「シングルサインオン機能」ガイド

シングルサインオン機能について解説します。

シングルサインオン機能の概要

シングルサインオン(SSO:Single Sign On)とは、⼀度のユーザ認証処理によって、複数のシステムを利⽤可能にする仕組みです。シングルサインオン機能を利⽤するとAirCourseとは別のシステムでユーザ認証をすることで、 AirCourseのサービスが利⽤可能になります。

AirCourseでは、SAML認証によるシングルサインオンと、パラメータ認証によるシングルサインオンの2種類のシングルサインオンをサポートしています。


SAML認証によるシングルサインオン

SAML規格を使⽤したシングルサインオン⽅式です。企業ですでにご利用されているIDプロバイダ(IdP)で認証を行うことで、AirCourseが利⽤可能になります。

SAML認証によるシングルサインオンのメリット

SAML認証によるシングルサインオンを導入するメリットは大きく3つあります。


1. ユーザの利便性向上

社内で複数のクラウドサービスを導入している場合であっても、1回の認証操作でそれぞれのサービスにログインすることができます。そのため、複数のログインID/パスワードを管理したり、パスワードを失念して再発行したりといった手間を削減します。


2. セキュリティの強化

1人のユーザが複数のサービスでそれぞれ異なるログインID/パスワードを持っている場合には、「パスワードの使い回し」や「推測されやすい簡易的なパスワードを設定」などセキュリティ面に課題のある状況に陥りやすいです。

シングルサインオンを導入することで、安全性の高い強度なパスワードを1つだけ設定して管理できるようになるため、企業としてのセキュリティ強化につながります。


3. システム管理者の工数削減

SAML認証に対応しているクラウドサービスであれば、ユーザを一括管理することが可能になります。そのため、サービスごとにログイン情報やパスワードを管理する必要がなくなり、システム管理者の工数を削減できます。

SAML認証を使⽤する上での前提条件

AirCourseにログインするユーザは、あらかじめ企業でご利用中のIDプロバイダ(IdP)に登録されている必要があります。また、AirCourse上でユーザを作成しておく必要があります。

以降の説明では、既にユーザがIDプロバイダ(IdP)に登録されており、AirCourseでも当該ユーザが作成済みであるものとします。

SAML認証を使⽤する上での注意事項

SAML認証を設定すると、通常のAirCourseのログイン認証は無効になり、SAML認証に一本化されます。

SAML認証を設定する管理ユーザ は、SAML認証で問題なくログインができることを確認できるまでログアウトせず、SAML認証の動作確認は 管理ユーザとは別のユーザで確認することを推奨します。

動作確認済みのIDプロバイダ(IdP)

AirCourseはSAML2.0に対応しており、SAML2.0に対応したIDプロバイダ(IdP)とシングルサインオン可能です。

現状、当社で動作確認済みのIDプロバイダ(IdP)は以下の通りです。

  • Azure Active Directory
  • OneLogin
  • Okta

※上記のリストにないIDプロバイダ(IdP)をお使いの場合には、サポート対応できない場合がございますので、あらかじめご相談ください。

SAML認証の設定方法

AirCourseでSAML認証を設定するためには、全体管理者権限を持ったユーザでAirCourseにログインする必要があります。

管理モードのサイドメニューの「設定>セキュリティ>シングルサインオン」をクリックすると「シングルサインオン」画面が開きます。



SAML認証の設定ボタンをクリックすることで、SAML認証の設定画⾯を開きます。


SAMLの設定については、この「SAML認証」画面での設定と、IDプロバイダ(IdP)側の設定の2か所で行います。具体的な設定方法については、「Azure Active Directory」の場合を例にご紹介します。

Azure Active Directoryでの設定⽅法

IDプロバイダ(IdP)が「Azure Active Directory」の場合の設定方法です。方法には2通りあり、各項目に値を入力していく方法(通常の設定方法)と、IdP設定⽤のメタデータを取得してまとめて設定する方法があります。どちらをお使いいただいても結構です。

A) Azure Active Directoryでの通常の設定方法

① IdP設定⽤の値を取得する(AirCourse)

AirCourseの「SAML認証」画面を開き、画⾯下部に表⽰されている[IdPに設定する情報]のうち以下の値をコピーしておきます。

  • 識別⼦(エンティティID)
  • 応答URL (Assertion Consumer Service URL)
  • サインオン URL


② Azure Active Directory テナントにアプリケーションを追加する(Azure Active Directory)

こちらを参照して、Azure Active DirectoryテナントにAirCourseを表すアプリケーションを追加してください。

  • ギャラリーからアプリケーションを選択するのではなく、[独⾃のアプリケーションの作成] のリンクを 選択して、 [アプリケーションでどのような操作を⾏いたいですか?] で [ギャラリーに⾒つからないそ の他のアプリケーションを統合します] を選択します。
  • アプリの名前は任意の名前で構いませんが、本マニュアルではAirCourseと設定したとして以下の⼿順を説明します。

③ アプリケーションにユーザとグループの割り当て(Azure Active Directory)

こちらを参考に、作成したアプリケーションにシングルサインオンを⾏うユーザを割り当ててください。


④ アプリケーションのシングルサインオンの設定(Azure Active Directory)

こちらを参考に、アプリケーションへのSAML設定を⾏ってください。

[基本的な SAML 構成]の各項⽬について、①の手順でコピーした値を設定してください。

AirCourseの設定項目名 Azure Active Directoryの設定項目名
識別子(エンティティID 識別子(エンティティID
応答URL(Assertion Consumer Service URL) 応答URL(Assertion Consumer Service URL)
サインオンURL サインオンURL


⑤ ユーザ属性とクレームの設定(Azure Active Directory)

こちらを参考に、⼀意のユーザ識別⼦ (名前 ID)を設定してください。ここで指定したユーザ識別子を使ってAirCourseとの連携を行います。

⼀意のユーザ識別⼦ (名前 ID)の設定内容は以下のようにしてください。

項目 設定
名前識別子の形式 指定なし(Unspecified
ソース属性 AirCourseユーザのメールアドレス/ログインIDと一致する属性


⑥ SAML署名証明書のダウンロード(Azure Active Directory)

こちらを参考に、[SAML 署名証明書] ⾒出しにある証明書 (Base64)のダウンロード リンクをクリックし、証明書 をダウンロードします。


⑦ AirCourseのSAML設定⽤の値を取得する(Azure Active Directory)

SAML によるシングル サインオンのセットアップ画⾯の④「AirCourse のセットアップ」に記載されている 以下の値を控えておきます。

  • ログイン URL
  • Azure AD 識別⼦
  • ログアウト URL (シングルログアウト機能を使う場合のみ必要になります)

⑧ AirCourseのSAML認証設定を⾏う(AirCourse)

AirCourseのSAML認証の設定画⾯を開き、手順⑦で取得した以下の項⽬を設定します。

AirCourseの設定項目名 Azure Active Directoryの設定項目名 設定する内容
Idpの識別子 Azure AD 識別子 ①の手順でコピーした値
ログインURL ログインURL ①の手順でコピーした値
シングルサインオン用バインディング HTTP Redirect」を選択してください



シングルログアウトを有効にする場合、[シングルログアウトを有効にする]にチェックをしたうえで、以下の項⽬を設定します。

AirCourseの設定項目名 Azure Active Directoryの設定項目名 設定する内容
ログアウトURL ログアウトURL ①の手順でコピーした値
シングルサインアウト用バインディング HTTP Redirect」を選択してください



SAML署名証明書の設定は、シングルログアウトの有効・無効に関係なく必要です。手順⑥SAML署名証明書のダウンロードにてダウンロードした証明書をテキストエディタで開き、BIGINとENDを除いた⽂字列を [SAML署名証明書]に⼊⼒してください。



すべての設定が完了したうえで、[SAML認証を有効にする]にチェックをし、[保存]ボタンをクリックすることで SAML認証が利⽤可能になります。

B) Azure Active Directoryでのメタデータを使⽤した設定⽅法


① IdP設定⽤のメタデータを取得する(AirCourse)

AirCourseの「SAML認証」画⾯を開き、 「メタデータのダウンロード」ボタンをクリックし、メタデータをダウンロードします。 さらに、[IdPに設定する情報]の[サインオン URL] の値をコピーしておきます。


② Azure Active Directory テナントにアプリケーションを追加する(Azure Active Directory)

こちらを参照して、Azure Active DirectoryテナントにAirCourseを表すアプリケーションを追加してください。

  • ギャラリーからアプリケーションを選択するのではなく、[独⾃のアプリケーションの作成] のリンクを 選択して、 [アプリケーションでどのような操作を⾏いたいですか?] で [ギャラリーに⾒つからないそ の他のアプリケーションを統合します] を選択します。
  • アプリの名前は任意の名前で構いませんが、本マニュアルではAirCourseと設定したとして以下の⼿順を説明します。

③ アプリケーションにユーザとグループの割り当て(Azure Active Directory)

こちらを参考に、作成したアプリケーションにシングルサインオンを⾏うユーザを割り当ててください。


④ アプリケーションのシングル サインオンの設定(Azure Active Directory)

こちらを参考に、[メタデータ ファイルをアップロードする]から、手順①でダウンロードしたメタデータ ファイルをアップロードし、設定を保存してください。

また、[サインオン URL]の項⽬を、手順①でコピーした[サインオン URL]の内容で設定してください。


⑤ AirCourseのSAML設定⽤のメタデータを取得する(Azure Active Directory)

こちらを参考に、[SAML 署名証明書] ⾒出しにあるフェデレーション メタデータ XMLのダウンロードリンクをクリックし、メタデータをダウンロードします。


⑥ AirCourseのSAML認証設定を⾏う(AirCourse)

AirCourseのSAML認証の設定画⾯を開きます。項目「メタデータのアップロード」の下にある「アップロード」ボタンをクリックし、手順⑤で取得したメタデータファイルをアップロードします。これにより、各設定項目に適切な値がセットされます。

シングルログアウトを無効にする場合、[シングルログアウトを有効にする]のチェックを外してください。

すべての設定が完了したうえで、 [SAML認証を有効にする]にチェックをし、[保存]ボタンをクリックすることで SAML認証が利⽤可能になります。


OneLoginでの設定⽅法

IDプロバイダ(IdP)が「OneLogin」の場合の設定方法です。方法には2通りあり、各項目に値を入力していく方法(通常の設定方法)と、IdP設定⽤のメタデータを取得してまとめて設定する方法があります。どちらをお使いいただいても結構です。

A) OneLoginでの通常の設定方法

① IdP設定⽤の値を取得する(AirCourse)

AirCourseの「SAML認証」画面を開き、画⾯下部に表⽰されている[IdPに設定する情報]のうち以下の値をコピーしておきます。

  • 識別⼦(エンティティID)
  • 応答URL (Assertion Consumer Service URL)
  • サインオン URL



OneLoginにアプリケーションを追加する

  1. Administrationの画⾯より、メニューバーの「Applications」の中のApplicationsをクリックします。
  2. 右上の「Add App」ボタンをクリックします。
  3. 「SAML TEST Connector (Advanced)」を検索し、表⽰された「SAML TEST Connector (Advanced)」を選択します。
  4. Display Name」を任意の名前に変更し、右上の「SAVE」ボタンをクリックし保存します。

③ アプリケーションへのアクセス権限の設定

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「Access」をクリックします。
  2. AirCourseを利⽤するユーザがアプリケーションにアクセスできるように権限を設定します。
  3. 右上の「SAVE」ボタンをクリックし設定を保存します。

④ アプリケーションのシングル サインオンの設定

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「Configuration」をクリックします。
  2. 以下の項⽬をIdP設定⽤の値を取得する(AirCourse)にてコピーした内容で設定します。
  3. AirCourseの設定項目名 OneLoginの設定項⽬名
    サインオン URL RelayState
    識別⼦ (エンティティ ID) Audience (EntityID)
    応答 URL (Assertion Consumer Service URL) Recipient
    応答 URL (Assertion ConsumerService URL)の先頭に^
    末尾に$を 追加し、/を\ /に置き換えたもの
    ACS (Consumer) URL Validator
    応答 URL (Assertion Consumer Service URL) ACS (Consumer) URL
    サインオンURL Login URL
    Unspecified SAML nameID format

    上記項⽬にないものは、デフォルトの値のままにしてください。

  4. 右上の「SAVE」ボタンをクリックし設定を保存します。

⑤ ⼀意のユーザー識別⼦ (名前 ID)の設定

  1. 1.アプリケーションの管理画⾯の左側に表⽰されているメニュー「Parameters」をクリックします。
  2. 2.NameID valueにAirCourseのアカウントのメールアドレス/ログインIDと⼀致するものを選択してください。
  3. 右上の「SAVE」ボタンをクリックし設定を保存します。

⑥ AirCourseのSAML設定⽤の値を取得する

  1. 1.アプリケーションの管理画⾯の左側に表⽰されているメニュー「SSO」をクリックします。
  2. 以下の項⽬の値をコピーしておきます。
    • nIssuer URL
    • nSAML 2.0 Endpoint (HTTP)
    • SLO Endpoint (HTTP) (シングルログアウト機能を使う場合のみ必要になります

⑦ SAML 署名証明書の値を取得する

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「SSO」をクリックします。
  2. X.509 Certificate項⽬の「View Details」リンクをクリックします。
  3. X.509 Certificateの内容をコピーします。

⑧ AirCourseのSAML認証設定を⾏う(AirCourse)

AirCourseのSAML認証の設定画⾯を開き、以下の項⽬を設定します。

AirCourseの設定項目名 OneLoginの設定項⽬名 設定する内容
IdPの識別名 Issuer URL AirCourseSAML設定⽤の値を取得するにて
コピーした値
ログインURL SAML 2.0 Endpoint (HTTP) AirCourseSAML設定⽤の値を取得するにて
コピーした値
シングルサインオン⽤バインディング HTTP Redirect」を選択してください

シングルログアウトを有効にする場合、[シングルログアウトを有効にする]にチェックをし、以下の項⽬の設 定が必要です。


AirCourseの設定項目名 OneLoginの設定項⽬名 設定する内容
ログアウトURL ログアウトURL AirCourseSAML設定⽤の値を取得するにて
コピーした内容
シングルログアウト⽤バインディング HTTP Redirect」を選択してください

SAML署名証明書の設定は、シングルログアウトの有効・無効に関係なく、必要です。SAML 署名証明書の値 を取得するにてコピーした値のBIGINとENDを除いた⽂字列を[SAML署名証明書]に⼊⼒してください。 すべての設定が完了しましたら、[SAML認証を有効にする]にチェックをし、[保存]ボタンを押下することで SAML認証が利⽤可能になります。




B) OneLoginでのメタデータを使用した設定方法

① IdP設定⽤の値を取得する(AirCourse)

AirCourseのSAML認証の設定画⾯を開き、画⾯下部に表⽰されている[IdPに設定する情報]の⾚枠の部分の値 をコピーしておきます。

  • 識別⼦(エンティティID)
  • 応答 URL (Assertion Consumer Service URL)
  • サインオンURL


② OneLoginにアプリケーションを追加する

  1. . Administrationの画⾯より、メニューバーの「Applications」の中のApplicationsをクリックします。
  2. 右上の「Add App」ボタンをクリックします。
  3. 「SAML TEST Connector (Advanced)」を検索し、表⽰された「SAML TEST Connector (Advanced)」を選択します。
  4. Display Name」を任意の名前に変更し、右上の「SAVE」ボタンをクリックし保存します。

③ アプリケーションへのアクセス権限の設定

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「Access」をクリックします。
  2. AirCourseを利⽤するユーザがアプリケーションにアクセスできるように権限を設定します。
④ アプリケーションのシングル サインオンの設定

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「Configuration」をクリックします。
  2. 以下の項⽬をIdP設定⽤の値を取得する(AirCourse)にてコピーした内容で設定します。
  3. AirCourseの設定項目名 OneLoginの設定項⽬名
    サインオン URL RelayState
    識別⼦ (エンティティ ID) Audience (EntityID)
    応答 URL (Assertion Consumer Service URL) Recipient
    応答 URL (Assertion ConsumerService URL)の先頭に^
    末尾に$を 追加し、/を\ /に置き換えたもの
    ACS (Consumer) URL Validator
    応答 URL (Assertion Consumer Service URL) ACS (Consumer) URL
    サインオンURL Login URL
    Unspecified SAML nameID format

    上記項⽬にないものは、デフォルトの値のままにしてください。

  4. 右上の「SAVE」ボタンをクリックし設定を保存します。

⑤ ⼀意のユーザー識別⼦ (名前 ID)の設定

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「Parameters」をクリックします。
  2. NameID valueにAirCourseのアカウントのメールアドレス/ログインIDと⼀致するものを選択してください。
  3. 右上の「SAVE」ボタンをクリックし設定を保存します。

⑥ AirCourseのSAML設定⽤のメタデータを取得する

  1. アプリケーションの管理画⾯の右上に表⽰されている「More Actions」をクリックします。
  2. 表⽰されるメニューの「SAML Metadata」をクリックし、メタデータをダウンロードします。
⑦ AirCourseのSAML認証設定を⾏う(AirCourse)

AirCourseのSAML認証の設定画⾯を開き、AirCourseのSAML設定⽤のメタデータを取得するにてダウンロー ドしたファイルをアップロードします。 シングルログアウトを無効にする場合、[シングルログアウトを有効にする]のチェックを外してください。 すべての設定が完了しましたら、[SAML認証を有効にする]にチェックをし、[保存]ボタンを押下することで SAML認証が利⽤可能になります。



SAML認証の動作確認方法

SAML認証を有効にするとAirCourseのログイン画⾯によるパスワード認証を使⽤してログインできなくなります。 そのため、SAML認証を設定したユーザはログインしたままの状態にしておき、別のPCや別のブラウザを使⽤し SAML認証を設定したユーザとは別のユーザのアカウントでSAML認証をテストすることを推奨します。

万が⼀、SAML認証がうまくいかない状態かつSAMLが有効でAirCourseにログインできなくなってしまった場合は、 弊社サポートまでご連絡ください。

シングルサインオンの確認

AirCourseにログインしていない状態のWebブラウザを開き、AirCourseのSAML認証の設定画⾯の[IdPに設定する情報]に記載されている[サインオンURL]にアクセスします。

自動的にIDプロバイダ(IdP)への認証が⾏われ、認証が成功すると AirCourseのマイページ画⾯が表⽰されます。


シングルログアウトの確認

シングルログアウトが有効な場合、AirCourseにシングルサインオンしている状態でAirCourseからログアウトすると、IDプロバイダ(IdP)のログアウトも同時に⾏われます。

IdPにてログアウトした場合、AirCourseのログアウトは⾏われません

SAML認証有効時の既存機能の影響等

SAML認証を有効にした場合、既存のAirCourseの機能について、通常の動作とは異なる箇所や、一部機能が制限される箇所があります。

以下で、SAML認証を有効にした場合に生じる影響を説明します。

ログイン

  • パスワード認証でのログインは不可となり、SAML認証でのみログインできる形になります。
  • ソーシャルログイン(Facebook、Twitter、Googleアカウントによるログイン)は不可となります。

ログイン設定

  • 初回ログイン時のパスワード設定ルール

初回ログイン時にパスワード変更する機能は使用できなくなります。

  • パスワードの変更

ユーザによるパスワード変更はできなくなります。

  • 通知テンプレートのカスタマイズ(ユーザ作成時、変更時の通知)

SAML認証を有効にした場合、通知テンプレートの内容が通常(ログイン認証時)とは変わり、SAML認証時に適した文面になります。置換⽂字###url### がSAML認証時のログインURLとして使用できます。

(通知テンプレートは、ログイン認証用/SAML認証用にそれぞれ保存されています)



ユーザ作成・編集画⾯

  • パスワード設定

パスワードの設定・変更は不可となります。

  • ログイン情報の通知設定

SAML設定有効時には、デフォルトでログイン情報の通知機能はオフになります。ユーザ作成・編集時にユーザに通知をしたい場合には明示的にチェックをしてください。

  • 通知のカスタマイズ

SAML認証を有効にした場合、通知テンプレートの内容が通常(ログイン認証時)とは変わり、SAML認証時に適した文面になります。置換⽂字###url### がSAML認証時のログインURLとして使用できます。

ユーザ登録時


ユーザ編集時

ユーザ⼀括処理

オプション設定画⾯

  • パスワード設定

「パスワード設定ルール」は使用できません。

  • ログイン情報の通知設定

SAML設定有効時には、デフォルトでログイン情報の通知機能はオフになります。ユーザ作成・編集時にユーザに通知をしたい場合には明示的にチェックをしてください。

  • 通知のカスタマイズ

SAML認証を有効にした場合、通知テンプレートの内容が通常(ログイン認証時)とは変わり、SAML認証時に適した文面になります。置換⽂字###url### がSAML認証時のログインURLとして使用できます。


Azure Active Directoryでの設定⽅法

IDプロバイダ(IdP)が「Azure Active Directory」の場合の設定方法です。方法には2通りあり、各項目に値を入力していく方法(通常の設定方法)と、IdP設定⽤のメタデータを取得してまとめて設定する方法があります。どちらをお使いいただいても結構です。

A) Azure Active Directoryでの通常の設定方法

① IdP設定⽤の値を取得する(AirCourse)

AirCourseの「SAML認証」画面を開き、画⾯下部に表⽰されている[IdPに設定する情報]のうち以下の値をコピーしておきます。

  • 識別⼦(エンティティID)
  • 応答URL (Assertion Consumer Service URL)
  • サインオン URL


② Azure Active Directory テナントにアプリケーションを追加する(Azure Active Directory)

こちらを参照して、Azure Active DirectoryテナントにAirCourseを表すアプリケーションを追加してください。

  • ギャラリーからアプリケーションを選択するのではなく、[独⾃のアプリケーションの作成] のリンクを 選択して、 [アプリケーションでどのような操作を⾏いたいですか?] で [ギャラリーに⾒つからないそ の他のアプリケーションを統合します] を選択します。
  • アプリの名前は任意の名前で構いませんが、本マニュアルではAirCourseと設定したとして以下の⼿順を説明します。

③ アプリケーションにユーザとグループの割り当て(Azure Active Directory)

こちらを参考に、作成したアプリケーションにシングルサインオンを⾏うユーザを割り当ててください。


④ アプリケーションのシングルサインオンの設定(Azure Active Directory)

こちらを参考に、アプリケーションへのSAML設定を⾏ってください。

[基本的な SAML 構成]の各項⽬について、①の手順でコピーした値を設定してください。

AirCourseの設定項目名 Azure Active Directoryの設定項目名
識別子(エンティティID 識別子(エンティティID
応答URL(Assertion Consumer Service URL) 応答URL(Assertion Consumer Service URL)
サインオンURL サインオンURL


⑤ ユーザ属性とクレームの設定(Azure Active Directory)

こちらを参考に、⼀意のユーザ識別⼦ (名前 ID)を設定してください。ここで指定したユーザ識別子を使ってAirCourseとの連携を行います。

⼀意のユーザ識別⼦ (名前 ID)の設定内容は以下のようにしてください。

項目 設定
名前識別子の形式 指定なし(Unspecified
ソース属性 AirCourseユーザのメールアドレス/ログインIDと一致する属性


⑥ SAML署名証明書のダウンロード(Azure Active Directory)

こちらを参考に、[SAML 署名証明書] ⾒出しにある証明書 (Base64)のダウンロード リンクをクリックし、証明書 をダウンロードします。


⑦ AirCourseのSAML設定⽤の値を取得する(Azure Active Directory)

SAML によるシングル サインオンのセットアップ画⾯の④「AirCourse のセットアップ」に記載されている 以下の値を控えておきます。

  • ログイン URL
  • Azure AD 識別⼦
  • ログアウト URL (シングルログアウト機能を使う場合のみ必要になります)

⑧ AirCourseのSAML認証設定を⾏う(AirCourse)

AirCourseのSAML認証の設定画⾯を開き、手順⑦で取得した以下の項⽬を設定します。

AirCourseの設定項目名 Azure Active Directoryの設定項目名 設定する内容
Idpの識別子 Azure AD 識別子 ①の手順でコピーした値
ログインURL ログインURL ①の手順でコピーした値
シングルサインオン用バインディング HTTP Redirect」を選択してください



シングルログアウトを有効にする場合、[シングルログアウトを有効にする]にチェックをしたうえで、以下の項⽬を設定します。

AirCourseの設定項目名 Azure Active Directoryの設定項目名 設定する内容
ログアウトURL ログアウトURL ①の手順でコピーした値
シングルサインアウト用バインディング HTTP Redirect」を選択してください



SAML署名証明書の設定は、シングルログアウトの有効・無効に関係なく必要です。手順⑥SAML署名証明書のダウンロードにてダウンロードした証明書をテキストエディタで開き、BIGINとENDを除いた⽂字列を [SAML署名証明書]に⼊⼒してください。



すべての設定が完了したうえで、[SAML認証を有効にする]にチェックをし、[保存]ボタンをクリックすることで SAML認証が利⽤可能になります。

B) Azure Active Directoryでのメタデータを使⽤した設定⽅法


① IdP設定⽤のメタデータを取得する(AirCourse)

AirCourseの「SAML認証」画⾯を開き、 「メタデータのダウンロード」ボタンをクリックし、メタデータをダウンロードします。 さらに、[IdPに設定する情報]の[サインオン URL] の値をコピーしておきます。


② Azure Active Directory テナントにアプリケーションを追加する(Azure Active Directory)

こちらを参照して、Azure Active DirectoryテナントにAirCourseを表すアプリケーションを追加してください。

  • ギャラリーからアプリケーションを選択するのではなく、[独⾃のアプリケーションの作成] のリンクを 選択して、 [アプリケーションでどのような操作を⾏いたいですか?] で [ギャラリーに⾒つからないそ の他のアプリケーションを統合します] を選択します。
  • アプリの名前は任意の名前で構いませんが、本マニュアルではAirCourseと設定したとして以下の⼿順を説明します。

③ アプリケーションにユーザとグループの割り当て(Azure Active Directory)

こちらを参考に、作成したアプリケーションにシングルサインオンを⾏うユーザを割り当ててください。


④ アプリケーションのシングル サインオンの設定(Azure Active Directory)

こちらを参考に、[メタデータ ファイルをアップロードする]から、手順①でダウンロードしたメタデータ ファイルをアップロードし、設定を保存してください。

また、[サインオン URL]の項⽬を、手順①でコピーした[サインオン URL]の内容で設定してください。


⑤ AirCourseのSAML設定⽤のメタデータを取得する(Azure Active Directory)

こちらを参考に、[SAML 署名証明書] ⾒出しにあるフェデレーション メタデータ XMLのダウンロードリンクをクリックし、メタデータをダウンロードします。


⑥ AirCourseのSAML認証設定を⾏う(AirCourse)

AirCourseのSAML認証の設定画⾯を開きます。項目「メタデータのアップロード」の下にある「アップロード」ボタンをクリックし、手順⑤で取得したメタデータファイルをアップロードします。これにより、各設定項目に適切な値がセットされます。

シングルログアウトを無効にする場合、[シングルログアウトを有効にする]のチェックを外してください。

すべての設定が完了したうえで、 [SAML認証を有効にする]にチェックをし、[保存]ボタンをクリックすることで SAML認証が利⽤可能になります。


OneLoginでの設定⽅法

IDプロバイダ(IdP)が「OneLogin」の場合の設定方法です。方法には2通りあり、各項目に値を入力していく方法(通常の設定方法)と、IdP設定⽤のメタデータを取得してまとめて設定する方法があります。どちらをお使いいただいても結構です。

A) OneLoginでの通常の設定方法

① IdP設定⽤の値を取得する(AirCourse)

AirCourseの「SAML認証」画面を開き、画⾯下部に表⽰されている[IdPに設定する情報]のうち以下の値をコピーしておきます。

  • 識別⼦(エンティティID)
  • 応答URL (Assertion Consumer Service URL)
  • サインオン URL


OneLoginにアプリケーションを追加する

  1. Administrationの画⾯より、メニューバーの「Applications」の中のApplicationsをクリックします。
  2. 右上の「Add App」ボタンをクリックします。
  3. 「SAML TEST Connector (Advanced)」を検索し、表⽰された「SAML TEST Connector (Advanced)」を選択します。
  4. Display Name」を任意の名前に変更し、右上の「SAVE」ボタンをクリックし保存します。

③ アプリケーションへのアクセス権限の設定

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「Access」をクリックします。
  2. AirCourseを利⽤するユーザがアプリケーションにアクセスできるように権限を設定します。
  3. 右上の「SAVE」ボタンをクリックし設定を保存します。

④ アプリケーションのシングル サインオンの設定

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「Configuration」をクリックします。
  2. 以下の項⽬をIdP設定⽤の値を取得する(AirCourse)にてコピーした内容で設定します。
  3. AirCourseの設定項目名 OneLoginの設定項⽬名
    サインオン URL RelayState
    識別⼦ (エンティティ ID) Audience (EntityID)
    応答 URL (Assertion Consumer Service URL) Recipient
    応答 URL (Assertion ConsumerService URL)の先頭に^
    末尾に$を 追加し、/を\ /に置き換えたもの
    ACS (Consumer) URL Validator
    応答 URL (Assertion Consumer Service URL) ACS (Consumer) URL
    サインオンURL Login URL
    Unspecified SAML nameID format

    上記項⽬にないものは、デフォルトの値のままにしてください。

  4. 右上の「SAVE」ボタンをクリックし設定を保存します。

⑤ ⼀意のユーザー識別⼦ (名前 ID)の設定

  1. 1.アプリケーションの管理画⾯の左側に表⽰されているメニュー「Parameters」をクリックします。
  2. 2.NameID valueにAirCourseのアカウントのメールアドレス/ログインIDと⼀致するものを選択してください。
  3. 右上の「SAVE」ボタンをクリックし設定を保存します。

⑥ AirCourseのSAML設定⽤の値を取得する

  1. 1.アプリケーションの管理画⾯の左側に表⽰されているメニュー「SSO」をクリックします。
  2. 以下の項⽬の値をコピーしておきます。
    • nIssuer URL
    • nSAML 2.0 Endpoint (HTTP)
    • SLO Endpoint (HTTP) (シングルログアウト機能を使う場合のみ必要になります

⑦ SAML 署名証明書の値を取得する

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「SSO」をクリックします。
  2. X.509 Certificate項⽬の「View Details」リンクをクリックします。
  3. X.509 Certificateの内容をコピーします。

⑧ AirCourseのSAML認証設定を⾏う(AirCourse)

AirCourseのSAML認証の設定画⾯を開き、以下の項⽬を設定します。

AirCourseの設定項目名 OneLoginの設定項⽬名 設定する内容
IdPの識別名 Issuer URL AirCourseSAML設定⽤の値を取得するにて
コピーした値
ログインURL SAML 2.0 Endpoint (HTTP) AirCourseSAML設定⽤の値を取得するにて
コピーした値
シングルサインオン⽤バインディング HTTP Redirect」を選択してください

シングルログアウトを有効にする場合、[シングルログアウトを有効にする]にチェックをし、以下の項⽬の設 定が必要です。


AirCourseの設定項目名 OneLoginの設定項⽬名 設定する内容
ログアウトURL ログアウトURL AirCourseSAML設定⽤の値を取得するにて
コピーした内容
シングルログアウト⽤バインディング HTTP Redirect」を選択してください

SAML署名証明書の設定は、シングルログアウトの有効・無効に関係なく、必要です。SAML 署名証明書の値 を取得するにてコピーした値のBIGINとENDを除いた⽂字列を[SAML署名証明書]に⼊⼒してください。 すべての設定が完了しましたら、[SAML認証を有効にする]にチェックをし、[保存]ボタンを押下することで SAML認証が利⽤可能になります。




B) OneLoginでのメタデータを使用した設定方法

① IdP設定⽤の値を取得する(AirCourse)

AirCourseのSAML認証の設定画⾯を開き、画⾯下部に表⽰されている[IdPに設定する情報]の⾚枠の部分の値 をコピーしておきます。

  • 識別⼦(エンティティID)
  • 応答 URL (Assertion Consumer Service URL)
  • サインオンURL


② OneLoginにアプリケーションを追加する

  1. . Administrationの画⾯より、メニューバーの「Applications」の中のApplicationsをクリックします。
  2. 右上の「Add App」ボタンをクリックします。
  3. 「SAML TEST Connector (Advanced)」を検索し、表⽰された「SAML TEST Connector (Advanced)」を選択します。
  4. Display Name」を任意の名前に変更し、右上の「SAVE」ボタンをクリックし保存します。

③ アプリケーションへのアクセス権限の設定

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「Access」をクリックします。
  2. AirCourseを利⽤するユーザがアプリケーションにアクセスできるように権限を設定します。
④ アプリケーションのシングル サインオンの設定

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「Configuration」をクリックします。
  2. 以下の項⽬をIdP設定⽤の値を取得する(AirCourse)にてコピーした内容で設定します。
  3. AirCourseの設定項目名 OneLoginの設定項⽬名
    サインオン URL RelayState
    識別⼦ (エンティティ ID) Audience (EntityID)
    応答 URL (Assertion Consumer Service URL) Recipient
    応答 URL (Assertion ConsumerService URL)の先頭に^
    末尾に$を 追加し、/を\ /に置き換えたもの
    ACS (Consumer) URL Validator
    応答 URL (Assertion Consumer Service URL) ACS (Consumer) URL
    サインオンURL Login URL
    Unspecified SAML nameID format

    上記項⽬にないものは、デフォルトの値のままにしてください。

  4. 右上の「SAVE」ボタンをクリックし設定を保存します。

⑤ ⼀意のユーザー識別⼦ (名前 ID)の設定

  1. アプリケーションの管理画⾯の左側に表⽰されているメニュー「Parameters」をクリックします。
  2. NameID valueにAirCourseのアカウントのメールアドレス/ログインIDと⼀致するものを選択してください。
  3. 右上の「SAVE」ボタンをクリックし設定を保存します。

⑥ AirCourseのSAML設定⽤のメタデータを取得する

  1. アプリケーションの管理画⾯の右上に表⽰されている「More Actions」をクリックします。
  2. 表⽰されるメニューの「SAML Metadata」をクリックし、メタデータをダウンロードします。
⑦ AirCourseのSAML認証設定を⾏う(AirCourse)

AirCourseのSAML認証の設定画⾯を開き、AirCourseのSAML設定⽤のメタデータを取得するにてダウンロー ドしたファイルをアップロードします。 シングルログアウトを無効にする場合、[シングルログアウトを有効にする]のチェックを外してください。 すべての設定が完了しましたら、[SAML認証を有効にする]にチェックをし、[保存]ボタンを押下することで SAML認証が利⽤可能になります。

SAML認証の動作確認方法

SAML認証を有効にするとAirCourseのログイン画⾯によるパスワード認証を使⽤してログインできなくなります。 そのため、SAML認証を設定したユーザはログインしたままの状態にしておき、別のPCや別のブラウザを使⽤し SAML認証を設定したユーザとは別のユーザのアカウントでSAML認証をテストすることを推奨します。

万が⼀、SAML認証がうまくいかない状態かつSAMLが有効でAirCourseにログインできなくなってしまった場合は、 弊社サポートまでご連絡ください。

シングルサインオンの確認

AirCourseにログインしていない状態のWebブラウザを開き、AirCourseのSAML認証の設定画⾯の[IdPに設定する情報]に記載されている[サインオンURL]にアクセスします。

自動的にIDプロバイダ(IdP)への認証が⾏われ、認証が成功すると AirCourseのマイページ画⾯が表⽰されます。


シングルログアウトの確認

シングルログアウトが有効な場合、AirCourseにシングルサインオンしている状態でAirCourseからログアウトすると、IDプロバイダ(IdP)のログアウトも同時に⾏われます。

IdPにてログアウトした場合、AirCourseのログアウトは⾏われません

SAML認証有効時の既存機能の影響等

SAML認証を有効にした場合、既存のAirCourseの機能について、通常の動作とは異なる箇所や、一部機能が制限される箇所があります。

以下で、SAML認証を有効にした場合に生じる影響を説明します。

ログイン

  • パスワード認証でのログインは不可となり、SAML認証でのみログインできる形になります。
  • ソーシャルログイン(Facebook、Twitter、Googleアカウントによるログイン)は不可となります。

ログイン設定

  • 初回ログイン時のパスワード設定ルール

初回ログイン時にパスワード変更する機能は使用できなくなります。

  • パスワードの変更

ユーザによるパスワード変更はできなくなります。

  • 通知テンプレートのカスタマイズ(ユーザ作成時、変更時の通知)

SAML認証を有効にした場合、通知テンプレートの内容が通常(ログイン認証時)とは変わり、SAML認証時に適した文面になります。置換⽂字###url### がSAML認証時のログインURLとして使用できます。

(通知テンプレートは、ログイン認証用/SAML認証用にそれぞれ保存されています)



ユーザ作成・編集画⾯

  • パスワード設定

パスワードの設定・変更は不可となります。

  • ログイン情報の通知設定

SAML設定有効時には、デフォルトでログイン情報の通知機能はオフになります。ユーザ作成・編集時にユーザに通知をしたい場合には明示的にチェックをしてください。

  • 通知のカスタマイズ

SAML認証を有効にした場合、通知テンプレートの内容が通常(ログイン認証時)とは変わり、SAML認証時に適した文面になります。置換⽂字###url### がSAML認証時のログインURLとして使用できます。

ユーザ登録時


ユーザ編集時

ユーザ⼀括処理

オプション設定画⾯

  • パスワード設定

「パスワード設定ルール」は使用できません。

  • ログイン情報の通知設定

SAML設定有効時には、デフォルトでログイン情報の通知機能はオフになります。ユーザ作成・編集時にユーザに通知をしたい場合には明示的にチェックをしてください。

  • 通知のカスタマイズ

SAML認証を有効にした場合、通知テンプレートの内容が通常(ログイン認証時)とは変わり、SAML認証時に適した文面になります。置換⽂字###url### がSAML認証時のログインURLとして使用できます。


パラメータ認証(旧フォーム認証)によるシングルサインオン

パラメータ認証⽤のURLに企業アカウントID、メールアドレス/ログインID、暗号化したパスワードをパラメータとして送信することにより、ユーザ認証を実施する⽅式です。ユーザ別にURLを発行することにより、ログイン情報を入力せずに認証をすることができます。設定が簡単なため、簡易的にシングルサインオンを実装したい企業に向いています。

パラメータ認証の設定方法

AirCourseでパラメータ認証を設定するためには、全体管理者権限を持ったユーザでAirCourseにログインする必要があります。

管理モードのサイドメニューの「設定>セキュリティ>シングルサインオン」をクリックすると「シングルサインオン」画面が開きます。



パラメータ認証の「設定」ボタンをクリックすることで、パラメータ認証の設定画⾯を開きます。


「パラメータ認証を有効にする]をチェックし、「パスワード暗号化パスフレーズ」を入力したうえで、「保存」をクリックします。

「パスワード暗号化パスフレーズ」は、パスワードの暗号化をする際に使用する文字列で、1文字以上100文字以下の半角英数字である必要があります。暗号化の強度を考えると8文字以上にすることをお勧めします。

パラメータ認証の使用方法

パラメータ認証では、認証用のURLに企業アカウントID、メールアドレス/ログインID、暗号化したパスワードを含めて送信することで、認証を行います。

認証用URLの基本部分は、上記の「パラメータ認証画面」の「認証用URL」のところに記載されています。

「https://member.aircourse.com/login/index/sso/」

この基本部分のURLの後に、企業アカウントID、メールアドレス/ログインID、暗号化したパスワードをパラメータとして追加したURLを作成し、そのURLを使ってアクセスすることで、そのユーザがログイン情報を入力せずに、直接認証が可能になります。それぞれの項目の説明は以下の通りです。

  • 企業アカウントID(organizationId)

ログイン先の企業アカウントIDを記述します。

  • メールアドレス/ログインID (mail)

ログインするユーザのメールアドレスもしくはログインIDを、URLエンコードした上で記述します。例えば、メールアドレスが「example@example.com」の場合は、エンコードすると「example%40example.com」となります

  • パスワード(password)

ログインするユーザのパスワードを、上記手順で設定したパスフレーズで暗号化(AES-256-CBC方式、初期化ベクトル生成方法はOpenSSL準拠)し、BASE64エンコードしたものを記述します。パスワードは別途、暗号化しておく必要があります。

OpenSSLを使用して暗号化する場合の例を以下に記載します

openssl aes-256-cbc -e -base64 -md md5


※上記コマンド実行後に、パスフレーズが聞かれるので、上記手順で設定したパスフレーズを入力します。

OpenSSLの使用法はこちらをご覧ください。


実際にログインを行うためには、基本部分のURLに上記の3つのパラメータを追加したURLを作成します。URLの例は以下の通りです。

「https://member.aircourse.com/login/index/sso/?organizationId=C000001&mail=example%40example.com&password=U2FsdGVkX18CJBNZ%2fKOxqimdkvMNVu9PmdKmSO5rcio%3d」