SSO の前提条件と制限事項について

このトピックでは、Anypoint Platform 内で SSO を使用する場合の前提条件と制限事項について説明します。

前提条件

SSO を使用する前に、以下の手順の実行が完了していることを確認してください。

ユーザー名およびメールアドレスをアサーションで送信するように ID プロバイダーを設定する。
ユーザー名およびメールアドレスを予期される属性名にマップするように Anypoint Platform を設定する。この設定を行わないと、403 未承認エラーメッセージが表示されてログインに失敗します。
ID プロバイダーの SAML アサーションを署名済みとして設定し、必要に応じて
- AES128 または AES256 ブロック暗号化アルゴリズム、
- RSA-OAEP (MGF1 でマスク生成、SHA1 でハッシュ) キートランスポートアルゴリズム、および
- SAML 2.0 SSO ページからダウンロードできる Anypoint Platform 署名証明書により暗号化済みとして設定します。
ID プロバイダーは、POST 要求として HTTP 経由で送信される XML ファイルとして SAML アサーションを発行します。

クライアントの動作に関連する以下の考慮事項に注意してください。

統合組織を設定する前に作成されたユーザーアカウントは組織内に残ります。ただし、ユーザーは Anypoint Platform ログインページからしかログインできません。ID プロバイダーのリダイレクトされたログインページからログインすることはできません。
既存の非統合ユーザーは通常どおりに作業を続行できますが、以下の例外があります。
- ユーザーセッションがタイムアウトになった場合、ユーザーは汎用のログインページではなく統合 ID ログインページにリダイレクトされます。組織を識別するリンクおよびブックマークはユーザーを統合ログインページにリダイレクトしますが、非統合ユーザーの場合はリダイレクトに失敗します。
- ユーザー情報のアサーションを処理するように ID プロバイダーを設定している場合、ユーザーは次の URL を使用して Anypoint Platform にログインする必要があります。
  https://anypoint.mulesoft.com/accounts/login/{your_org_domain}

OpenID Connect はシングルログアウトをサポートしていません。
SAML ユーザーが特定のグループに属する場合、Anypoint Platform では自動的に組織の同等の権限が付与されません。
Anypoint Platform ではシングルサインオン用の SAML アサーションが生成されません。 IdP により、自分で設定したサインオン URL が生成されます。
外部 ID 設定は組織レベルでのみ使用できます。ビジネスグループの外部 ID プロバイダーは設定できません。
ID プロバイダーからユーザーを削除する場合、Anypoint Platform 組織からもユーザーを手動で削除する必要があります。
SAML ID プロバイダーを削除し、まったく同じ設定で再作成した場合、新しい ID プロバイダーとみなされます。この設定を使用して Anypoint Platform にログインするユーザーは、新しい ID プロバイダーに関連付けられます。削除された IdP にまだ関連付けられている既存のユーザーアカウントがある場合、別の IdP に関連付けられているため、重複したユーザーが表示されます。