Liferay DXPでのSAMLの導入と管理

ユースケース1：Salesforceインテグレーション。SPとしてのSalesforce。

管理者はSalesforceへのSSOリクエストを実行できます。 そのためには、Liferay DXPをIdPとして設定する必要があります（ configuring Liferay DXP with SAML as an IdPを参照）。

1. SAMLアプリを展開した状態で、Liferay DXPを起動する。
2. コントロールパネルに移動 > Configuration > SAML Admin
3. IdP enabledチェックボックスにフラグが立っていることを確認します。
4. 証明書のダウンロード(Certificate and Private Keyセクション)をクリックします。
   
   .pem ファイルを保存します。 このファイルは、Salesforceのmetadata.xmlを生成するためにSalesforceで必要となります。
5. コントロールパネル > ユーザー」に移動します。
6. Salesforceへのサインインに使用したメールアドレスと同じメールアドレスで、新しいユーザーを作成します。 Do not use default test@liferay.com。
   1. ファーストネームセールスフォース
   2. 最後の名前管理者
   3. パスワード：samlidp1
7. この新しいユーザーに完全な管理者の役割を与えます。

次の一連のステップは、Salesforceからメタデータファイルを生成することです。

1. http://developer.force.comに移動します。
2. 同じ有効なEメールアドレスを使ってアカウントを作成してください。 これは、ユーザーアカウントとしても機能します。 Salesforce アカウントのパスワードとして samlidp1 を使用します。
3. サインイン後、 salesforce.comにアクセスし、ログインした後、[Setup]をクリックします。
4. セキュリティコントロール > シングルサインオン設定」をクリックします。
5. Edit をクリックし、SAML Enabled チェックボックスをチェックします。
6. クリック 保存
7. 新規をクリックします。
8. を入力してください。
   • 名前：samlsp
   • 発行者：samlidp
   • エンティティID：https：//saml.salesforce.com
   • IDプロバイダー証明書：samlidp.pemファイルをアップロードします
   • IDプロバイダーのログインURL：http：// localhost：8080 / c / portal / saml / sso
   • IDプロバイダーのログアウトURL：http：// localhost：8080 / c / portal / logout
   • SAML IDタイプ：「アサーションにユーザーのsalesforce.comユーザー名が含まれています」
   • SAML IDの場所：「IDはSubjectステートメントのNameIdentifier要素にあります」
   
9. [保存]ボタンをクリックします。
10. メタデータXMLファイルをダウンロードし、名前を変更 Salesforceの-のmetadata.xml。

次の手順でセットアップを完了します。

1. LiferayのDXPでは、コントロールパネルへ移動 > 構成の >SAML管理。
2. [サービスプロバイダーの接続]タブをクリックします。
3. [サービスプロバイダーの追加]ボタンをクリックします
4. 次のように入力します：
   • 名前：セールスフォース
   • エンティティID：https：//saml.salesforce.com
   • [有効]チェックボックスをオンにします。
   • [メタデータXMLのアップロード]をクリックします
   • アップロード Salesforceの-のmetadata.xmlを
   • [名前識別子の形式]ドロップダウンから 未指定
   • Name Identifier Attribute Name フィールドに {email address used to sign up for Salesforce without the braces of course} と入力します
   • [属性を有効にする]チェックボックスをオンにします
5. [保存]ボタンをクリックします

SalesforceへのSSOを実行する

1. Liferay DXPで、メニュー > LiferayDXPサイトをクリックします
2. ユーザーが上記で作成したユーザー（Salesforce Adminなど）としてサインインしていることを確認します。 そうでない場合は、サインアウトして、正しい資格情報を使用して再度サインインします。
3. ナビゲーションをクリックします
4. パブリックページの横にある3つのドットアイコンをクリックします > パブリックページを追加します
5. 入力 Salesforceの [名前]フィールドに。
6. 選択 URLへのリンク タイプ]ドロップダウンから。
7. URLフィールドに入力します： http：// localhost：8080 / c / portal / saml / sso？entityId = https：//saml.salesforce.com
8. [ページを追加]ボタンをクリックします
9. システムはメインページにリダイレクトします。 Salesforceページをクリックします。 再認証せずにsalesforce.comサイトにリダイレクトする必要があります。

ユースケース＃2：IdPとSPの両方としてのLiferay

次の使用例は、SAML認証用に2つのLiferay DXPバンドルを構成する方法を示しています。1つはサービスプロバイダー（SP）として機能し、もう1つはIDプロバイダー（IdP）として機能します。 さらに、ユーザーは複数のSPを持つことができます。 すべてのSPを個別にIdPに追加する必要があります。 以下の手順に従って、SPをIdPに追加します。

次の手順のIDプロバイダーがサービスプロバイダーと同じマシン上にある場合、Liferay DXPに実装された変更により、SLOが期待どおりに機能するには、IDプロバイダーに個別のドメイン名を介してアクセスできる必要があります。 これは概念実証であるため、次の手順では、IDプロバイダーのこの個別のドメイン名を組み込みます。

Liferay DXPバンドルをSPとして構成する：

1. 管理者としてサインイン
2. -オープンメニューアイコンに移動> コントロールパネル > セキュリティ > SAML管理。
3. [全般]タブ：

• 選択-SAMLロール：サービスプロバイダー
• 入力-エンティティID：samlsp

• 一般名：Joe Bloggs
• 組織：Liferay
• 組織単位：Liferay Inc
• 産地：ダイアモンドバー
• 州：CA
• 国：米国
• 有効期間（日）：356
• 主要なアルゴリズム：RSA
• キーの長さ（ビット）：2048
• キーパスワード：liferaysp

Liferay DPXバンドルをIdPとして構成します。

1. 管理者としてサインイン
2. liferaytest.com仮想ホストを使用するようにバンドルを構成し、このドメインを実行可能にするためにローカル環境のhostsファイルを構成します。
3. -オープンメニューアイコンに移動> コントロールパネル > セキュリティ > SAML管理。
4. [全般]タブ：

• 選択-SAMLロール：IDプロバイダー
• 入力-エンティティID：samlidp

• 一般名：Joe Bloggs
• 組織：Liferay
• 組織単位：Liferay Inc
• 産地：ダイアモンドバー
• 州：CA
• 国：米国
• 有効期間（日）：356
• 主要なアルゴリズム：RSA
• キーの長さ（ビット）：2048
• キーパスワード：liferayidp

• 名前：samlsp
• エンティティID：samlsp
• 有効：チェック済み
• メタデータURL： http：// localhost：8080 / c / portal / saml / metadata
• 名前識別子の形式：電子メールアドレス
• 名前識別子属性名：emailAddress

サービスプロバイダーのLiferayDXPバンドルに戻ります。

1. アカウントがサインアウトされている場合は、管理者としてサインインします
2. SAML管理メニューに戻る
3. IDプロバイダー接続を選択し、[IDプロバイダーの追加]をクリックします

• 名前：samlidp
• エンティティID：samlidp
• 有効：チェック済み
• メタデータURL： http://liferaytest.com:9080/c/portal/saml/metadata
• 名前識別子の形式：電子メールアドレス

SAML認証のテスト。

1. テスト目的のみで、 本番では実行しないでくださいサービス プロバイダのランディング ページに Sign In ポートレットを追加します。 SAMLの設定が正しくない場合、SAML認証を完全にバイパスしてサービスプロバイダに直接ログインすることができます。
2. SPバンドルからサインアウトする、または別のブラウザを使用する
3. SPバンドルへのアクセス
4. 右上の「Sign In」ボタンをクリックする
5. この場合、ユーザーはIdPにリダイレクトされる必要があります。 http://liferaytest.com:9080/web/guest/home?...
6. 提供されたポートレットを使ってサインインする
7. ユーザーはSPにリダイレクトされ、そこでログインする必要があります。

ユースケース #3: メールアドレス以外のユーザー属性

ユーザーは、メールアドレス以外の属性を使って認証を行うことができます。 例えば、Salesforceの統合に関わるユースケースでは、ユーザーは「名前の識別子」を「Unspecified」に変更し、他の値を入力する必要があります（例：static:${salesforce-user-name} または static:${user-email-address}.
他の属性が必要な例としては、Shibbolethとの統合があります。 IdPがADFSやShibbolethで、SPがLiferayというユースケースもあります。 ADFSの設定に応じて、ファーストネームやラストネームなどの他の属性を使用することができます。 Shibbolethはスクリーンネームを使って認証することができます。 SPでは、「Name Identifier Format」を「Email Address」から「Unspecified」に変更します。

ユースケース #4: 安全なプロキシ接続での接続

一般的なDXP 7.0の環境では、2つのIdPとSPのサーバーだけでなく、それ以外のサーバーも通信していることがよくあります。 また、クラスター化された環境では、ロードバランサーサーバー（これは必須ではありませんが、非常に強く推奨されています）や、Webリクエストを処理するためのWebサーバーがあるかもしれません。 セキュリティを強化するために、管理者はデフォルトの https プロトコルではなく、 httpを使用します。 DXP 7.0に導入されたSAMLプラグインは、アサーションプロセスがHTTPからHTTPSにリダイレクトされるように設定されている限り、IdPが開始するSSOとSPが開始するSSO の両方を実行することができます。

セキュアポート443へのリダイレクトを有効にする方法や構成は、アプリケーションサーバごとに異なりますが、DXP 7.0の portal-ext.propertiesで必要な変更は1つだけです。

portal.instance.protocol=https
web.server.protocol=https

これらのプロパティが portal-ext.properties ファイルに追加されると、ポータルは送信される HTTPS メッセージを認識し、SAML アサーション・プロセスを通じて正常に送信されるようになる。

最後に、管理者は SAML Admin Control Panelで SSL Required が有効になっていることを 確認する必要があります。 そのためには

1. コントロールパネルへの移動 > Configuration > SAML Admin
2. DXP 7.0のこのインスタンスがSAML IdPサーバとして構成されている場合は、Identity Providerタブの SSL Required チェックボックスをチェックします。
   
3. SAML SPサーバーとして設定されたDXP 7.0インスタンスの場合も同様である。 サービスプロバイダー」タブの「 SSL Required 」チェックボックスをチェックします。
   
4. クリック 保存.

ユースケース #5: クラスター環境でのSAML

この 公式ドキュメントの「クラスター環境でのSAMLの設定」のセクションを参照してください。

SAMLの無効化

SAMLを無効にするにはいくつかの方法があります。 それぞれの方法は微妙に異なり、様々な状況を反映しています。

ユースケース1：UIを通じて
IdPとしてDXP 7.0が設定されているとします。 最も簡単な方法は、コントロールパネルのUIを使って、このインスタンスのSSO/SLO機能を無効にすることです。 SAMLを有効にして動作している他のインスタンスを無効にする必要があります。

1. システム管理者としてサインインします。
2. コントロールパネル→設定→SAML管理者ます。
3. General タブの Enabled チェックボックスのチェックを外します。
   
4. クリック 保存.

この時点では、Liferay SAMLアプリはプラットフォーム上に展開されていますが、ユーザーはSSOなしでサインインすることになります。

ユースケース2：URLの調整
このシナリオでは、SPとしてDXP 7.0が設定されていると仮定します。 サービスプロバイダーとして、プラットフォームは、IdPまたはADFSのようなアクティブディレクトリとして構成された別のインスタンスに接続されます。 デフォルトのゲストサイトにはSign Inアプリケーションがないため、ユーザーはSAMLを使用してサインインする必要があります。 SSOを回避してプラットフォームにアクセスするには、URLを変更することで可能となります。

次のように付け加えます。 ?p_p_id=com_liferay_login_web_portlet_LoginPortlet&p_p_lifecycle=0&p_p_state=maximized&p_p_mode=view&saveLastPath=false&_com_liferay_login_web_portlet_LoginPortlet_mvcRenderCommandName=%2Flogin%2Flogin をURLの最後に追加しています。

例を示します。 http://www.able.com:8080?p_p_id=com_liferay_login_web_portlet_LoginPortlet&p_p_lifecycle=0&p_p_state=maximized&p_p_mode=view&saveLastPath=false&_com_liferay_login_web_portlet_LoginPortlet_mvcRenderCommandName=%2Flogin%2Flogin

サインインした後、システム管理者は最初のユースケースと同じ方法でLiferay SAML Providerを非活性化することができる。 前述の通り、Sign InアプリケーションはSAML認証機能をバイパスしており、その拡張URLを使って呼び出されていました。 ランディングページが/web/guest/homeにない場合は、 Sign In アプリケーションをページに追加します。

写真は、SAMLをバイパスするモックアップページに、Sign Inアプリを追加したものです。

使用例3：OSGiを使用する config File
この使用例では、バックエンドからSAMLを無効にします。 DXP 7.0ではOSGiが実装されているため、リスクが少なく、ランタイムペナルティも少なくなっています。 このユースケースでは、1) データベースの configuration_ テーブルで値を見つけることと、2) config ファイルを作成することの 2 つが必要です。

1. どのようなデータベースであれ、 configuration_ テーブルを検索します（例：MySQL 5.7 Command Line Client では、 select * from configuration_ ˶‾᷅;. 注： はオプションで、値を読みやすくしています）。)
2. com.liferay.saml.runtime.configuration.SamlProviderConfiguration.xxxxxx.xxxx.xxxx.x を探してください（ここでの番号部分はそれぞれのケースで違って見えます）。
3. /osgi/configs フォルダの中に、code>com.liferay.saml.runtime.configuration.SamlProviderConfiguration-xxxxxxx.xxxxxxx.config という名前のファイルを作成します。
   • 重要な注意点1： には、 には、ID文字列が含まれていなければなりません。
   • 重要な注意点 2: はハッシュ値を ハイフンで区切って ...SAMLProvider Configuration... としなければなりません。 (例： com.liferay.saml.runtime.configuration.SamlProviderConfiguration-bda43632-74fc-458a-9bb7-5f4c4e81fb96) です。
4. そのファイルの中に、以下のように入力します。 saml.enabled=false.

手順が完了すると、Liferay SAML Providerは無効になり、インスタンスを再起動しても再び有効になることはない。 SAMLを再び有効にするには、このファイルを削除するか、値を saml.enabled=trueに戻してください。

トラブルシューティング

SAMLの問題は、多くの場合、設定の問題です。 ユーザーがステップをスキップしたり、値を間違って入力した可能性があります。 とはいえ、よくある質問についてはここで紹介しています。

1. どちらのインスタンスでもSLOを実行できません。
通常、この現象は次のようなシナリオの1つまたは複数によって引き起こされます。

1. ユーザーが「サインイン」ポートレットで「私を覚えておいて」というフラグを立てることができません。
2. SAML のタイムアウトは、Liferay のタイムアウトよりも短くなければならない。 この2つ目のシナリオでは、SAMLのタイムアウトがLiferayのタイムアウトよりも長い場合、システムは「Remember Me」がチェックされたかのように動作する。 解決策は、SAMLのタイムアウトを180秒に設定することです。
3. ユーザーがポータル設定でslo_redirect以外のものを定義している。 コントロールパネル > のポータル設定に移動し、c/portal/saml/slo_redirectに変更します。

2. IdPがメタデータのダウンロードに対応していない場合は？ Liferay SPは、証明書のインストール（Salesforceと同様）をサポートしていますか？

答え。SAML Metadata XMLを提供する必要があります。 これは、URLまたはファイルで提供されます。 IdP が SAML メタデータをサポートしていない場合は、XML ファイルを手動で作成する必要があります。

3. セッションタイムアウトとアサーションライフタイムとは何ですか？ どのように違うのですか？

セッションタイムアウトとは、SAML IdPがSPへの接続を維持する時間のことです。 Liferay Portal の場合、SAML セッションのタイムアウトがポータルのタイムアウトよりも短いことを確認する。 ユーザーが活動していないためにセッションが終了した場合、ユーザーは再認証する必要があります。
アサーションライフタイムとは、IdPとSPの間のアサーションがどのくらいの期間有効であるかを意味します。 アサーションは、サーバーの時刻が同期していないと、期限切れになったり、認識されないことがあります。 通常、これは秒単位で計測されます。 これを修正するには、クロックスキュー機能を適宜調整します。

4. 自分のカスタムキーストアをアップロードできますか？

最新バージョンのLiferay SAML 2.0 Providerでは、管理者はデフォルトのバージョンを使用する代わりに、キーストア(.jks)ファイルを追加することができます。 Liferay Marketplaceから Liferay SAML 2.0 Provider version 3.1.0 をダウンロードします。 このバージョンには、DXP 7.0 Fix Pack DE-32以上が必要です。 古いLiferayのSAML 2.0プロバイダのバージョンがあります 3.0.0 ない ない 、この機能を持っています。

アプリがデプロイされたら、次の手順を使用してプラットフォームを構成します。

1. コントロールパネル → 設定 → システム設定に移動します。
2. Foundation タブをクリックします。
3. 検索対象 SAML KeyStoreManager実装構成.
4. ドロップダウンから Filesystem Keystore Manager を選択し、 Updateをクリックします。
   
5. 前の検索結果がまだ表示されている場合は、 SAML Configurationをクリックします。 そうでなければ、検索してみてください。
6. SAML Configuration ページで、新しいキーストアのパスを入力します。 デフォルトでは、キーストアは ${liferay.home}/data/keystore.jksに格納されています。
   
7. クリック 保存.
8. この時点で、プラットフォームは新しいキーストアファイルを認識します。

5. Liferay SAMLのコンフィグレーションは、データベースのどこに保存されていますか？

Liferay SAML configurations は、DXP 7.0 (7.1も同様)では、 configuration_ というデータベーステーブルに格納されています。 3.1.0 バージョンのアプリでは、0 (7.1も同様)となっています (詳細は こちら)。 データベースのテーブルを調べたい場合は、それぞれのテーブルに格納されているデータを取得する方法について、データベースのマニュアルを参照してください。 たとえば、MySQLのコマンドコンソールで、 select * from configuration_ \G; と入力します（ \G では、結果が縦に表示され、読みやすくなります）。

以下のように表示されます。

configurationId: com.liferay.portal.security.auth.verifier.internal.basic.auth.header.module.configuration.BasicAuthHeaderAuthVerifierConfiguration.f0d64ebc-896b-4606-b907-2edba57850ce
     dictionary: enabled="true"
felix.fileinstall.filename="com.liferay.portal.security.auth.verifier.internal.basic.auth.header.module.configuration.BasicAuthHeaderAuthVerifierConfiguration-default.cfg"
service.factoryPid="com.liferay.portal.security.auth.verifier.internal.basic.auth.header.module.configuration.BasicAuthHeaderAuthVerifierConfiguration"
service.pid="com.liferay.portal.security.auth.verifier.internal.basic.auth.header.module.configuration.BasicAuthHeaderAuthVerifierConfiguration.f0d64ebc-896b-4606-b907-2edba57850ce"
urlsExcludes="/api/liferay*"
urlsIncludes="/api/*,/xmlrpc*"

実際に保存されている設定値が表示されるまで、下にスクロールしてください。 この例では、Liferay DXPインスタンスがIdPとして設定されています。その entityId は samlidpであり、キーストアのパスワードは passwordであり、 SSL は必要ありません。

configurationId: com.liferay.saml.runtime.configuration.SamlProviderConfiguration.338a3905-8765-4701-872b-7352cf975341
     dictionary: companyId=L"20115"
saml.enabled="true"
saml.entity.id="samlidp"
saml.idp.authn.request.signature.required="true"
saml.idp.session.maximum.age="0"
saml.idp.session.timeout="0"
saml.keystore.credential.password="password"
saml.role="idp"
saml.sign.metadata="true"
saml.ssl.required="false"
service.bundleLocation="?"
service.factoryPid="com.liferay.saml.runtime.configuration.SamlProviderConfiguration"
service.pid="com.liferay.saml.runtime.configuration.SamlProviderConfiguration.338a3905-8765-4701-872b-7352cf975341"

SAMLアプリには、以下の のConfigurationIds が接続されています。

com.liferay.saml.opensaml.integration.internal.transport.configuration.HttpClientFactoryConfiguration
com.liferay.saml.runtime.configuration.SamlProviderConfiguration
com.liferay.saml.runtime.configuration.SamlConfiguration

重要な注意：従来のLiferay Portal 6.2にSAMLを導入しているお客様は、この変更に注意する必要があります。 これまでは、 PortalPreferencesというテーブルに格納されていました。

以前のバージョンを参照するには、 SAML Comprehensive Quick Start Guide for Liferay Portalを参照してください。