Lychee SAML認証
❏ Lychee SAML認証とは
RedmineとIdP(Identity Provider)が、SAMLを使って認証情報をやり取りできるようにすることで、シングルサインオンを実現するプラグインです。
対応しているIdPは、OneLoginとADSF(Active Directory Federation Services)です。
※その他のIdPについては、設定を行うことで利用できる可能性があります。
※なお、各IdP側の設定部分については不明点がある場合は、お手数ですが各IdPのサポート窓口までご相談ください。
また、「ユーザーが存在しなければ自動作成する」オプションを利用することで、SAML認証時、Redmineにアカウントがない場合にユーザーを自動作成できます。
❏ OneLogin
1. IdP(Identity Provider)の設定
- Redmine用に登録したアプリケーションのConfiguration画面を表示する
Administration > Applicationsメニューの[Applications] > Redmine用に登録したアプリケーション > Configuration 以下の通り入力し、[Save]をクリックする
項目 値 Audience SSO画面にある[Issuer URL]のURLの内、「metadata」までの部分。
URLが以下の場合、「https://app.onelogin.com/saml/metadata」を入力する。
https://app.onelogin.com/saml/metadata/abcdefg-hijklmnRecipient SAML認証画面に表示された「Recipient」のURL。
以下の書式になっている。
RedmineのURL/auth/one_login/callbackACS (Consumer) URL Validator SAML認証画面に表示された「ACS URL Validator」の正規表現。 ACS (Consumer) URL SAML認証画面に表示された「ACS URL」のURL。
2. プラグインの設定
- SAML認証画面を表示する
管理メニュー > SAML認証 - リンク[SAML認証]をクリックする
SAML認証画面が表示される。 - 画面右上の[+ SAML認証]をクリックする
新しい認証方式 以下の通り入力し、[保存]ボタンをクリックする
項目 値 タイプ One Login 名称 任意 Domain RedmineのURL (※1) App ID SSO画面(※2)にある[Issuer URL]のURLのパスの内、「metadata/」以降の部分。
URLが以下の場合、「abcdefg-hijklmn」を入力する。
https://app.onelogin.com/saml/metadata/abcdefg-hijklmnSSO/SLO ID SSO画面(※3)にある[SLO Endpoint(HTTP)]のURLのパスの内、「slo/」以降の部分。
URLが以下の場合、「1234567890」を入力する。
https://example.onelogin.com/trust/saml2/http-redirect/slo/1234567890IdP metadata URL(※4) 「Issuer URL」の値を入力する。 IdP Cert Algorithm/IdP Cert Fingerprint(※5) SAMLresponseのFingerprintの値を入力する。 ※1 例: Redmineログイン画面のURLが「 https://agileware-test.cloudmine.jp/redmine/login 」の場合は、
RedmineのURLは「 https://agileware-test.cloudmine.jp/redmine 」になります。
※2 Administration > Applicationsメニューの[Applications] > Redmine用に登録したアプリケーション > SSO
※3 Administration > Applicationsメニューの[Applications] > Redmine用に登録したアプリケーション > SSO > [X.509 Certificate]のリンク[View Details]
※4 「IdP Cert Algorithm/IdP Cert Fingerprint」(※5)の値を設定しない場合には必ず設定ください。
※5 「IdP metadata URL」(※4)の値を設定しない場合には必ず設定ください。OneLoginのConfigurationに設定する情報が表示される
SAML認証画面に以下の情報が表示される。- Recipient
- ACS URL Validator
ACS URL
❏ ADFS(Active Directory Federation Services)
1. IdP(Identity Provider)の設定
- Redmine用に登録したアプリケーションを表示する
ホーム > Azure Active Directory > アプリの登録 > Redmine用に登録したアプリケーション [ブランド]を表示し、[ホーム ページ URL]に以下の通り入力後、[保存]をクリックする
以下の書式に従ったURL。RedmineのURL/auth/adfs
[認証]を表示し、[Web > リダイレクト URI]に以下の通り入力後、[保存]をクリックする
項目 値 Web > リダイレクト URI 以下の書式に従ったURI。
RedmineのURL/auth/adfs/callbackWeb > ログアウト URL 以下の書式に従ったURL。
RedmineのURL/logout[証明書とシークレット]を表示し、証明書をアップロードする
2. プラグインの設定
- SAML認証画面を表示する
管理メニュー > SAML認証 - リンク[SAML認証]をクリックする
SAML認証画面が表示される。 - 画面右上の[+ SAML認証]をクリックする
新しい認証方式 以下の通り入力し、[保存]ボタンをクリックする
項目 値 タイプ ADFS 名称 任意 Domain RedmineのURL (※1) App ID アプリケーション (クライアント) ID SSO/SLO ID ディレクトリ (テナント) ID IdP metadata URL(※2) IdP側で公開されている xmlファイルのURL IdP Cert Algorithm/IdP Cert Fingerprint(※3) SAMLresponseのFingerprintの値 ※1 例: Redmineログイン画面のURLが「 https://agileware-test.cloudmine.jp/redmine/login 」の場合は、
RedmineのURLは「 https://agileware-test.cloudmine.jp/redmine 」になります。
※2 「IdP Cert Algorithm/IdP Cert Fingerprint」(※3)の値を設定しない場合には必ず設定ください。
※3 「IdP metadata URL」(※2)の値を設定しない場合には必ず設定ください。
例. AzureADの場合
App ID | Redmine用に登録したアプリケーションの概要画面にある[アプリケーション(クライアント)ID] Azureのホーム > アプリの登録 > Redmine用アプリケーション > 概要 |
SSO/SLO ID | Redmine用に登録したアプリケーションの概要画面にある[ディレクトリ(テナント)ID] Azureのホーム > アプリの登録 > Redmine用アプリケーション > 概要 |
IdP metadata URL | IdP側で公開されている xmlファイルのURL エンタープライズアプリケーション: Home > エンタープライズ アプリケーション > (任意の)アプリケーション > シングル サインオン > SAML 署名証明書の「アプリのフェデレーション メタデータ URL」 |
※各項目につきましてはIdPによって異なります。詳しくはIdP側の画面をご参照ください。
❏ その他のIdP
1. プラグインの設定
- SAML認証画面を表示する
管理メニュー > SAML認証 - リンク[SAML認証]をクリックする
SAML認証画面が表示される。 - 画面右上の[+ SAML認証]をクリックする
新しい認証方式 - 以下の通り入力し、[保存]ボタンをクリックする
項目 | 値 |
---|---|
タイプ | その他 |
名称 | 任意 |
Domain | RedmineのURL (※1) |
IdP metadata URL(※2) | IdP側で公開されている xmlファイルのURL |
Attribute mapping mail | 各IdPから受け取るレスポンスXMLから、Redmine側でのユーザーマッピングに利用するemailが入っている箇所を特定するためのkey |
IdP Cert Algorithm/IdP Cert Fingerprint(※3) | SAMLresponseのFingerprintの値 |
※1 例: Redmineログイン画面のURLが「 https://agileware-test.cloudmine.jp/redmine/login 」の場合は、
RedmineのURLは「 https://agileware-test.cloudmine.jp/redmine 」になります。
※2 「IdP Cert Algorithm/IdP Cert Fingerprint」(※3)の値を設定しない場合には必ず設定ください。
※3 「IdP metadata URL」(※2)の値を設定しない場合には必ず設定ください。
❏ 各ユーザーの認証方式
システム管理者は、管理>ユーザー>各ユーザー>全般タブの「認証方式」でユーザーごとの認証方式を設定できます。
「内部」を選択すると内部管理しているユーザー情報でのログインID/パスワードによる標準の認証方式。
登録したSAML認証を選択するとその設定に従った認証となります。