シングルサインオン(SSO)
シングルサインオン(SSO)は、ユーザーが複数のアプリケーションやシステムに対して、ユーザー名やパスワードなどの単一の認証情報でログインできる認証機構です。各アプリケーションごとに個別の認証を行う必要がありません。EMQX ダッシュボードでSSO機能を有効にすると、ユーザーは企業アカウントの認証情報を使って便利にログインできます。組織はユーザーのアイデンティティと権限を一元管理でき、ユーザー管理の効率化を図れます。この機能により、企業のデータやシステムのセキュリティを強化しつつ、ユーザーの利便性も向上します。
EMQXは、Lightweight Directory Access Protocol(LDAP)、Security Assertion Markup Language(SAML)2.0標準、およびOpenID Connect(OIDC)に基づくSSO機能を実装しており、OpenLDAP、Azure AD(Microsoft Entra ID)、Okta、OneLoginなどの主要なアイデンティティサービスとの連携をサポートしています。
LDAPベースのSSO
EMQX ダッシュボードはLDAPを利用したSSOの統合を可能にします。LDAPは分散ディレクトリ情報サービスにアクセスし維持するためのアプリケーション層プロトコルであり、企業環境におけるSSOソリューションの一般的な認証および認可プロトコルです。
LDAP SSOを使用する場合、EMQXはユーザーのLDAP認証情報をディレクトリサーバーに送信して検証します。検証に成功すると、ユーザーのセッション情報を作成し、ダッシュボードへのログインを許可します。
SAMLベースのSSO
EMQX ダッシュボードはSAMLをサポートするアイデンティティプロバイダー(IdP)サービスとの統合を可能にします。SAMLはXMLベースのオープン標準データフォーマットであり、企業環境で広く利用されているSSOソリューションです。
SAML SSOでは、ユーザーはIdPで一度認証すればよく、IdPはユーザー情報を含むSAMLアサーションを生成してEMQX ダッシュボードに送信します。EMQX ダッシュボードは受信したSAMLアサーションを検証し成功すると、ユーザーのセッション情報を作成してダッシュボードにログインさせます。SAMLはクロスドメイン認証および認可を可能にし、複数アプリケーション間のシームレスな統合をサポートします。企業は既存のSAMLアイデンティティシステムにEMQXを容易に組み込むことができ、ユーザーは安全かつ便利にEMQXサービスにアクセスできます。
OIDCベースのSSO
EMQX ダッシュボードはOIDCをサポートするアイデンティティプロバイダー(IdP)サービスとの統合を可能にします。OIDCはOAuth 2.0プロトコルの上に構築されたアイデンティティレイヤーであり、ユーザーの身元確認とユーザー情報取得の標準化された方法を提供します。
OIDC SSOでは、ユーザーはIdPで認証し、IdPはユーザー情報を含むIDトークンをEMQX ダッシュボードに返します。EMQX ダッシュボードはIDトークンを受信し検証に成功すると、ユーザーのセッション情報を作成してダッシュボードにログインさせます。OIDCはモダンでRESTfulな認証方式を提供し、最新のアイデンティティサービスとの統合が容易であり、安全かつ便利にEMQXサービスにアクセスできます。
設定および利用のワークフロー
- 管理者がダッシュボードでSSOを設定および有効化します。設定完了後、EMQX ダッシュボードのログインページにSSOのエントリポイントが表示されます。
- IdP側でユーザー情報を設定します。
- ユーザーはダッシュボードのログインページで利用可能なSSO方式を選択します。
- ログイン成功後、EMQX ダッシュボードはユーザー情報に基づいてセッションを作成し、ユーザーはダッシュボードにアクセスできます。
- 管理者はユーザーごとにロールと権限を割り当てます。ユーザーはログインを更新することで対応するリソースにアクセス可能になります。
設定例
以下はLDAP、SAML 2.0、およびOIDCに基づくSSOの設定例です。