メインコンテンツまでスキップ

logoCorrectSize.png

Workday Adaptive Planning Knowledge Center

暗号化された SAML アサーション用に IDP を構成する

この記事では、IDP から Adaptive Planning への SAML アサーションを暗号化する方法について説明します。

 

SAML アサーションは、ID プロバイダがサービス プロバイダであるAdaptive Planningに送信する XML ドキュメントです。ドキュメントにはユーザ認証が含まれています。ユーザが SAML SSO を使用してAdaptive Planningにログインすると、署名検証ではプレーン アサーションのみがサポートされます。アサーションは暗号化されません。

SAML SSO 構成にセキュリティのレイヤーを追加することができます。セキュリティとプライバシーを強化するために、サービス プロバイダのみがユーザ情報にアクセスできるように、アサーションも暗号化します。そのためには、公式Adaptive Planningの公開鍵証明書をダウンロードします。SAML SSO では、Adaptive Planningが SAML アサーションを秘密鍵で復号し、署名を検証します。検証と認証に成功すると、ユーザはAdaptive Planningにログインできます。

Adaptive Planningは、SAML アサーションの署名と暗号化について、次の構成をサポートしています。

  • 署名済み応答 + 暗号化された署名済みアサーション
  • 署名なし応答 + 暗号化された署名済みアサーション
  • 署名なし応答 + 署名済みアサーション

Adaptive Planningは、公開鍵証明書を使用した暗号化について、次のアルゴリズムをサポートしています。

  • 暗号化アルゴリズム: AES-256-CBC
  • 鍵配送アルゴリズム: RSA-OAEP
  • 秘密鍵用ビット: 2048 ビット
  • 秘密鍵ダイジェストアルゴリズム: SHA512

開始前に

検証: 

SAML 暗号化証明書のダウンロード

  1. Adaptive Planningで、[管理] > [SAML SSO 設定の管理] に移動します。
  2. [証明書] セクションまでスクロールし、[証明書のダウンロード] をクリックします。証明書はローカル ファイル システムに保存されます。

SAML アサーションを暗号化する

管理者として、Adaptive Planningインスタンスへの SSO への暗号化アサーション用に IDP を構成します。

この手順では、Okta を例として使用しています。IDP の設定は Okta の設定と異なる場合があります。

  1. [Okta] > [管理] > [アプリケーション] に移動し、特定のアプリケーションを選択します。
  2. [一般] で、[SAML 設定] に移動し、次の詳細設定を編集します。
  3. Adaptive Planningへの接続用に次の設定を構成します。
    • アサーション署名。[署名済み] を選択して、SAML アサーションにデジタル署名します。これにより、IDP のみがアサーションを生成するようになります。
    • 署名アルゴリズム:  SAML アサーションのデジタル署名に使用するアルゴリズムを選択します。例: RSA-SHA 256。
    • ダイジェスト アルゴリズム: SAML アサーションのデジタル署名に使用するダイジェスト アルゴリズムを選択します。例: RSA-SHA512
    • アサーション暗号化: [暗号化] を選択して、SAML アサーションを暗号化します。これにより、送信者と受信者以外の誰もこのアサーションを理解できなくなります。
    • 暗号化アルゴリズム: SAML アサーションの暗号化に使用するアルゴリズムを選択します。例: AES256-CBC
    • 鍵配送アルゴリズム: SAML アサーションの暗号化に使用する鍵配送アルゴリズムを選択します。例: RSA-OAEP
  4. [暗号化された証明書] フィールドで、Adaptive Planningからダウンロードした証明書をアップロードし、暗号化された SAML アサーションを送信します。
  5. [ユーザ] > [人] に移動し、Adaptive Planningにアクセスする各ユーザについて、SAML フェデレーション ID とパスワードを指定して IDP アカウントを作成します。
  6. [アプリケーション] に戻り、構成した Okta アプリケーションにユーザを割り当てます。

ユーザは SAML SSO を使用してAdaptive Planningにログインできるようになりました。サービス プロバイダが開始したログインの場合、Adaptive Planningユーザ名を使用して送信し、パスワード フィールドは空白のままにします。IDP ログインにリダイレクトされたら、IDP ユーザ名とパスワードを入力します。

  • この記事は役に立ちましたか?