Beamoを最大限に活用するためのプランとパックのご利用方法についてご確認ください。
イントロダクション
この記事では、AWSをIDプロバイダーとしてBeamoのSAML SSOを使用するために必要な手順について詳しく説明します。
本機能使用対象ユーザー
スーパー アドミン |
サイト マネージャー |
チーム アドミン |
サーベイヤー |
コラボレーター |
ビューアー |
|
SAML SSO設定 |
|
SAML SSO設定する
Beamo SSOを開く
SSOの設定は、Beamo設定画面にて行います。
- Beamo → 設定 → セキュリティ
SAML SSOの有効化を✔︎して設定を開始します。
AWS SSO アプリケーションを作成する
Note: IDプロバイダーの構成方法は概要を説明しています。詳細な構成方法はそれぞれのIDプロバイダーにお問い合わせください。
- AWS SSO コンソールを開きます。
- 「アプリケーション」、「アプリケーション追加」の順に選択します。
- 検索バーの下の「カスタムSAML 2.0 アプリケーションの追加」にチェックを入れます。
- アプリケーションの表示名を入力します。例)Beamo
- AWS SSO メタデータのセクションへ移動します。
下記の情報は後ほど必要になりますのでメモをしてください。
a. AWS SSO サインインURL
b. AWS SSO 発行者URL
c. AWS SSO証明書 - アプリケーションプロパティのセクションへ移動します。
ユーザーがBeamoにアクセスするための、アプリケーション開始URLを指定します。 - アプリケーションメタデータセクションへ移動します。
「編集ボタン」をクリックして、メタデータを手動で入力します。
フィールド | 説明 |
アサーション コンシューマー サービス (ACS) URL |
IDプロバイダーからSAMLアサーションが送られる場所 |
アプリケーション SAML 対象者 |
Beamo SSO 設定画面から取得した、SP エンティティ IDを入力します。 |
属性マッピング
「属性マッピング」タブを開いて以下画像の様に項目を入力します。
アプリケーションのユーザー属性 |
この文字値またはAWS SSO のユーザー属性にマッピング |
形式 |
Subject |
${user:email} |
emailAddress |
|
${user:email} |
emailAddress |
割り当て済みユーザー
「割り当て済みユーザー」タブより、アプリケーションへのユーザの割り当てを行います。複数のユーザーまたはグループを選択できます。
Beamoへ戻り設定を続ける
AWSコンソールでの設定は終了です。引き続きBeamoへ戻り設定を完了します。
-
-
- サービスプロバイダ構成では、各SAMLリクエストの形式を定義します。
- ID プロバイダー構成は、SAML レスポンスに期待する形式を定義します。
- サービスプロバイダ構成では、各SAMLリクエストの形式を定義します。
-
サービスプロバイダを構成する
AWSコンソールより取得した値を参照し、以下のフィールドを設定します。
フィールド | 説明 |
エンティティ ID |
AWSコンソールのAWS SSO メタデータセクションから取得した、AWS SSO 発行者URLを入力します。 |
シングル・ログアウト・ サービスURL |
AWSコンソールのAWS SSO メタデータセクションから取得した、AWS SSO サイン イン URLを入力します。 |
シングル・サインオン・ サービスURL |
AWSコンソールのAWS SSO メタデータセクションから取得した、AWS SSO サイン アウト URLを入力します。 |
X509証明書 |
取得した証明書から-----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- を削除して貼り付けます。 余分なスペース、改行、その他の余計な文字があると、証明書の検証に失敗の原因となります。 |
許可されたドメイン
SAML SSOでの認証を許可するメールドメインを指定します。1つのフィールドに1つのドメインを追加します。ユーザーが name@example.com でログインする場合、入力するドメインは example.com となります。
テスト&保存
テストに成功したら、設定を[保存]クリックして、SSOを有効にします。