問題
- この記事では、一部のユーザーがSAML Identity Provider(IdP)のみで認証し、他のユーザーはLiferayの認証情報でLoginポートレットで認証することが望ましいと思われるユースケースについて説明します。
環境
- Liferay DXP 7.4
解決策
- この解決策は明示的にすぐに利用できるものではありませんが、回避策は用意されています。
- LiferayをService Provider(SP)として有効にし、Identify Provider(IdP)に接続した後、Service Providerの設定で 「ログインポートレットの表示を許可する」設定が有効になっていることを確認します。 これを行うことで、SAML IdP ログイン要求と一致するものがない場合に、ログインポートレットを表示することができる。
このプロパティの公式説明は以下の通りです:
"ログイン要求に SAML IdP がマッチしない場合に、ログインポートレットを表示できるようにします。 このシナリオのユーザーは、Liferay DXPにローカルでログインします。"
- SAMLで認証しているユーザーをSAMLでのみ認証できるようにしたい場合は(Login PortletによるLiferayのパスワードではなく)、コントロールパネル > Users and OrganizationsからこれらのユーザーのLiferayパスワードを変更し、SAMLでのみ認証したいユーザーのパスワードを修正します。
- 何が起こるかというと、SAML で認証するユーザは、Identity Provider で認証されることになる。 SAML IdP内にエントリーがない残りのユーザーは、フォールバックにリダイレクトされ、Liferayの認証情報で認証されます。
追加情報
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン