SAMLベースのフェデレーション認証

SAMLベースのフェデレーション認証がサポートされ、WavePROへログインする際にSSO（Single Sign on）を使ってログインをすることができるようになりました。

この機能により従来のパスワード認証によるアクセスに比べ、管理者側での集権的な管理が可能になり、セキュリティを高めることができます。

今回は Okta を例に説明していますが、Okta, Auth0, Google Workspace などのSAML 2.0 ベースIdP (ID プロバイダ) に対応しています。

SP (サービスプロバイダー) とは、ここではWavePROを指します。

今回はWave PRO のルートユーザーでログインする場合の設定を記載しています。サブユーザーを使用する場合はこちらのドキュメントをご覧ください。

Attribute statements:

Name: https://app.alphaus.cloud/wavepro/SAML/Attributes/IDPID Name format: leave default (Unspecified) Value: user.waveproIdpId

Name: https://app.alphaus.cloud/wavepro/SAML/Attributes/Profiles Name format: leave default (Unspecified) Value: user.waveproProfiles

Name: https://app.alphaus.cloud/wavepro/SAML/Attributes/SessionName Name format: leave default (Unspecified) Value: user.email

Applications > 作成したアプリケーション（今回はWavePROSSOIdp）＞Sign Onタブ

ページ下部のSAML Signing Certificates のActionsタブから View IdP metadata を選択

別画面で開いた情報を.xml の拡張子で保存する

環境設定 > IdP設定 > +IdPを追加をクリック

さきほどダウンロードしたファイルをアップロード

メニューのDirectory > Profile Editorで > User (default) をクリック

Add Attribute から以下のattributeを追加する Display name: waveproIdpId（他の名前でも可） Variable name: waveproIdpId

Display name: waveproProfiles（他の名前でも可） Variable name: waveproProfiles

Directory > People > Add person よりユーザーを追加する

Applications > Wave PROのアプリケーション > Assignments > Assignボタンより先ほど作成したアカウントを追加する

Directory > People > ユーザー選択 > Profile > Edit をクリック

waveproIdpId = Wave PRO の環境設定 > IdP設定で確認できるID

waveproProfiles = [Wave ID]:wave/[RBACで設定しているwave権限],user/[RBACで設定しているuser権限],role/[RBACで設定しているrole権限]

▼Wave IDの確認画面

▼[RBACで設定しているwave権限],[RBACで設定しているuser権限],[RBACで設定しているrole権限]の確認画面

Wave PROの環境設定 > サブユーザーの管理 > サブユーザー管理画面を開くで遷移した先で作成済みのAdmin権限のWAVE、RBAC、USERの内容を記載する

設定は以上です。

メニューのApplications > 作成したWave PROアプリケーション > General > ページ下部のEmbed Link を新規のウィンドウにコピーペーストしWave PROにアクセスできれば正しく設定できています。

Last updated 3 years ago