技術情報・ダウンロード

 お問い合わせ

株式会社セシオス

〒171-0022
東京都豊島区南池袋2-13-10 南池袋山本ビル 3F
TEL : 03-6265-0448

フォームからのお問い合わせ

Secioss Identity Suite Cloud Edition SP Windows環境への導入

Secioss Identity Suite Cloud Edition SP(以降Identity Suite Cloud)をWindowsサーバにインストールする手順について説明します。Windows環境では、SeciossLinkとのシングルサインオンのみに対応しており、ID同期には対応しておりません。

1. インストール

Identity Suite Cloudの推奨環境は以下になります。

今回のインストール環境としては、Windows Server 2012を想定しています。

1.1 PHPのインストール

http://windows.php.net/download/からPHPの”x86 Non Thread Safe”のファイルをダウンロードして、インストールして下さい。
また、PHPを使用するために、事前”Visual Studio 2012 Visual C++”のx86版をインストールしておいて下さい。

PHPのインストール手順については、ここでは省略します。
PHPのインストール後、php.iniの以下の行のコメントアウトは外して下さい。
extension=php_openssl.dll

1.2 Secioss Identity Suite Cloud Edition SP

secioss-idsuite-cloud-sp-3.1.x.zipを展開して、optフォルダをC:\optとして配置します。

次にC:\optの[プロパティ]->[セキュリティ]から、IUSR、Usersに対してアクセス許可を与えます。

さらに、以下のフォルダにはIUSR、Usersに対してフルコントロールのアクセス許可を与えます。

1.3 IISマネージャの設定

シングルサインオンを行うアプリケーションの仮想ディレクトリの下に、以下のように仮想ディレクトリを作成します。

2. シングルサインオン

2.1 SAML認証の設定

“C:\opt\secioss\share\simplesamlphp\config\config.php”の’baseurlpath’をIISで設定したSAMLのエイリアスに、 ’default-saml20-idp’を”https://slink.secioss.com/<テナントID>”(例: https://slink.secioss.com/test.com)に変更して下さい。

また、”C:\opt\secioss\share\simplesamlphp\metadata\saml20-idp-hosted.php”の以下の値を”https://slink.secioss.com/<テナントID>”に変更して下さい。

‘https://slink.secioss.com‘ => array(

次に、”C:\opt\secioss\share\simplesamlphp\metadata\saml20-sp-hosted.php”の”https://sp.example.com/path”をシングルサインオンを行うアプリケーションのURL(URLはパスまでとして、ファイル名の部分は含めないで下さい。例: https://sp.example.com/aipo)に変更して下さい。

次に、認証サーバの公開鍵”https://slink.secioss.com/public/PublicKey-idp.pem”をダウンロードして、”C:\opt\secioss\share\simplesamlphp\cert”に置いて下さい。

次にSAML認証用の秘密鍵と公開鍵を作成します。
以下はLinux(CentOS 5)上でOpenSSLによる秘密鍵と公開鍵の作成手順です。

秘密鍵を作成します。
# cd /etc/pki/tls/certs # make test.key

秘密鍵からパスワードを削除します。
# openssl rsa -in test.key -out test.key

公開鍵を作成します。
# make test.crt Country Name (2 letter code) [GB]:JP ← 国名
State or Province Name (full name) [Berkshire]:Tokyo ← 都道府県名
Locality Name (eg, city) [Newbury]:Bunkyo ← 市区町村名
Organization Name (eg, company) [My Company Ltd]:TEST, Inc ← 会社名
Organizational Unit Name (eg, section) []: ← 空ENTER
Common Name (eg, your name or your server’s hostname) []:sp.example.com ← ホスト名
Email Address []:admin@example.com ← 管理者メールアドレス

公開鍵は、”C:\opt\secioss\share\simplesamlphp\cert\PublicLey.pem”にコピーして下さい。

秘密鍵は、”C:\opt\secioss\share\simplesamlphp\cert\PrivateKey.pem”にコピーして下さい。

2.2 代理認証の設定

アプリケーションに自動でログインするための設定を行います。

設定ファイルは、”C:\opt\secioss\var\www\conf\sp.ini”として作成して下さい。 以下はAipo用の設定例です。

[url]
login = “https://sp.example.com/aipo/”
back = “https://sp.example.com/aipo/”
fatal = “https://sp.example.com/aipo/”
password = “https://sp.example.com/aipo/”

url login ログインするアプリケーションのURL
back ログイン後に表示する画面のURL
fatal エラーの発生時に表示する画面のURL
password アプリケーションにPOSTするパスワードが存在しない、または間違っている場合に表示する画面のURL
postName username ログイン時にPOSTするユーザ名の変数名
password ログイン時にPOSTするパスワードの変数名

[postData]には、POSTするデータの変数名と値の組み合わせを設定して下さい。

2.3 SeciossLinkの設定

https://slink.secioss.com/tenantadmin/にアクセスして、管理者アカウントでログインします。 画面上部のシングルサインオンをクリックしから、左側メニューの”SAML サービスプロバイダ”をクリックして下さい。 ”新規登録”をクリックして、SPの設定を登録します。

SP登録
3. 動作確認

“<アプリケーションのURL>/sso/autologin.php?sso_app=sp”にアクセスして、シングルサインオンすることを確認して下さい。