- CYPOCHI.com
- マニュアル
- 基本システム
- 管理者マニュアル外部認証編
- 外部認証によるSSO
外部認証によるSSO
(2024.04.16 改訂)
職場や学校の Microsoft アカウント や Google アカウントで、CYPOCHI AIR にシングルサインオン(SSO)できます。ご利用までの流れと注意事項をご説明いたします。
対応プラットフォームと使用プロトコル
CYPOCHI AIR は、次の Identity Provider(IdP)に登録されたユーザーアカウントでシングルサインオンできます。
CYPOCHI AIR は、OAuth2 または SAML2 に対応し、Service Provider(SP)として動作します。
| 対応するプラットフォーム Identity Provider (IdP) | Microsoft Azure Active Directory |
| Google Workspace | |
| 使用するプロトコル | OAuth2 / OpenID Connect (OIDC) |
| 対応するプラットフォーム Identity Provider (IdP) | Okta |
| 使用するプロトコル | SAML 2.0 |
用語解説
| 用語 | 説明 |
| シングルサインオン(SSO) | シングルサインオン( single sign-on )とは、一度認証を通れば、その認証情報を使って、許可されているすべてのサービスを使える仕組みのことです。 |
| Identity Provider (IdP) | 認証・認可の情報を提供する役割を担います。 IdP で認証されたユーザーは SP のサービスにアクセス可能となります。 例:AzureAD、Google Workspace、Okta |
| Service Provider(SP) | シングルサインオン対象の Web アプリケーションを指します。 IdP が発行した認証・認可の情報に応じてユーザーにサービスを提供します。 例:CYPOCHI AIR など |
| 認証(Authentication) と 認可(Authorization) | 認証とは、ユーザーの身元を確認することです。 例:航空会社が搭乗を許可すべき人物を特定するために、搭乗者が名乗った通りの人物なのか身元を確認します。 認可とは、認証後に、ユーザーが持つ権限の範囲で利用を許可することです。 例:搭乗者の本人確認後、ビジネスラウンジやVIPラウンジなど利用できる特別なサービスがないかを確認します。 Web アプリケーション CYPOCHI AIR の 権限や役割は詳細な為 、IdP 側で管理することはできません。 予め、CYPOCHI AIR 上で管理者が各ユーザーに対して権限や役割を与えておく必要があります。 CYPOCHI AIR は、IdPで認証されたユーザーについて、CYPOCHI AIR での権限に応じて利用できる機能やデータを提供します。 |
| OAuth2 / OpenID Connect (OIDC) | OAuthは認可を行うためのプロトコルです。現在では2012年に発行されたOAuth2.0が標準化されています。 OAuthは複数のSNSやWebサービスを連携して動作させるための仕組みです。 例えば、TwitterとFacebookを連携し、Twitterでつぶやいた内容をFacebookで自動的に投稿する、といったことを実現できます。 このような動作は、本来であればそれぞれのサービスにログインし、個々に対応しなければなりませんが、OAuthを使うことで一度のログインで可能になります。 つまり、OAuthはWebサービスなどを連携して“権限や許可を与える”ためのプロトコル・仕組みということです。 OpenID Connect は認証を行うプロトコルです。 OpenID はあるサービスで使っている認証用のユーザーIDとパスワードを他のWebサービスでも利用するための仕組みです。 OpenID Connect は OAuth と OpenID でそれぞれ認可と認証を行っていたものを統合したものです。 |
| SAML | SAML (Security Assertion Markup Language) は、IdP と SP である 2 者が認証および承認情報を交換できるようにするデータ形式とプロトコルです。XML形式のデータを使用します。SAMLは2002年に策定され、2005年にバージョン2.0がリリースされました。 主に企業や学校など組織内のアプリケーション間で認証とSSOを実現する際に用いられ、セキュアな方法でユーザーの認証情報をアプリケーション間で共有する役割を果たします。 |
注意事項
ご利用にあたり、次の注意事項があります。
① 外部認証アカウントに対応するCYPOCHIユーザーを事前に登録する必要があります。
外部認証アカウントとCYPOCHI AIR ユーザーの紐づけは、emailアドレスで行います。
外部認証アカウントのemailアドレスと同じemailアドレスを持つ CYPOCHI AIR ユーザーが存在しなければ、ログインできません。
② CYPOCHI AIR は、シングルログアウトには未対応です。
例えば、Microsoft アカウントで CYPOCHI AIR にサインインした後、利用者が Microsoft アカウントからログアウトしても、CYPOCHI AIR からはログアウトされません。
また、反対に CYPOCHI AIR をログアウトしても、Microsoft からはログアウトされません。
CYPOCHI AIR は、IDプロバイダーとユーザー間のセッションを制御せず、アプリケーション内のセッションのみ制御します。
ご利用までの流れ
次の手順で、外部認証機能をご利用できます。
① お客様から当社にメール等でお申し込みください。その際に、外部認証で使用するプラットフォーム名をお伝えください。
② 当社からお客様に申請書を送付いたします。
③ お客様は申請書の記載内容を参照して、認証プラットフォームに CYPOCHI AIR をアプリケーション登録します。
その際に発行される「クライアントID」「クライアントシークレット」などを保存し、申請書にご記入ください。
④ お客様は、③で記入した申請書を、当社にご返送ください。
⑤ 当社は、自社の CYPOCHI AIR 開発環境に組み込み、SSOの試験を行います。
⑥ 当社は、お客様と日程を調整して、お客様の CYPOCHI AIR 環境に反映し、外部認証をご利用可能とします。