SAML 認証
UCIDM における SAML 認証について記載します。
UCIDM API は SAML 認証に対応しており、以下の SAML IdP に対して動作を確認できています。
また、UCIDM API を利用しているユーザープロファイル画面においても SAML でのログイン・ログアウトが可能となります。
対応フロー
UCIDM の SAML 認証は以下のフローに対応しています。
- SP 起点のログイン
- IdP 起点のログイン
- SP 起点のログアウト
- IdP 起点のログアウト
バインディング方式
UCIDM の SAML 認証のログインにおいては、以下のバインディング方式に対応しています。
- HTTP POST Binding
UCIDM の SAML 認証のログアウトにおいては、以下のバインディング方式に対応しています。
- HTTP Redirect Binding
NameID フォーマット
UCIDM の SAML 認証は以下の NameID フォーマットに対応しています。
- urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
この urn:oasis:names:tc:SAML:2.0:nameid-format:persistent に、UCIDM API にて定義されている LDAP_USER_UNIQUE_ATTRIBUTE の属性(デフォルト uid)に対応する値を連携させることで、その属性値を持つユーザーでログインされます。
エンドポイント
UCIDM の SAML 認証においては、以下のエンドポイントを提供しています。(SAML 認証有効時)
API から直接レスポンスを受け取ることも可能ですが、ユーザープロファイル画面を介してのアクセスを想定しています。
SAML SP メタデータの取得
以下にアクセスすることで、SAML SP のメタデータが取得できます。
- <プロトコル>://<ユーザープロファイル画面の HOST >:< PORT >/ui/user/api/saml/metadata
アサーションコンシューマサービス
以下のアサーションコンシューマサービスのエンドポイントを提供しています。
- <プロトコル>://<ユーザープロファイル画面の HOST >:< PORT >/ui/user/api/saml/acs
シングルログアウト
以下のシングルログアウト用のエンドポイントを提供しています。
- <プロトコル>://<ユーザープロファイル画面の HOST >:< PORT >/ui/user/api/saml/slo
SAML ログイン開始ポイント
以下にアクセスすることで、SAML SP 起点のログインフローが開始されます。
- <プロトコル>://<ユーザープロファイル画面の HOST >:< PORT >/ui/user/api/saml/login