Cisco Duo を使用したSAML SSOの設定
このガイドでは、Duo Single Sign-OnをSAML Identity Provider (IdP)として、VeloDB CloudをService Provider (SP)として設定し、1つのVeloDB Cloud組織に対してSSOを構成します。
前提条件
開始する前に、以下を確認してください:
- VeloDB Cloud組織でPremiumプランを使用している
- VeloDB CloudでOrganization Adminである
- Duo Single Sign-Onが認証ソースで設定されている
- Duo Admin Panelでアプリケーションの追加と設定ができる
- 企業メールドメインのDNS TXTレコードを作成できる
- 必要なDuo認証およびアクセスポリシーが設定されている
SSOを設定およびテストする間は、アクティブなOrganization Adminセッションを開いたままにしてください。
VeloDB CloudでのSAML設定の開始
-
Organization AdminとしてVeloDB Cloudにサインインします。
-
コンソールの左下隅にあるプロフィールエリアをクリックしてアカウントメニューを開き、Authenticationを選択します。
-
SAML Single Sign-onをオンにします。
-
Add Applicationで、以下の値をコピーします:
- Single Sign-On URL
- Service Provider Entity ID
Duoを設定する間は、このページを開いたままにしてください。
Duoアプリケーションの作成
-
Duo Admin Panelにサインインします。
-
Applications → Protect an Applicationに移動します。
-
SSOラベル付きのGeneric SAML Service Providerを検索し、アプリケーションを追加します。
-
Service Providerセクションで、以下のフィールドを設定します:
Duoフィールド 値 Entity ID VeloDB CloudのService Provider Entity ID Assertion Consumer Service (ACS) URL VeloDB CloudのSingle Sign-On URL Service Provider Login URL 空白のまま Default Relay State 空白のまま -
NameID設定を構成します:
Duoフィールド 値 NameID format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressNameID attribute Email Address -
DuoのメールアトリビュートからSAMLレスポンス内の
emailへのアトリビュートマッピングを追加します。 -
適切なユーザーまたはグループに対してアプリケーションアクセスとDuoポリシーを設定します。
-
アプリケーションを保存します。
詳細については、DuoドキュメントのDuo Single Sign-On for Generic SAML Service Providersを参照してください。
Duoメタデータのインポート
- DuoアプリケーションでMetadataセクションを探します。
- Metadata URLをコピーします。
- VeloDB Cloudに戻り、Configure Identity Providerに進みます。
- DuoのメタデータURLをMetadata URLに貼り付けます。
- Verifyを選択します。
- VeloDB CloudがインポートされたIdP SSO URLと証明書を表示することを確認します。
メタデータURLはHTTPS経由で公開アクセス可能である必要があります。
ドメインの検証とプロビジョニングの設定
- Verify Domainに進みます。
- Add Domainを選択し、
@を含まない企業メールドメインを入力します。 - DNSプロバイダーで、VeloDB Cloudによって表示されたTXT Record NameとRecord Valueを使用してTXTレコードを作成します。
- DNS変更が伝播するまで待機し、ドメインのVerifyを選択します。
- JITプロビジョニングによって作成されるユーザーに割り当てられるDefault Roleを選択します。
- JIT Provisioning Policyを選択します。
- Continueを選択します。
プロビジョニングポリシーの詳細については、JIT provisioningを参照してください。
SSOのテストと有効化
- Test SSO LoginでTest SSO Loginを選択します。
- アプリケーションにアクセス権を持つDuoユーザーで認証します。
- プロンプトが表示されたらDuo認証を完了します。
- VeloDB CloudがSSO Test Successfulを報告することを確認します。
- Enable SSOに進み、Enable SSOを選択してセットアップを完了します。
SSOの強制
SSOを強制する前に、アクティブなOrganization Adminが通常のSAMLサインインを完了する必要があります:
- VeloDB Cloudからサインアウトします。
- Organization Adminのメールアドレスを使用してhttps://www.velodb.cloudで新しいサインインを開始します。
- Duoを通じて認証し、管理者が組織にアクセスできることを確認します。
- Authenticationに戻り、SAML SSO設定を開きます。
- Enable SSOの横にあるConfigureを選択し、Enforce SSOを選択して変更を確認します。
Duo CentralやDuoアプリケーションタイルからサインインを開始しないでください。VeloDB CloudはService Provider開始のサインインのみをサポートしています。
SSOが有効化されているが強制されていない場合、メールサインインページはパスワードまたは検証コードサインインで引き続き利用できます。
ユーザーのDuoアプリケーションアクセスを削除しても、既存のVeloDB Cloud組織メンバーシップは削除されません。メンバーをオフボードする際は、VeloDB CloudのMembersページでメンバーを別途削除してください。