Google Appsへシングルサインオン

This document (00008384) is provided subject to the disclaimer at the end of this document.

問題点

Novell Identity ServerをSAML2 IdPとして、Google Appsへシングルサインオンを
行うことが可能です。Cool Solutionsの"Integrating Google Apps and Novell
Access Manager using SAML2"(英文)に詳細な記述があります。以下、日本語での
設定方法を記述します。

前提：
Google Apps Premier Edition(Google Apps Premier Sample Edition)環境を構築
Novell Identity Server環境を構築
(本文書でのBaseURLはidscluster.tokyo.novell.com)

設定手順：
- Google Apps側の設定

1. Google AppsのAdministrative control panel > Advanced tools >
Set up single sign-on (SSO) を開きます。

2. Enable Single Sign onにチェックを入れます。

Sign-in page URL: http://idscluster.tokyo.novell.com:8080/nidp/saml2/sso
Sign-out page URL: http://idscluster.tokyo.novell.com:8080/nidp/app/logout
Change password URL: http://idscluster.tokyo.novell.com:8080/nidp/chpswwd
※ Change password URLのアプリケーションは独自に作成する必要があります。

3. Verification certificateで署名付きサーバ証明書をアップロードします。

※ 証明書はNIDP-signing Keystoreに割り当てられている必要があります。
Novell Access ManagerのAdministration Console > Certificates > Certificates
タブにて設定および確認が可能です。Google AppsはIdentity Serverから送付
されたSAML assertionから認証情報を取得する際に、この証明書を使用して
署名の検証を行います。NIDP-signing Keystoreに割り当てられていない証明書を
アップロードした場合、SSOの際ユーザに「ログイン資格情報を確認できない
ため、このアカウントにはアクセスできません。」というメッセージが表示
されます。

4. Google AppsのAdministrative control panel > Users and groupsにて任意の
ユーザを作成します。


- Novell Access Manager側の設定

1. Novell Access ManagerのAdministration Consoleにて、ナビゲーションビュー
よりIdentity Serversをクリックし、表示された画面でShared Settingタブを
クリックします。

2. Attribute Setsにて、Newをクリック、Set Nameに任意の名前を入力し、Nextを
クリックします。(Select set to use as templateは<None>のまま)

3. Newをクリック、Local attributeにて
Ldap Attribute:cn [LDAP Attribute Profile] を選択し、終了をクリック
します。Identity Server設定トップ画面に戻り、Update Allより設定を
反映させます。

※ このAttribute Setsにより、Identity ServerからGoogle Appsに送付する
SAML assertionにLDAP cn属性の値を含めることになります。

4. Administration Consoleにて、ナビゲーションビューよりIdentity Serversを
クリック、Configuration下のEditをクリックします。SAML 2.0タブを
クリックし、Newより、Service Providerを選択します。

5. Nameに任意の名前を入力します。

6. Sourceにて、Metadata URLをMetadata Textに変更します。

7. Textに以下を貼り付け、Nextをクリックします。

※ YOURDOMAIN部分は環境に応じて変更してください。

<EntityDescriptor entityID="google.com" xmlns="urn:oasis:names:tc:SAML:
2.0:metadata"><SPSSODescriptor protocolSupportEnumeration="urn:oasis:
names:tc:SAML:2.0:protocol"><NameIDFormat>urn:oasis:names:tc:SAML:2.0:
nameid-format:emailAddress </NameIDFormat><AssertionConsumerService
index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://www.google.com/a/YOURDOMAIN/acs" /></SPSSODescriptor>
</EntityDescriptor>

8. Signing Certificatesでは特に値は表示されません。ウィザードを進め、
終了をクリックします。

9. 作成されたService Providerをクリックします。Configuration下のAttribute
タブを開き、Attribute setから2で作成したAttribute setを選択します。

10. Available側に表示されている
Ldap Attribute:cn [LDAP Attribute Profile]を矢印ボタンを使用して、
Send with authentication側に移動します。

11. Authentication Responseタブを開き、BindingをArtifactからPostに変更します。

Name Identifier FormatのE-mailにチェックをいれ、Defaultのラジオボタンを
PersistentからE-mailにします。
Valueにて、Ldap Attribute:cn [LDAP Attribute Profile]を選択します。

Disclaimer

この情報は、米国Novell, Inc.およびノベル株式会社の内外から発生したものです。本文書の内容または本文書を使用した結果について、いかなる保証、表明または約束も行っていません。また、本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。

本文書に記載されている会社名、製品名はそれぞれ各社の商品、商標または登録商標です。