シングルサインオン(SSO:Single Sign On)とは、⼀度のユーザ認証処理によって、複数のシステムを利⽤可能にする仕組みです。シングルサインオン機能を利⽤するとAirCourseとは別のシステムでユーザ認証をすることで、 AirCourseのサービスが利⽤可能になります。
AirCourseでは、SAML認証によるシングルサインオンと、パラメータ認証によるシングルサインオンの2種類のシングルサインオンをサポートしています。
SAML規格を使⽤したシングルサインオン⽅式です。企業ですでにご利用されているIDプロバイダ(IdP)で認証を行うことで、AirCourseが利⽤可能になります。
SAML認証によるシングルサインオンを導入するメリットは大きく3つあります。
1. ユーザの利便性向上
社内で複数のクラウドサービスを導入している場合であっても、1回の認証操作でそれぞれのサービスにログインすることができます。そのため、複数のログインID/パスワードを管理したり、パスワードを失念して再発行したりといった手間を削減します。
2. セキュリティの強化
1人のユーザが複数のサービスでそれぞれ異なるログインID/パスワードを持っている場合には、「パスワードの使い回し」や「推測されやすい簡易的なパスワードを設定」などセキュリティ面に課題のある状況に陥りやすいです。
シングルサインオンを導入することで、安全性の高い強度なパスワードを1つだけ設定して管理できるようになるため、企業としてのセキュリティ強化につながります。
3. システム管理者の工数削減
SAML認証に対応しているクラウドサービスであれば、ユーザを一括管理することが可能になります。そのため、サービスごとにログイン情報やパスワードを管理する必要がなくなり、システム管理者の工数を削減できます。
AirCourseにログインするユーザは、あらかじめ企業でご利用中のIDプロバイダ(IdP)に登録されている必要があります。また、AirCourse上でユーザを作成しておく必要があります。
以降の説明では、既にユーザがIDプロバイダ(IdP)に登録されており、AirCourseでも当該ユーザが作成済みであるものとします。
SAML認証を設定すると、通常のAirCourseのログイン認証は無効になり、SAML認証に一本化されます。
SAML認証を設定する管理ユーザ は、SAML認証で問題なくログインができることを確認できるまでログアウトせず、SAML認証の動作確認は 管理ユーザとは別のユーザで確認することを推奨します。
AirCourseはSAML2.0に対応しており、SAML2.0に対応したIDプロバイダ(IdP)とシングルサインオン可能です。
現状、当社で動作確認済みのIDプロバイダ(IdP)は以下の通りです。
※上記のリストにないIDプロバイダ(IdP)をお使いの場合には、サポート対応できない場合がございますので、あらかじめご相談ください。
AirCourseでSAML認証を設定するためには、全体管理者権限を持ったユーザでAirCourseにログインする必要があります。
管理モードのサイドメニューの「設定>セキュリティ>シングルサインオン」をクリックすると「シングルサインオン」画面が開きます。
SAML認証の設定ボタンをクリックし、SAML認証の設定画⾯を開きます。
SAMLの設定については、この「SAML認証」画面での設定と、IDプロバイダ(IdP)側の設定の2か所で行います。具体的な設定方法については、具体的な設定方法については、以下を参照ください。
IDプロバイダ(IdP)が「Microsoft Entra ID」の場合の設定方法です。方法には2通りあり、各項目に値を入力していく方法(通常の設定方法)と、IdP設定⽤のメタデータを取得してまとめて設定する方法があります。どちらをお使いいただいても結構です。
① IdP設定⽤の値を取得する(AirCourse)
AirCourseの「SAML認証」画面を開き、画⾯下部に表⽰されている[IdPに設定する情報]のうち以下の値をコピーしておきます。
② Microsoft Entra ID テナントにアプリケーションを追加する(Microsoft Entra ID)
こちらを参照して、Microsoft Entra IDテナントにAirCourseを表すアプリケーションを追加してください。
③ アプリケーションにユーザとグループの割り当て(Microsoft Entra ID)
こちらを参考に、作成したアプリケーションにシングルサインオンを⾏うユーザを割り当ててください。
④ アプリケーションのシングルサインオンの設定(Microsoft Entra ID)
こちらを参考に、アプリケーションへのSAML設定を⾏ってください。
[基本的な SAML 構成]の各項⽬について、①の手順でコピーした値を設定してください。
⑤ ユーザ属性とクレームの設定(Microsoft Entra ID)
こちらを参考に、⼀意のユーザ識別⼦ (名前 ID)を設定してください。ここで指定したユーザ識別子を使ってAirCourseとの連携を行います。
⼀意のユーザ識別⼦ (名前 ID)の設定内容は以下のようにしてください。
⑥ SAML署名証明書のダウンロード(Microsoft Entra ID)
こちらを参考に、[SAML 署名証明書] ⾒出しにある証明書 (Base64)のダウンロード リンクをクリックし、証明書 をダウンロードします。
⑦ AirCourseのSAML設定⽤の値を取得する(Microsoft Entra ID)
SAML によるシングル サインオンのセットアップ画⾯の④「AirCourse のセットアップ」に記載されている 以下の値を控えておきます。
⑧ AirCourseのSAML認証設定を⾏う(AirCourse)
AirCourseのSAML認証の設定画⾯を開き、手順⑦で取得した以下の項⽬を設定します。
シングルログアウトを有効にする場合、[シングルログアウトを有効にする]にチェックをしたうえで、以下の項⽬を設定します。
SAML署名証明書の設定は、シングルログアウトの有効・無効に関係なく必要です。手順⑥SAML署名証明書のダウンロードにてダウンロードした証明書をテキストエディタで開き、BIGINとENDを除いた⽂字列を [SAML署名証明書]に⼊⼒してください。
① IdP設定⽤のメタデータを取得する(AirCourse)
AirCourseの「SAML認証」画⾯を開き、 「メタデータのダウンロード」ボタンをクリックし、メタデータをダウンロードします。 さらに、[IdPに設定する情報]の[サインオン URL] の値をコピーしておきます。
④ アプリケーションのシングル サインオンの設定(Microsoft Entra ID)
こちらを参考に、[メタデータ ファイルをアップロードする]から、手順①でダウンロードしたメタデータ ファイルをアップロードし、設定を保存してください。
また、[サインオン URL]の項⽬を、手順①でコピーした[サインオン URL]の内容で設定してください。
⑤ AirCourseのSAML設定⽤のメタデータを取得する(Microsoft Entra ID)
こちらを参考に、[SAML 署名証明書] ⾒出しにあるフェデレーション メタデータ XMLのダウンロードリンクをクリックし、メタデータをダウンロードします。
⑥ AirCourseのSAML認証設定を⾏う(AirCourse)
AirCourseのSAML認証の設定画⾯を開きます。項目「メタデータのアップロード」の下にある「アップロード」ボタンをクリックし、手順⑤で取得したメタデータファイルをアップロードします。これにより、各設定項目に適切な値がセットされます。
シングルログアウトを無効にする場合、[シングルログアウトを有効にする]のチェックを外してください。
すべての設定が完了したうえで、 [SAML認証を有効にする]にチェックをし、[保存]ボタンをクリックすることで SAML認証が利⽤可能になります。
IDプロバイダ(IdP)が「OneLogin」の場合の設定方法です。方法には2通りあり、各項目に値を入力していく方法(通常の設定方法)と、IdP設定⽤のメタデータを取得してまとめて設定する方法があります。どちらをお使いいただいても結構です。
② OneLoginにアプリケーションを追加する
③ アプリケーションへのアクセス権限の設定
④ アプリケーションのシングル サインオンの設定
上記項⽬にないものは、デフォルトの値のままにしてください。
⑤ ⼀意のユーザー識別⼦ (名前 ID)の設定
⑥ AirCourseのSAML設定⽤の値を取得する
⑦ SAML 署名証明書の値を取得する
AirCourseのSAML認証の設定画⾯を開き、以下の項⽬を設定します。
シングルログアウトを有効にする場合、[シングルログアウトを有効にする]にチェックをし、以下の項⽬の設 定が必要です。
SAML署名証明書の設定は、シングルログアウトの有効・無効に関係なく、必要です。SAML 署名証明書の値 を取得するにてコピーした値のBIGINとENDを除いた⽂字列を[SAML署名証明書]に⼊⼒してください。 すべての設定が完了しましたら、[SAML認証を有効にする]にチェックをし、[保存]ボタンを押下することで SAML認証が利⽤可能になります。
AirCourseのSAML認証の設定画⾯を開き、画⾯下部に表⽰されている[IdPに設定する情報]の⾚枠の部分の値 をコピーしておきます。
⑥ AirCourseのSAML設定⽤のメタデータを取得する
AirCourseのSAML認証の設定画⾯を開き、AirCourseのSAML設定⽤のメタデータを取得するにてダウンロー ドしたファイルをアップロードします。 シングルログアウトを無効にする場合、[シングルログアウトを有効にする]のチェックを外してください。 すべての設定が完了しましたら、[SAML認証を有効にする]にチェックをし、[保存]ボタンを押下することで SAML認証が利⽤可能になります。
IDプロバイダ(IdP)が「HENNGE One」の場合の設定方法です。
① IdP設定⽤のメタデータを取得する(HENNGE One)
以下のURLから、HENNGE Oneのメタデータをダウンロードします。
■URLhttps://ap.ssso.hdems.com/portal/<テナントID>/saml/metadata/rsa2048_sha256.xml※<テナントID>についてHENNGE one をご契約頂いているIDとなります。テナントIDの確認方法については下記リンクをご参照ください。HENNGE oneのテナントIDの確認方法
② AirCourseのSAML認証設定を⾏う(AirCourse)
AirCourseの「SAML認証」画面を開き、「SAML認証を有効にする」にチェックを入れ、「メタデータのアップロード」をクリックします。①でダウンロードしたHENNGE Oneのメタデータをアップロードします。
③ SAML署名証明書のダウンロード(HENNGE One)
下記URLからHENNGE Oneの証明書をダウンロードします。※証明書内に記載された値は、証明書をメモ帳などで開いてご確認ください。■証明書ダウンロードURLhttps://ap.ssso.hdems.com/portal/<テナントID>/saml/certificate/rsa2048_sha256.crt④ AirCourseのSAML認証設定(SAML署名証明書)を⾏う(AirCourse)証明書内に記載された値のうち、BEGINとENDの行を除いた値を入力します。
「保存」をクリックして設定を保存します。⑤ IdP設定⽤のメタデータを取得する(AirCourse)AirCourseの「SAML認証」画⾯を開き、 「メタデータのダウンロード」ボタンをクリックし、メタデータをダウンロードします。さらに、[IdPに設定する情報]の[サインオン URL] の値をコピーしておきます。
⑥ HENNGE Oneにてアプリケーションを追加する
⑦ HENNGE Oneの基本設定をする
「サービスプロバイダー設定」画面より、基本設定を行います。
⑧ アクセスポリシーの設定をする
サービスプロバイダー登録後、アクセスポリシーグループまたはポリシーへの登録を行います。 登録することで、以下の内容が行えます。
⑨ SAML認証設定の確認
SAML連携が無事に設定完了していることを確認します。接続方法は、AirCourse、HENNGE Oneどちらからでもご確認いただけます。それぞれの方法については下記のリンクよりご確認ください。
【アクセス方法の種類とアクセス方法について】AirCourseからのアクセス(Sp-initiated)HENNGE One からのアクセス(Idp-initiated)
SAML認証を有効にするとAirCourseのログイン画⾯によるパスワード認証を使⽤してログインできなくなります。 そのため、SAML認証を設定したユーザはログインしたままの状態にしておき、別のPCや別のブラウザを使⽤し SAML認証を設定したユーザとは別のユーザのアカウントでSAML認証をテストすることを推奨します。
万が⼀、SAML認証がうまくいかない状態かつSAMLが有効でAirCourseにログインできなくなってしまった場合は、 弊社サポートまでご連絡ください。
AirCourseにログインしていない状態のWebブラウザを開き、AirCourseのSAML認証の設定画⾯の[IdPに設定する情報]に記載されている[サインオンURL]にアクセスします。
自動的にIDプロバイダ(IdP)への認証が⾏われ、認証が成功すると AirCourseのマイページ画⾯が表⽰されます。
シングルログアウトが有効な場合、AirCourseにシングルサインオンしている状態でAirCourseからログアウトすると、IDプロバイダ(IdP)のログアウトも同時に⾏われます。
※IdPにてログアウトした場合、AirCourseのログアウトは⾏われません。
SAML認証を有効にした場合、既存のAirCourseの機能について、通常の動作とは異なる箇所や、一部機能が制限される箇所があります。
以下で、SAML認証を有効にした場合に生じる影響を説明します。
初回ログイン時にパスワード変更する機能は使用できなくなります。
ユーザによるパスワード変更はできなくなります。
SAML認証を有効にした場合、通知テンプレートの内容が通常(ログイン認証時)とは変わり、SAML認証時に適した文面になります。置換⽂字###url### がSAML認証時のログインURLとして使用できます。
(通知テンプレートは、ログイン認証用/SAML認証用にそれぞれ保存されています)
パスワードの設定・変更は不可となります。
SAML設定有効時には、デフォルトでログイン情報の通知機能はオフになります。ユーザ作成・編集時にユーザに通知をしたい場合には明示的にチェックをしてください。
ユーザ登録時
ユーザ編集時
オプション設定画⾯
「パスワード設定ルール」は使用できません。
ユーザ一括登録時
ユーザ一括変更時
AirCourseのSAML認証では、SAML認証での利用の他、SAML認証と従来のパスワード認証を併用して利用することができます。
パスワード認証機能を併用する場合、全体管理者がユーザ毎にパスワード認証でのログインを許可する設定をおこなう必要があります。
なお、SAML認証・パスワード認証を併用して利用する場合、SAML認証の設定をおこなっていることが前提となるため、 SAML認証とパスワード認証を併用して利用する場合は、まずSAML認証を完了させてから、以下にて説明するパスワード認証の併用設定を実施ください。
■注意点
AirCouseにログインします。
管理ホームに切り替え、「設定」>「セキュリティ」をクリックします。
「セキュリティ」設定内の「シングルサインオン」をクリックします。
シングルサインオン設定画面に切り替わります。
「設定」をクリックします。
SAML認証の設定が完了している場合、従来の「SAML認証を有効にする」の他に、「特定のユーザのみパスワード認証を使用可能にする」のチェックボックスが表示されます。
「特定のユーザのみパスワード認証を使用可能にする」にチェックを入れます。
「保存」をクリックしてパスワード認証の併用利用の設定が保存されます。
パスワード認証を使用可能にする設定は以上です。
※SAML認証のみ使用時とパスワード認証併用時とで「ログインパスワード基本設定」の表示が変わります。
管理ホーム>設定>セキュリティ>ログイン>ログインパスワード基本設定画面の表示が変わります。
SAML認証のみ使用時のログインパスワード基本設定
次に、パスワード認証でログインできるユーザの設定を行います。
パスワード認証を使用可能にする設定を実施することで、ユーザ毎にパスワード認証でログインをおこなうかの設定ができるようになります。
※設定をおこなうことができるのは「全体管理者」権限のあるアカウントでのみとなります。
【新規登録ユーザのパスワード認証設定】
管理ホームに切り替え、「ユーザ管理」>「ユーザ」をクリックします。
「ユーザ追加」をクリックします。
新たに登録するユーザ情報を記載します。
認証設定>「パスワード認証を有効にする」から認証の有効/無効を切り替えることができます。
※デフォルトはSAML認証が設定されているため、無効(OFF)になっています。
「パスワード認証を有効にする」で認証を有効に切り替えます。
「パスワード認証を有効にする」を有効にすると、パスワード設定画面が表示されます。
ユーザのパスワード情報及びパスワード設定ルールなどを設定することができます。
【既存ユーザへのパスワード認証設定】
パスワード認証利用を許可するユーザを選択します。
「詳細設定」タブをクリックし、ユーザの基本情報から認証設定を行います。
「基本情報」内の「認証設定」にある「パスワード認証を有効にする」を切り替えます。
「パスワード認証を有効にする」を有効(ON)にし、「保存」をクリックし、認証設定を保存します。
パスワード認証設定の切り替え時、パスワード設定
「パスワード認証を有効にする」無効(OFF)の状態
パラメータ認証⽤のURLに企業アカウントID、メールアドレス/ログインID、暗号化したパスワードをパラメータとして送信することにより、ユーザ認証を実施する⽅式です。ユーザ別にURLを発行することにより、ログイン情報を入力せずに認証をすることができます。設定が簡単なため、簡易的にシングルサインオンを実装したい企業に向いています。
AirCourseでパラメータ認証を設定するためには、全体管理者権限を持ったユーザでAirCourseにログインする必要があります。
パラメータ認証の「設定」ボタンをクリックすることで、パラメータ認証の設定画⾯を開きます。
「パラメータ認証を有効にする]をチェックし、「パスワード暗号化パスフレーズ」を入力したうえで、「保存」をクリックします。
「パスワード暗号化パスフレーズ」は、パスワードの暗号化をする際に使用する文字列で、1文字以上100文字以下の半角英数字である必要があります。暗号化の強度を考えますと8文字以上にすることをお勧めします。
パラメータ認証では、認証用のURLに企業アカウントID、メールアドレス/ログインID、暗号化したパスワードを含めて送信することで、認証を行います。
認証用URLの基本部分は、上記の「パラメータ認証画面」の「認証用URL」のところに記載されています。
「https://member.aircourse.com/login/index/sso/」
この基本部分のURLの後に、企業アカウントID、メールアドレス/ログインID、暗号化したパスワードをパラメータとして追加したURLを作成し、そのURLを使ってアクセスすることで、そのユーザがログイン情報を入力せずに、直接認証が可能になります。それぞれの項目の説明は以下の通りです。
ログイン先の企業アカウントIDを記述します。
ログインするユーザのメールアドレスもしくはログインIDを、URLエンコードした上で記述します。例えば、メールアドレスが「example@example.com」の場合は、エンコードすると「example%40example.com」となります。
ログインするユーザのパスワードを、上記手順で設定したパスフレーズで暗号化(AES-256-CBC方式、初期化ベクトル生成方法はOpenSSL準拠)し、BASE64エンコードしたものを記述します。パスワードは別途、暗号化しておく必要があります。
OpenSSLを使用して暗号化する場合の例を以下に記載します。
openssl aes-256-cbc -e -base64 -md md5
※上記コマンド実行後に、パスフレーズが聞かれるので、上記手順で設定したパスフレーズを入力します。
※OpenSSLの使用法はこちらをご覧ください。
実際にログインを行うためには、基本部分のURLに上記の3つのパラメータを追加したURLを作成します。URLの例は以下の通りです。