シングルサインオン(SSO)概要
シングルサインオン(SSO)は、ユーザーが同じ認証サービスに関連付けられた複数の異なるアプリケーションやシステムに対して、1組のユーザー名とパスワードでアクセスできる認証サービスです。EMQX CloudでSSOを有効にすると、ユーザーは企業アカウントの認証情報を使って、EMQX Cloudのデプロイメントコンソールに便利にログインできます。
EMQX Cloudは、OpenID Connect(OIDC)標準に基づいてSSO機能を実装しています。ユーザーが企業アカウントでシングルサインオンを行うと、EMQX Cloudはアプリケーションサーバー(「リライイングパーティ(RP)」とも呼ばれます)として、認可されたアイデンティティプロバイダー(企業独自のアイデンティティ管理サーバー)からユーザーの基本的な識別情報を取得できます。これにより、ユーザーは企業アカウントを使ってワンクリックでEMQX Cloudにログインできます。
主要な概念
シングルサインオン機能を利用する前に、以下の主要な概念を理解しておく必要があります。
- OpenIDプロバイダー(OP) または アイデンティティプロバイダー(IdP):認可されたアイデンティティプロバイダーまたは認可サーバー。一般的な企業のIdPにはOktaやAzure Active Directory(AAD)があります。
- RP:リライイングパーティ。ユーザー認証をIdPに委託するアプリケーションサーバーやウェブサイトのことです。EMQX Cloudはシングルサインオンサービスの提供者として、サービスプロバイダー(SP)とも呼ばれます。
- IDトークン:認証が成功した後、アイデンティティプロバイダーが返す識別子で、JWT形式の文字列です。ユーザーの基本情報を取得するために使用されます。
認可フロー
ユーザーがSSOを使ってEMQX Cloudにログインする基本的なワークフローは以下の図の通りです。
- ユーザーはウェブブラウザを使ってアプリケーションサーバーであるEMQX Cloudにログインします。
- EMQX Cloudは認証と認可のためにIdPへリダイレクトします。
- IdPは認可コードをブラウザに返し、ブラウザはそれをEMQX Cloudにリダイレクトします。
- EMQX CloudはIdPから提供されたコードを使ってIDトークンを取得し、IdPに検証を依頼します。
- IdPはIDトークンをEMQX Cloudに返します。
- EMQX Cloudはブラウザに認可を付与し、ログイン処理を完了します。
設定手順
SSO機能を有効にする前に、EMQX Cloudと企業IdPの間で信頼関係を構築するためにOIDCの設定が必要です。一般的な手順は以下の通りです。
- 企業IdPにEMQX Cloudのメタデータ情報を設定します。
- 企業IdPで生成されたメタデータ情報を取得し、EMQX Cloudに関連情報を入力してSSO設定を完了させます。
- 企業IdPでユーザーを作成し、EMQX Cloudアプリケーションへの認可を付与します。
- EMQX Cloudで対応するサブアカウントを作成します。
- 専用のSSOログインURLを使ってログイン処理を完了します。
設定例
以下のページでは、一般的な企業IdP(OktaおよびAzure AD)による認可を用いたSSO有効化の設定例を紹介しています。