SAML準拠のIDプロバイダを使用したSSO
Oracle Eloquaでは、セキュリティ・アサーション・マークアップ言語2.0 (SAML 2.0)標準を使用して、組織のシングル・サインオン・ベンダーによるセキュアなユーザー認証を可能にしています。Oracle Eloquaシングル・サインオンを有効にするには、シングル・サインオン・ベンダーがSAML 2.0をサポートしている必要があります。Oracle Eloquaでは、SAML 2.0準拠のIDプロバイダすべてがサポートされます。
Oracle Eloqua Identity Cloud Service for Salesforce.comを購入した場合、シングル・サインオンを有効にしてSalesforceと自動的にユーザーを同期するには、Salesforceを使用したSSOを参照してください。
サービス・プロバイダおよびIDプロバイダについて
シングル・サインオンを有効にする予定の場合、いくつかの用語を理解しておくことが重要です。
- サービス・プロバイダ: アプリケーションをホストするWebサイト。シングル・サインオンを有効にした場合、Oracle Eloquaがサービス・プロバイダです。
- IDプロバイダ: ユーザーを認証して、シングル・サインオンによる他のWebサイトへのアクセスを許可する、信頼できるプロバイダ。ご使用のシングル・サインオン・ベンダーがIDプロバイダです。Oracle EloquaはIDプロバイダとして機能できません。
SSOによるユーザー・ログイン
Oracle Eloquaでは、IDプロバイダにより開始されるログインとサービス・プロバイダにより開始されるログインの両方をサポートしています。
- IDプロバイダにより開始されるログイン: ユーザーがIDプロバイダを使用してログイン・フローを開始する場合。この場合は、IDプロバイダが認証されたログイン要求をOracle Eloquaに送信します。
- サービス・プロバイダにより開始されるログイン: ユーザーがOracle Eloquaを使用してログイン・フローを開始する場合。この場合は、Oracle EloquaがIDプロバイダにユーザーの認証を要求します。
次のステップは、ユーザーがサービス・プロバイダ(Oracle Eloqua)による開始シナリオを使用してログインする方法を示しています。
- ユーザーはhttps://login.eloqua.comにアクセスし、「SSOまたは別のアカウントでサイン・イン」を選択します。
- Oracle EloquaによりSAML認証要求が生成され、ブラウザがIDプロバイダにリダイレクトされます。
- IDプロバイダが、要求からの情報をデコードして抽出し、ユーザーにIDプロバイダの資格証明を提供するように求め、ユーザーを認証します。
- IDプロバイダが、Oracle Eloquaユーザーを識別するための属性を含むSAMLレスポンスを生成します。レスポンスは、IDプロバイダの秘密鍵によりデジタル署名されています。
- IDプロバイダがSAMLレスポンスおよび状態情報をエンコードして、これをブラウザに返します。ブラウザはこの情報をOracle Eloquaに送信します。
- Oracle Eloquaが、IDプロバイダの公開鍵を使用してSAMLレスポンスを検証し、ユーザーをOracle Eloquaにログインさせます。
SSOの要件
シングル・サインオンを有効にする前に、次の要件を確認してください。
- Oracle Eloquaでは、SAML 2.0準拠のIDプロバイダすべてがサポートされます。Oracle EloquaではSAML 1認証はサポートされません。
- Oracle Eloquaでは、SAMLアサーションはX.509証明書を使用して署名されている必要があります。
- Oracle Eloquaでは、ユーザー・アカウントの自動同期はサポートされません。シングル・サインオンが機能するためには、Oracle Eloquaでユーザーを作成する必要があります。
- Oracle Eloquaでは、SHA-1およびSHA-256アルゴリズムがサポートされます。
- Oracle Eloquaでは、HTTP POSTバインディングを使用するSAMLアサーションが推奨されます。
- Oracle Eloquaでは、サービス・プロバイダにより開始される認証要求とIDプロバイダにより開始される認証要求がサポートされます。実装で、これらのオプションの両方をサポートするかどうかを制御できます。
- Oracle EloquaはIDプロバイダとして機能できません。
- Oracle Eloquaでは、シングルSAMLログアウトがサポートされます(IDプロバイダでサポートされている場合)。詳細は、シングル・ログアウトを参照してください。
開始
SAML準拠のIDプロバイダを使用してSSOを有効にするためのステップ
サービス・プロバイダとしてのOracle Eloquaの構成