Cisco DuoのSAML認証の設定方法

ID連携アプリとしてCisco Duoを追加し、アプリ詳細画面を開いたら、以下の手順でSAML認証の設定を進めてください。

1. SmartHRから証明書ファイルをダウンロード

SmartHRのアプリ詳細画面から、証明書ファイルをダウンロードします。 ［SAML連携情報］の［証明書］欄にある［ダウンロード］を押すと、CRTファイルがダウンロードされます。

2. Cisco DuoにSAML連携情報を登録する

Cisco Duo Adminに管理者アカウントでログインします。 ログインできたら、［Applications］>［Configure Single Sign-On (SSO)］>［SSO Settings］>［External Authentication Sources］を押してSingle Sign-On画面を開きます。 ［Configured External Authentication Sources］>［Add source］>［Add SAML Identity Provider］を押して、SAML認証設定画面が開いたら、以下の通り設定します。

Cisco Duo Adminの項目	入力する内容
Display name	SmartHRなど任意の文字列
Entity ID	アプリ詳細画面の［SAML連携情報］欄に表示されている［エンティティID］
Single Sign-On URL	アプリ詳細画面の［SAML連携情報］欄に表示されている［SSO URL］
Single logout URL	アプリ詳細画面の［SAML連携情報］欄に表示されている［SLO URL］
Certificate	SmartHRからダウンロードしたCRTファイル
Username normalization	JITプロビジョニングしたときのユーザー名をメールアドレスにする場合は［None］を押します。メールアドレスの@以前にする場合は、［Simple］を押します。

入力が完了したら［Save and Enable］を押します。

3. SmartHRのSAML認証設定を更新する

SmartHRのアプリ詳細画面に戻り、［SAML認証設定］欄にある［編集］を押して、SAML認証設定の編集画面を開きます。 下記の表に従ってSAML認証設定の編集画面に情報を入力し、［更新］を押します。

SmartHRの項目	入力する内容
エンティティID	Configure the SAML identity providerのEntity ID
ACS URL	Configure the SAML identity providerのAssertion Consumer Service URL
ログインURL	Entity IDの/saml2/idp/{ランダムな値}/metadata以前の値
デフォルト Relay State	入力不要
NameID フォーマット	unspecified
NameID	メールアドレス

エンティティIDがhttps://your-company.sso.duosecurity.com/saml2/idp/XXXXXXXXXXXXX/metadataの場合、ログインURLにはhttps://your-company.sso.duosecurity.comを入力します。

4. Cisco DuoのSAML認証を有効化する

Cisco Duo Adminに管理者アカウントでログインします。 ログインできたら、［Applications］>［Configure Single Sign-On (SSO)］>［Routing Rules］を押してルーティング設定画面を開きます。

［Use this authentication source］が手順2で設定したDisplay nameになるように変更して、［Save］を押します。

SAMLを使ったJITプロビジョニング

Cisco Duoでは、SAMLによるJITプロビジョニングが可能です。

JITプロビジョニングが実行される際、NameIDとは別に以下の項目がCisco Duoと連携されます。

• 姓
• 名
• メールアドレス