開発者が企業環境からシームレスにログインできるようにするための設定ガイドです。
前提条件
Secure Code WarriorがSSOをサポートするには、SAML v2.0準拠のIDプロバイダ(IDP)を使用している必要があります。Secure Code Warriorは以下をサポートします。
- ユーザーのリアルタイムプロビジョニング
- サービスプロバイダ(SP)主導およびアイデンティティプロバイダ(IDP)主導のSSO
プロセス
- アカウントでSSOを有効にするには、サポートに連絡する必要があります。
- Secure Code Warriorとのメタデータ交換
- SSOテストガイドで設定を確認
SSO技術構成
メタデータURL
- 本番環境 (US) -"https://portal-api.securecodewarrior.com/auth/sso/metadata.xml?d=
- プロダクション(EU) -"https://portal-api.eu.securecodewarrior.com/auth/sso/metadata.xml?d=
- テスト -"https://customertest-api.securecodewarrior.com/auth/sso/metadata.xml?d=
を、エンドユーザーが使用するメールアドレスのドメインに置き換える。例えば、user@samplecompany.com の場合、これは "samplecompany.com "となる。
アサーション・コンシューマー・サービス(ACS)URL
- プロダクション(US) https://portal-api.securecodewarrior.com/auth/sso/saml?d=<company_domain>
- プロダクション(EU) - https://portal-api.eu.securecodewarrior.com/auth/sso/saml?d=<company_domain>
- テスト - https://customertest-api.securecodewarrior.com/auth/sso/saml?d=<company_domain>
は、エンドユーザーが使用するメールアドレスのドメインに置き換えてください。例えば、user@samplecompany.com の場合、"samplecompany.com "となります。
エンティティID
- プロダクション (US) - https://portal-api.securecodewarrior.com
- プロダクション(EU) -https://portal-api.eu.securecodewarrior.com
- テスト -https://customertest-api.securecodewarrior.com
ログインURL
視聴者制限
- 制作(米国) - https://portal-api.securecodewarrior.com
- プロダクション(EU) -https://portal-api.eu.securecodewarrior.com
NameID形式:
- メールアドレス
X.509証明書
SSO通信を暗号化するには、上記のメタデータを使用してX.509公開証明書を生成して使用してください。
リレーステート
SAML RelayState パラメータによって、特定の画面へのリダイレクトがサポートされる。これは通常、IDP が開始する SSO で使用され、ユーザを着地させるターゲット画面を定義する。ユーザが画面に移動すると、通常のプラットフォーム・アクセス・チェックとルールが適用され、ユーザが要求されたリソースにアクセスできるかどうかが決定される。
サポートされるSSO認証モード
Secure Code Warriorは、お客様の要件に応じて、 認証専用 モードと厳格 モードをサポートしています。
- 認証のみモード
Secure Code Warrior Platform内でユーザーの役割やチームなどを管理したい組織にお勧めです。認証は組織のディレクトリサービスによって管理されます。 - 厳格モード
Secure Code Warriorのチームやロールなど、すべてを独自のディレクトリサービスで管理したい組織にお勧めします。 Strict Modeの詳細な構成は次のとおりです。
Authentication Only Mode」と「Strict Mode」の違いの詳細については、「Authentication Only Mode vs Strict Mode」を参照してください。
Strict Mode - 認証と承認:ロール、チーム、タグの設定
ロール、チーム、タグは、グループメンバーシップを通じてユーザーに設定することができます。Groups"(大文字と小文字を区別)というカスタム属性で、ユーザが所属するグループを渡します。必要に応じて、カスタム属性とグループ名の接頭辞をカスタマイズできます。
ユーザーの役割の設定(必須 - 会社管理者、チームマネージャー、または開発者)
- Secure Code Warrior は Groups リストを解析し、SCW_ROLE_* に一致する Groups を検索します:
- COMPANY_ADMIN
- チームマネージャー
- デベロッパー
例えば、SCW_ROLE_TEAM_MANAGERはユーザをチームマネージャとして設定します。
注意:複数のロールの動作はサポートされていません。
デフォルトチームの設定(必須)
開発者とチーム・マネージャーには、デフォルトのチームを設定するか、明示的にチームを指定することで、チームを指定する必要がある。
デフォルトチームを設定するには
- SSOのセキュリティ設定の一環として、Secure Code Warriorカスタマーサクセスマネージャーは、特定の状況に応じて必要に応じてデフォルトチームを有効にします。
明示的にチームを設定するには
- Secure Code WarriorはGroupsリストを解析し、SCW_TEAM_*に一致するGroupsを検索します。
例えば、SCW_TEAM_Mobile Teamは、ユーザを "Mobile Team "というチームに配置し、存在しない場合は作成します。最初に見つかったチームが使用されます。
タグの設定 (オプション)
- Secure Code Warrior は Groups リストを解析し、SCW_TAG_* に一致する Groups を検索します。
例えば、SCW_TAG_Java Developerは ユーザに "Java Developer "というタグを付けます。見つかったすべてのタグがユーザに追加されます
SCW_TAG カスタム属性を使用して、特定のユーザ属性をタグにマップすることも可能です。これはユーザに既に存在する固定値、例えば従業員 ID に使用することができます。
デフォルトマッピング機能
この機能は 2 つの方法で利用できます:
- 認証専用モードを使用 する場合、プラットフォームにアカウントを持っていないユーザがプラットフォームにアクセスできるようにすることができます。これらのユーザーには "developer "というデフォルトのロールが割り当てられ、"Default Team "と呼ばれるデフォルトのチームに所属することになります。
- strictモードを使用 すると、IDPで関連するロールとチームグループに割り当てられていないユーザーは、プラットフォームへのアクセスを拒否されます。ただし、SAML レスポンスにロール属性またはチーム属性がない場合は、これらのユーザに「developer」というデフォ ルトのロールと「Default Team」というデフォルトのチームを割り当てることもできる。
デフォルトのロール | 既定のチーム | 動作 |
オン |
オフ | ユーザにはデフォルトのロール「Developer」が割り当てられるが、SAML レスポンスでチーム・ロールを定義する必要がある。 |
オフ | オン | ユーザはデフォルトのチーム「Default Team」に着地するが、SAML 応答でロールを定義する必要がある。 |
オン | オン | SAML レスポンスで両方の属性が定義されていない場合、ユーザはデフォルトのロール'Developer' およびデフォルトのチーム'Default Team' に割り当てられる。 |
例
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">test@example.com</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData NotOnOrAfter="2017-01-01T00:00:00Z" Recipient="https://portal-api.securecodewarrior.com/auth/sso/saml?d=example.com"/>
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2017-01-01T00:00:00Z" NotOnOrAfter="2017-01-01T00:00:00Z">
<AudienceRestriction>
<Audience>https://portal-api.securecodewarrior.com</Audience>
</AudienceRestriction>
</Conditions>
<AuthnStatement AuthnInstant="2017-01-01T00:00:00Z" SessionIndex="bASE64/TeXT==">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
<AttributeStatement>
<Attribute Name="FIRST_NAME" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<AttributeValue>Test_FirstName</AttributeValue>
</Attribute>
<Attribute Name="LAST_NAME" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<AttributeValue>Test_LastName</AttributeValue>
</Attribute>
<Attribute Name="Groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<AttributeValue>SCW_ROLE_TEAM_MANAGER</AttributeValue>
<AttributeValue>SCW_TEAM_Digital Transformation</AttributeValue>
<AttributeValue>SCW_TAG_Java Developer</AttributeValue>
<AttributeValue>SCW_TAG_Region US</AttributeValue>
</Attribute>
</AttributeStatement>
コメント
0件のコメント
サインインしてコメントを残してください。