)
一括サインアウト(シングルサインアウト)には、次の2種類があります:
- サービスプロバイダー(Zoho)を起点とした一括サインアウト(シングルサインアウト):ユーザーがZohoサービスからサインアウトした際に、アイデンティティプロバイダー(IdP)からも自動的にサインアウトします。
- アイデンティティプロバイダー(IdP)を起点とした一括サインアウト(シングルサインアウト):ユーザーがアイデンティティプロバイダー(IdP)からサインアウトした際に、Zohoサービスからも自動的にサインアウトします。
なお、認証情報を提供するアイデンティティプロバイダー(IdP)が一括サインアウト(シングルサインアウト)に対応している場合にのみ、一括サインアウト(シングルサインアウト)の設定を有効にできます。アイデンティティプロバイダー(IdP)によっては、2種類の一括サインアウト(シングルサインアウト)の両方に対応している、どちらかのみに対応している、両方とも対応していないことがあります。
一括サインアウト(シングルサインアウト)の設定を設定するには:
- SAML認証の設定画面の下部にある、一括サインアウト(シングルサインアウト)の設定を有効にします。
- Zoho AccountsのSAML認証の設定において、アイデンティティプロバイダー(IdP)のサインアウトURLを入力します。
- アイデンティティプロバイダー(IdP)のSAML認証の設定において、ZohoのサインアウトURLを入力します。ZohoのサインアウトURLは、メタデータファイル内の<md:SingleLogoutService>タグの中の「Location」属性に記載されています。アイデンティティプロバイダー(IdP)において一括サインアウト(シングルサインアウト)を有効にする手順は、該当のSAMLに関するヘルプ記事をご参照ください。
アカウントの自動作成(ジャストインタイムプロビジョニング)
アカウントの自動作成(ジャストインタイムプロビジョニング)の設定を有効にすると、新しいユーザーがSAMLを通じてZohoサービスにサインインした際に、該当のユーザーをZohoの組織に自動で追加することができます。新しいユーザーを追加する際には、SAML認証のレスポンスとユーザーのドメインの検証が行われます。アカウントの自動作成(ジャストインタイムプロビジョニング)の設定が無効の場合に、新しいユーザーに対してシングルサインオンを有効にするには、管理者が該当のユーザーをZohoサービスの組織に手動で追加する必要があります。
また、アカウントの自動作成(ジャストインタイムプロビジョニング)の設定を有効にすると、アイデンティティプロバイダー(IdP)を通じてユーザー情報を取得することもできます。取得したデータは、Zohoサービスのユーザー情報の項目に自動で入力されます。ユーザー情報を取得するには、アカウントの自動作成(ジャストインタイムプロビジョニング)の設定を有効にする際に、Zohoサービスのユーザー情報の項目とアイデンティティプロバイダー(IdP)の項目を関連付ける必要があります。
- 名
- 姓
- 表示名
アイデンティティプロバイダー(IdP)によっては、属性名があらかじめ設定されている場合や、独自の属性名を入力できる場合があります。独自の属性名を入力する場合は、Zohoで属性名を入力し、同じ属性名をアイデンティティプロバイダー(IdP)でも使用します。
次の各アイデンティティプロバイダー(IdP)のサービスにおけるSAMLを使用したシングルサインオンを設定できます。設定方法については、以下のヘルプをご参照ください: