Lychee SAML認証

❏ Lychee SAML認証とは

RedmineとIdP(Identity Provider)が、SAMLを使って認証情報をやり取りできるようにすることで、シングルサインオンを実現するプラグインです。
対応しているIdPは、OneLoginとADSF(Active Directory Federation Services)です。
※その他のIdPについては、設定を行うことで利用できる可能性があります。
※なお、各IdP側の設定部分については不明点がある場合は、お手数ですが各IdPのサポート窓口までご相談ください。

また、「ユーザーが存在しなければ自動作成する」オプションを利用することで、SAML認証時、Redmineにアカウントがない場合にユーザーを自動作成できます。

❏ OneLogin

1. IdP(Identity Provider)の設定

1. Redmine用に登録したアプリケーションのConfiguration画面を表示する
   Administration > Applicationsメニューの[Applications] > Redmine用に登録したアプリケーション > Configuration

2. 以下の通り入力し、[Save]をクリックする

   項目	値
   Audience	SSO画面にある[Issuer URL]のURLの内、「metadata」までの部分。 URLが以下の場合、「https://app.onelogin.com/saml/metadata」を入力する。 　https://app.onelogin.com/saml/metadata/abcdefg-hijklmn
   Recipient	SAML認証画面に表示された「Recipient」のURL。 以下の書式になっている。 　RedmineのURL/auth/one_login/callback
   ACS (Consumer) URL Validator	SAML認証画面に表示された「ACS URL Validator」の正規表現。
   ACS (Consumer) URL	SAML認証画面に表示された「ACS URL」のURL。

2. プラグインの設定

1. SAML認証画面を表示する
   管理メニュー > SAML認証
2. リンク[SAML認証]をクリックする
   SAML認証画面が表示される。
3. 画面右上の[＋ SAML認証]をクリックする
   新しい認証方式

4. 以下の通り入力し、[保存]ボタンをクリックする

   項目	値
   タイプ	One Login
   名称	任意
   Domain	RedmineのURL (※1)
   App ID	SSO画面(※2)にある[Issuer URL]のURLのパスの内、「metadata/」以降の部分。 URLが以下の場合、「abcdefg-hijklmn」を入力する。 https://app.onelogin.com/saml/metadata/abcdefg-hijklmn
   SSO/SLO ID	SSO画面(※3)にある[SLO Endpoint(HTTP)]のURLのパスの内、「slo/」以降の部分。 URLが以下の場合、「1234567890」を入力する。 https://example.onelogin.com/trust/saml2/http-redirect/slo/1234567890
   IdP metadata URL(※4)	「Issuer URL」の値を入力する。
   IdP Cert Algorithm/IdP Cert Fingerprint(※5)	SAMLresponseのFingerprintの値を入力する。

   ※1 例: Redmineログイン画面のURLが「 https://agileware-test.cloudmine.jp/redmine/login 」の場合は、
   RedmineのURLは「 https://agileware-test.cloudmine.jp/redmine 」になります。
   ※2 Administration > Applicationsメニューの[Applications] > Redmine用に登録したアプリケーション > SSO
   ※3 Administration > Applicationsメニューの[Applications] > Redmine用に登録したアプリケーション > SSO > [X.509 Certificate]のリンク[View Details]
   ※4 「IdP Cert Algorithm/IdP Cert Fingerprint」(※5)の値を設定しない場合には必ず設定ください。
   ※5 「IdP metadata URL」(※4)の値を設定しない場合には必ず設定ください。

   

5. OneLoginのConfigurationに設定する情報が表示される
   SAML認証画面に以下の情報が表示される。

   • Recipient
   • ACS URL Validator

   • ACS URL

     

❏ ADFS（Active Directory Federation Services）

1. IdP(Identity Provider)の設定

1. Redmine用に登録したアプリケーションを表示する
   ホーム > Azure Active Directory > アプリの登録 > Redmine用に登録したアプリケーション

2. [ブランド]を表示し、[ホーム ページ URL]に以下の通り入力後、[保存]をクリックする
   以下の書式に従ったURL。

    RedmineのURL/auth/adfs
   

   

3. [認証]を表示し、[Web > リダイレクト URI]に以下の通り入力後、[保存]をクリックする

   項目	値
   Web > リダイレクト URI	以下の書式に従ったURI。 RedmineのURL/auth/adfs/callback
   Web > ログアウト URL	以下の書式に従ったURL。 RedmineのURL/logout

   

4. [証明書とシークレット]を表示し、証明書をアップロードする

2. プラグインの設定

1. SAML認証画面を表示する
   管理メニュー > SAML認証
2. リンク[SAML認証]をクリックする
   SAML認証画面が表示される。
3. 画面右上の[＋ SAML認証]をクリックする
   新しい認証方式

4. 以下の通り入力し、[保存]ボタンをクリックする

   項目	値
   タイプ	ADFS
   名称	任意
   Domain	RedmineのURL (※1)
   App ID	アプリケーション (クライアント) ID
   SSO/SLO ID	ディレクトリ (テナント) ID
   IdP metadata URL(※2)	IdP側で公開されている xmlファイルのURL
   IdP Cert Algorithm/IdP Cert Fingerprint(※3)	SAMLresponseのFingerprintの値

   ※1 例: Redmineログイン画面のURLが「 https://agileware-test.cloudmine.jp/redmine/login 」の場合は、
   RedmineのURLは「 https://agileware-test.cloudmine.jp/redmine 」になります。
   ※2 「IdP Cert Algorithm/IdP Cert Fingerprint」(※3)の値を設定しない場合には必ず設定ください。
   ※3 「IdP metadata URL」(※2)の値を設定しない場合には必ず設定ください。

例. AzureADの場合

※各項目につきましてはIdPによって異なります。詳しくはIdP側の画面をご参照ください。

❏ その他のIdP

1. プラグインの設定

1. SAML認証画面を表示する
   管理メニュー > SAML認証
2. リンク[SAML認証]をクリックする
   SAML認証画面が表示される。
3. 画面右上の[＋ SAML認証]をクリックする
   新しい認証方式
4. 以下の通り入力し、[保存]ボタンをクリックする

※1 例: Redmineログイン画面のURLが「 https://agileware-test.cloudmine.jp/redmine/login 」の場合は、  

RedmineのURLは「 https://agileware-test.cloudmine.jp/redmine 」になります。
※2 「IdP Cert Algorithm/IdP Cert Fingerprint」(※3)の値を設定しない場合には必ず設定ください。
※3 「IdP metadata URL」(※2)の値を設定しない場合には必ず設定ください。

❏ 各ユーザーの認証方式

システム管理者は、管理＞ユーザー＞各ユーザー＞全般タブの「認証方式」でユーザーごとの認証方式を設定できます。

「内部」を選択すると内部管理しているユーザー情報でのログインID/パスワードによる標準の認証方式。
登録したSAML認証を選択するとその設定に従った認証となります。