暗号化された SAML アサーション用に IDP を構成する
SAML アサーションは、ID プロバイダがサービス プロバイダであるAdaptive Planningに送信する XML ドキュメントです。ドキュメントにはユーザ認証が含まれています。ユーザが SAML SSO を使用してAdaptive Planningにログインすると、署名検証ではプレーン アサーションのみがサポートされます。アサーションは暗号化されません。
SAML SSO 構成にセキュリティのレイヤーを追加することができます。セキュリティとプライバシーを強化するために、サービス プロバイダのみがユーザ情報にアクセスできるように、アサーションも暗号化します。そのためには、公式Adaptive Planningの公開鍵証明書をダウンロードします。SAML SSO では、Adaptive Planningが SAML アサーションを秘密鍵で復号し、署名を検証します。検証と認証に成功すると、ユーザはAdaptive Planningにログインできます。
Adaptive Planningは、SAML アサーションの署名と暗号化について、次の構成をサポートしています。
- 署名済み応答 + 暗号化された署名済みアサーション
- 署名なし応答 + 暗号化された署名済みアサーション
- 署名なし応答 + 署名済みアサーション
Adaptive Planningは、公開鍵証明書を使用した暗号化について、次のアルゴリズムをサポートしています。
- 暗号化アルゴリズム: AES-256-CBC
- 鍵配送アルゴリズム: RSA-OAEP
- 秘密鍵用ビット: 2048 ビット
- 秘密鍵ダイジェストアルゴリズム: SHA512
開始前に
検証:
- プロビジョニングにより、インスタンスの SAML SSO が有効になりました。「すべてのユーザに対して SAML SSO を有効にする」を参照してください。
- ID プロバイダ (IDP) とやりとりするためのAdaptive Planningインスタンスを設定しました。「SAML SSO設定」を参照してください。
SAML 暗号化証明書のダウンロード
- Adaptive Planningで、[管理] > [SAML SSO 設定の管理] に移動します。
- [証明書] セクションまでスクロールし、[証明書のダウンロード] をクリックします。証明書はローカル ファイル システムに保存されます。
SAML アサーションを暗号化する
管理者として、Adaptive Planningインスタンスへの SSO への暗号化アサーション用に IDP を構成します。
この手順では、Okta を例として使用しています。IDP の設定は Okta の設定と異なる場合があります。
- [Okta] > [管理] > [アプリケーション] に移動し、特定のアプリケーションを選択します。
- [一般] で、[SAML 設定] に移動し、次の詳細設定を編集します。
- Adaptive Planningへの接続用に次の設定を構成します。
- アサーション署名。[署名済み] を選択して、SAML アサーションにデジタル署名します。これにより、IDP のみがアサーションを生成するようになります。
- 署名アルゴリズム: SAML アサーションのデジタル署名に使用するアルゴリズムを選択します。例: RSA-SHA 256。
- ダイジェスト アルゴリズム: SAML アサーションのデジタル署名に使用するダイジェスト アルゴリズムを選択します。例: RSA-SHA512
- アサーション暗号化: [暗号化] を選択して、SAML アサーションを暗号化します。これにより、送信者と受信者以外の誰もこのアサーションを理解できなくなります。
- 暗号化アルゴリズム: SAML アサーションの暗号化に使用するアルゴリズムを選択します。例: AES256-CBC
- 鍵配送アルゴリズム: SAML アサーションの暗号化に使用する鍵配送アルゴリズムを選択します。例: RSA-OAEP
- [暗号化された証明書] フィールドで、Adaptive Planningからダウンロードした証明書をアップロードし、暗号化された SAML アサーションを送信します。
- [ユーザ] > [人] に移動し、Adaptive Planningにアクセスする各ユーザについて、SAML フェデレーション ID とパスワードを指定して IDP アカウントを作成します。
- [アプリケーション] に戻り、構成した Okta アプリケーションにユーザを割り当てます。
ユーザは SAML SSO を使用してAdaptive Planningにログインできるようになりました。サービス プロバイダが開始したログインの場合、Adaptive Planningユーザ名を使用して送信し、パスワード フィールドは空白のままにします。IDP ログインにリダイレクトされたら、IDP ユーザ名とパスワードを入力します。