サードパーティの XML ベースの ID プロバイダ メタデータ ドキュメントを追加して、ID プロバイダとの信頼を確立します。

1. SAML メタデータ URL または xml コンテンツをテキスト ボックスに入力します。[IdP メタデータの処理] をクリックします。
2. ユーザーの識別方法を選択します。インバウンド SAML アサーションで送信される ID は、サブジェクトまたは属性ステートメントで送信できます。
   • [NameID 要素]。NameID 要素は SAML 属性ステートメントから取得します。
   • [SAML 属性]。
3. SAML 属性を選択すると、ID プロバイダでサポートされている NameID の形式は、メタデータから抽出され、[名前 ID の形式] テーブルに追加されます。
   • [名前 ID 値] 列では、表示される ID 形式にマッピングするサービスのユーザー属性を選択します。独自のサードパーティ名の ID 形式を追加して、サービスのユーザー属性値にマッピングできます。
   • （オプション）NameID ポリシー応答識別子の文字列形式を選択します。

この ID プロバイダ インスタンスに振り分けるユーザーのネットワーク範囲を、その IP アドレスに基づいて選択します。

ユーザーがサードパーティ ID プロバイダ (IDP) から Workspace ONE にログインすると、2 つのセッションが開きます。1 つはサードパーティ ID プロバイダ、もう 1 つは Workspace ONE の ID マネージャ サービス プロバイダで開きます。これらのセッションの有効期間は個別に管理されます。ユーザーが Workspace ONE からログアウトすると Workspace ONE セッションは閉じますが、サードパーティの IDP セッションは開いたままです。セキュリティ要件に基づき、シングル ログアウトを有効にして、両方のセッションからログアウトする、またはサードパーティの IDP セッションをそのまま維持するようにシングル ログアウトを設定することができます。

構成オプション 1

• サードパーティ ID プロバイダを構成するときに、シングル ログアウトを有効にすることができます。サードパーティ ID プロバイダが SAML ベースのシングル ログアウト プロトコル (SLO) をサポートしている場合、Workspace ONE ポータルからログアウトすると、ユーザーは両方のセッションからログアウトされます。[リダイレクト URL テキスト ボックス] は構成されていません。
• サードパーティの IDP が SAML ベースのシングル ログアウトをサポートしていない場合は、シングル ログアウトを有効にし、[リダイレクト URL] テキスト ボックスで IDP のシングル ログアウトのエンドポイント URL を指定します。リダイレクト パラメータを、ユーザーを特定のエンドポイントに送信する URL に追加することもできます。ユーザーは、Workspace ONE ポータルからログアウトして、IDP からもログアウトすると、この URL にリダイレクトされます。

構成オプション 2

• もう 1 つのシングル ログアウト オプションは、Workspace ONE ポータルからユーザーをログアウトし、カスタマイズされたエンドポイント URL にリダイレクトする方法です。シングル ログアウトを有効にし、[リダイレクト URL] テキスト ボックスに URL を指定し、カスタマイズされたエンドポイントのリダイレクト パラメータを指定します。ユーザーが Workspace ONE ポータルからログアウトすると、このページに移動し、カスタマイズされたメッセージを表示できます。サードパーティの IDP セッションは開いたままになることがあります。URL は https://<vidm-access-url>/SAAS/auth/federation/slo のように入力します。

[シングル ログアウトを有効にする] が有効になっていない場合、Workspace ONE Access サービスのデフォルトの構成では、ログアウト時にユーザーは元の Workspace ONE ポータルのログイン ページに戻ります。サードパーティの IDP セッションは開いたままになることがあります。