SSO の前提条件と制限事項について

このトピックでは、Anypoint Platform 内で SSO を使用する場合の前提条件と制限事項について説明します。

前提条件

SSO を使用する前に、以下の手順の実行が完了していることを確認してください。

  • ユーザ名およびメールアドレスをアサーションで送信するように ID プロバイダを設定する。

  • ユーザ名およびメールアドレスを予期される属性名にマップするように Anypoint Platform を設定する。この設定を行わないと、403 未承認エラーメッセージが表示されてログインに失敗します。

  • ID プロバイダの SAML アサーションを署名済みとして設定し、必要に応じて

    • AES128​ または ​AES256​ ブロック暗号化アルゴリズム、

    • RSA-OAEP (MGF1 でマスク生成、SHA1 でハッシュ)​ キートランスポートアルゴリズム、および

    • SAML 2.0​ SSO ページからダウンロードできる ​Anypoint Platform 署名証明書​により暗号化済みとして設定します。

  • ID プロバイダは、POST 要求として HTTP 経由で送信される XML ファイルとして SAML アサーションを発行します。

クライアントに関する考慮事項

クライアントの動作に関連する以下の考慮事項に注意してください。

  • 統合組織を設定する前に作成されたユーザアカウントは組織内に残ります。ただし、ユーザは Anypoint Platform ログインページからしかログインできません。ID プロバイダのリダイレクトされたログインページからログインすることはできません。

  • 既存の非統合ユーザは通常どおりに作業を続行できますが、以下の例外があります。

    • ユーザセッションがタイムアウトになった場合、ユーザは汎用のログインページではなく統合 ID ログインページにリダイレクトされます。組織を識別するリンクおよびブックマークはユーザを統合ログインページにリダイレクトしますが、非統合ユーザの場合はリダイレクトに失敗します。

    • ユーザ情報のアサーションを処理するように ID プロバイダを設定している場合、ユーザは次の URL を使用して Anypoint Platform にログインする必要があります。

      https://anypoint.mulesoft.com/accounts/login/{your_org_domain}

制限事項

  • OpenID Connect はシングルログアウトをサポートしていません。

  • SAML ユーザが特定のグループに属する場合、Anypoint Platform では自動的に組織の同等の権限が付与されません。

  • Anypoint Platform ではシングルサインオン用の SAML アサーションが生成されません。 IdP により、自分で設定したサインオン URL が生成されます。

  • 外部 ID 設定は組織レベルでのみ使用できます。 ビジネスグループの外部 ID プロバイダは設定できません。