サードパーティの XML ベースの ID プロバイダ メタデータ ドキュメントを追加して、ID プロバイダとの信頼を確立します。

1. SAML メタデータ URL または xml コンテンツをテキスト ボックスに入力します。[IdP メタデータの処理] をクリックします。
2. ユーザーの識別方法を選択します。インバウンド SAML アサーションで送信される ID は、Subject または Attribute 要素で送信できます。
   • [NameID 要素]。ユーザー ID は、Subject 要素の NameID 要素から取得されます。
   • [SAML 属性]。ユーザー ID は、特定の Attribute または AttributeStatement 要素から取得されます。
3. [NameID 要素] を選択すると、ID プロバイダでサポートされている NameID の形式は、メタデータから抽出され、表示される [名前 ID の形式] テーブルに追加されます。
   • [名前 ID 値] 列で、表示される NameID の形式にマッピングするために Workspace ONE Access サービスで構成されているユーザー属性を選択します。独自のサードパーティの名前 ID 形式を追加して、Workspace ONE Access サービスのユーザー属性値にマッピングできます。
   • 使用する [SAML 要求の名前 ID ポリシー] 応答 ID の文字列形式を選択します。この形式は、Workspace ONE Access サービスとの信頼を確立するために使用されるサードパーティ ID プロバイダの特定の名前 ID ポリシー形式と一致する必要があります。
   • （クラウドのみ）[SAML 要求のサブジェクトを送信 (可能な場合)] オプションをログイン ヒントまたは MFA などの認証のヒントとして選択します。このオプションを有効にすると、[NameID 形式のマッピングに基づくサブジェクト値を送信] を有効にして、サードパーティ アプリケーションが提供するログイン ヒントを NameID 値にマッピングすることもできます。
     注： [NameID 形式のマッピングに基づくサブジェクト値を送信] が有効になっている場合、Workspace ONE Access サービスは、ユーザー列挙と呼ばれるセキュリティ リスクに対して脆弱になります。このオプションを有効にする場合は注意が必要です。

     [[NameID 形式のマッピングに基づくサブジェクト値を送信] オプションが有効になっている構成の例]

     サードパーティ ID プロバイダの構成

     • アプリケーション「X」は Workspace ONE Access とフェデレートされています。
     • サードパーティの ID プロバイダは、NameID 値を userPrincipleName にマッピングしました。

       この構成では、エンド ユーザーの E メールはサードパーティ ID プロバイダの userPrincipleName にマッピングされません。

     • アプリケーション X のアクセス ポリシーには、ユーザーの認証にサードパーティの ID プロバイダが使用されるというルールがあります。

     エンド ユーザーの認証フロー

     • エンド ユーザーがアプリケーション「X」を選択します。
     • アプリケーション「X」は、メール アドレスを入力するためのログイン ページをエンド ユーザーに表示します。
     • アプリケーション「X」は、ログイン ヒントとして E メールを Workspace ONE Access に送信します。
     • [NameID 形式のマッピングに基づくサブジェクト値を送信] が有効になっているため、Workspace ONE Access は E メールを受け入れ、そのユーザーの UserPrincipleName を見つけます。
     • Workspace ONE Access は、マッピングされた対応する UserPrincipleName を含む SAML 要求をエンド ユーザーの認証を行うサードパーティの ID プロバイダに送信します。
4. [SAML 属性] を選択した場合は、属性の形式と属性名を含めます。SAML 属性にマッピングする Workspace ONE Access サービスのユーザー属性を選択します。

この ID プロバイダ インスタンスに振り分けるユーザーのネットワーク範囲を、その IP アドレスに基づいて選択します。

このサードパーティ ID プロバイダに関連付ける認証方法名を入力します。サードパーティの ID プロバイダに関連付ける複数の認証方法を入力できます。各認証方法に、認証方法を識別できるわかりやすい名前を付けます。アクセス ポリシーで認証方法名を選択して、サードパーティ IDP 認証方法のルールを構成します。

認証方法名を、SAML 応答でサードパーティの ID プロバイダによって送信される SAML 認証コンテキストにマッピングします。ドロップダウン メニューで、一般的に使用される文字列のリストから SAML 認証コンテキスト クラス文字列を選択するか、カスタム文字列を入力します。

ユーザーがサードパーティ ID プロバイダ (IDP) から Workspace ONE にログインすると、2 つのセッションが開きます。1 つはサードパーティ ID プロバイダ、もう 1 つは Workspace ONE の ID マネージャ サービス プロバイダで開きます。これらのセッションの有効期間は個別に管理されます。ユーザーが Workspace ONE からログアウトすると Workspace ONE セッションは閉じますが、サードパーティの IDP セッションは開いたままです。セキュリティ要件に基づき、シングル ログアウトを有効にして、両方のセッションからログアウトする、またはサードパーティの IDP セッションをそのまま維持するようにシングル ログアウトを設定することができます。

構成オプション 1

• サードパーティ ID プロバイダを構成するときに、シングル ログアウトを有効にすることができます。サードパーティ ID プロバイダが SAML ベースのシングル ログアウト プロトコル (SLO) をサポートしている場合、Workspace ONE ポータルからログアウトすると、ユーザーは両方のセッションからログアウトされます。[リダイレクト URL テキスト ボックス] は構成されていません。
• サードパーティの ID プロバイダが SAML ベースのシングル ログアウトをサポートしていない場合は、シングル ログアウトを有効にし、[リダイレクト URL] テキスト ボックスで ID プロバイダのシングル ログアウトのエンドポイント URL を指定します。リダイレクト パラメータを、ユーザーを特定のエンドポイントに送信する URL に追加することもできます。ユーザーは、Workspace ONE ポータルからログアウトして、IDP からもログアウトすると、この URL にリダイレクトされます。

構成オプション 2

• もう 1 つのシングル ログアウト オプションは、Workspace ONE ポータルからユーザーをログアウトし、カスタマイズされたエンドポイント URL にリダイレクトする方法です。シングル ログアウトを有効にし、[リダイレクト URL] テキスト ボックスに URL を指定し、カスタマイズされたエンドポイントのリダイレクト パラメータを指定します。ユーザーが Workspace ONE ポータルからログアウトすると、このページに移動し、カスタマイズされたメッセージを表示できます。サードパーティの IDP セッションは開いたままになることがあります。URL は https://<vidm-access-url>/SAAS/auth/federation/slo のように入力します。

[シングル ログアウトを有効にする] が有効になっていない場合、Workspace ONE Access サービスのデフォルトの構成では、ログアウト時にユーザーは元の Workspace ONE ポータルのログイン ページに戻ります。サードパーティの IDP セッションは開いたままになることがあります。