メインコンテンツまでスキップ

Cisco Duo を使用したSAML SSOの設定

このガイドでは、Duo Single Sign-OnをSAML Identity Provider (IdP)として、VeloDB CloudをService Provider (SP)として設定し、1つのVeloDB Cloud組織に対してSSOを構成します。

前提条件

開始する前に、以下を確認してください:

  • VeloDB Cloud組織でPremiumプランを使用している
  • VeloDB CloudでOrganization Adminである
  • Duo Single Sign-Onが認証ソースで設定されている
  • Duo Admin Panelでアプリケーションの追加と設定ができる
  • 企業メールドメインのDNS TXTレコードを作成できる
  • 必要なDuo認証およびアクセスポリシーが設定されている

SSOを設定およびテストする間は、アクティブなOrganization Adminセッションを開いたままにしてください。

VeloDB CloudでのSAML設定の開始

  1. Organization AdminとしてVeloDB Cloudにサインインします。

  2. コンソールの左下隅にあるプロフィールエリアをクリックしてアカウントメニューを開き、Authenticationを選択します。

  3. SAML Single Sign-onをオンにします。

  4. Add Applicationで、以下の値をコピーします:

    • Single Sign-On URL
    • Service Provider Entity ID

Duoを設定する間は、このページを開いたままにしてください。

Duoアプリケーションの作成

  1. Duo Admin Panelにサインインします。

  2. Applications → Protect an Applicationに移動します。

  3. SSOラベル付きのGeneric SAML Service Providerを検索し、アプリケーションを追加します。

  4. Service Providerセクションで、以下のフィールドを設定します:

    Duoフィールド
    Entity IDVeloDB CloudのService Provider Entity ID
    Assertion Consumer Service (ACS) URLVeloDB CloudのSingle Sign-On URL
    Service Provider Login URL空白のまま
    Default Relay State空白のまま
  5. NameID設定を構成します:

    Duoフィールド
    NameID formaturn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
    NameID attributeEmail Address
  6. DuoのメールアトリビュートからSAMLレスポンス内のemailへのアトリビュートマッピングを追加します。

  7. 適切なユーザーまたはグループに対してアプリケーションアクセスとDuoポリシーを設定します。

  8. アプリケーションを保存します。

詳細については、DuoドキュメントのDuo Single Sign-On for Generic SAML Service Providersを参照してください。

Duoメタデータのインポート

  1. DuoアプリケーションでMetadataセクションを探します。
  2. Metadata URLをコピーします。
  3. VeloDB Cloudに戻り、Configure Identity Providerに進みます。
  4. DuoのメタデータURLをMetadata URLに貼り付けます。
  5. Verifyを選択します。
  6. VeloDB CloudがインポートされたIdP SSO URLと証明書を表示することを確認します。

メタデータURLはHTTPS経由で公開アクセス可能である必要があります。

ドメインの検証とプロビジョニングの設定

  1. Verify Domainに進みます。
  2. Add Domainを選択し、@を含まない企業メールドメインを入力します。
  3. DNSプロバイダーで、VeloDB Cloudによって表示されたTXT Record NameRecord Valueを使用してTXTレコードを作成します。
  4. DNS変更が伝播するまで待機し、ドメインのVerifyを選択します。
  5. JITプロビジョニングによって作成されるユーザーに割り当てられるDefault Roleを選択します。
  6. JIT Provisioning Policyを選択します。
  7. Continueを選択します。

プロビジョニングポリシーの詳細については、JIT provisioningを参照してください。

SSOのテストと有効化

  1. Test SSO LoginTest SSO Loginを選択します。
  2. アプリケーションにアクセス権を持つDuoユーザーで認証します。
  3. プロンプトが表示されたらDuo認証を完了します。
  4. VeloDB CloudがSSO Test Successfulを報告することを確認します。
  5. Enable SSOに進み、Enable SSOを選択してセットアップを完了します。

SSOの強制

SSOを強制する前に、アクティブなOrganization Adminが通常のSAMLサインインを完了する必要があります:

  1. VeloDB Cloudからサインアウトします。
  2. Organization Adminのメールアドレスを使用してhttps://www.velodb.cloudで新しいサインインを開始します。
  3. Duoを通じて認証し、管理者が組織にアクセスできることを確認します。
  4. Authenticationに戻り、SAML SSO設定を開きます。
  5. Enable SSOの横にあるConfigureを選択し、Enforce SSOを選択して変更を確認します。

Duo CentralやDuoアプリケーションタイルからサインインを開始しないでください。VeloDB CloudはService Provider開始のサインインのみをサポートしています。

SSOが有効化されているが強制されていない場合、メールサインインページはパスワードまたは検証コードサインインで引き続き利用できます。

ユーザーのDuoアプリケーションアクセスを削除しても、既存のVeloDB Cloud組織メンバーシップは削除されません。メンバーをオフボードする際は、VeloDB CloudのMembersページでメンバーを別途削除してください。