SAML準拠のIDプロバイダを使用したSSO

Oracle Eloquaでは、セキュリティ・アサーション・マークアップ言語2.0 (SAML 2.0)標準を使用して、組織のシングル・サインオン・ベンダーによるセキュアなユーザー認証を可能にしています。Oracle Eloquaシングル・サインオンを有効にするには、シングル・サインオン・ベンダーがSAML 2.0をサポートしている必要があります。Oracle Eloquaでは、SAML 2.0準拠のIDプロバイダすべてがサポートされます。

Oracle Eloqua Identity Cloud Service for Salesforce.comを購入した場合、シングル・サインオンを有効にしてSalesforceと自動的にユーザーを同期するには、Salesforceを使用したSSOを参照してください。

サービス・プロバイダおよびIDプロバイダについて

シングル・サインオンを有効にする予定の場合、いくつかの用語を理解しておくことが重要です。

  • サービス・プロバイダ: アプリケーションをホストするWebサイト。シングル・サインオンを有効にした場合、Oracle Eloquaがサービス・プロバイダです。
  • IDプロバイダ: ユーザーを認証して、シングル・サインオンによる他のWebサイトへのアクセスを許可する、信頼できるプロバイダ。ご使用のシングル・サインオン・ベンダーがIDプロバイダです。Oracle EloquaはIDプロバイダとして機能できません。

SSOによるユーザー・ログイン

Oracle Eloquaでは、IDプロバイダにより開始されるログインとサービス・プロバイダにより開始されるログインの両方をサポートしています。

  • IDプロバイダにより開始されるログイン: ユーザーがIDプロバイダを使用してログイン・フローを開始する場合。この場合は、IDプロバイダが認証されたログイン要求をOracle Eloquaに送信します。
  • サービス・プロバイダにより開始されるログイン: ユーザーがOracle Eloquaを使用してログイン・フローを開始する場合。この場合は、Oracle EloquaがIDプロバイダにユーザーの認証を要求します。

次のステップは、ユーザーがサービス・プロバイダ(Oracle Eloqua)による開始シナリオを使用してログインする方法を示しています。

  1. ユーザーはhttps://login.eloqua.comにアクセスし、「SSOまたは別のアカウントでサイン・イン」を選択します。
  2. Oracle EloquaによりSAML認証要求が生成され、ブラウザがIDプロバイダにリダイレクトされます。
  3. IDプロバイダが、要求からの情報をデコードして抽出し、ユーザーにIDプロバイダの資格証明を提供するように求め、ユーザーを認証します。
  4. IDプロバイダが、Oracle Eloquaユーザーを識別するための属性を含むSAMLレスポンスを生成します。レスポンスは、IDプロバイダの秘密鍵によりデジタル署名されています。
  5. IDプロバイダがSAMLレスポンスおよび状態情報をエンコードして、これをブラウザに返します。ブラウザはこの情報をOracle Eloquaに送信します。
  6. Oracle Eloquaが、IDプロバイダの公開鍵を使用してSAMLレスポンスを検証し、ユーザーをOracle Eloquaにログインさせます。

SSOの要件

シングル・サインオンを有効にする前に、次の要件を確認してください。

  • Oracle Eloquaでは、SAML 2.0準拠のIDプロバイダすべてがサポートされます。Oracle EloquaではSAML 1認証はサポートされません。
  • Oracle Eloquaでは、SAMLアサーションはX.509証明書を使用して署名されている必要があります。
  • Oracle Eloquaでは、ユーザー・アカウントの自動同期はサポートされません。シングル・サインオンが機能するためには、Oracle Eloquaでユーザーを作成する必要があります。
  • Oracle Eloquaでは、SHA-1およびSHA-256アルゴリズムがサポートされます。
  • Oracle Eloquaでは、HTTP POSTバインディングを使用するSAMLアサーションが推奨されます。
  • Oracle Eloquaでは、サービス・プロバイダにより開始される認証要求とIDプロバイダにより開始される認証要求がサポートされます。実装で、これらのオプションの両方をサポートするかどうかを制御できます。
  • Oracle EloquaはIDプロバイダとして機能できません。
  • Oracle Eloquaでは、シングルSAMLログアウトがサポートされます(IDプロバイダでサポートされている場合)。詳細は、シングル・ログアウトを参照してください。

開始

SAML準拠のIDプロバイダを使用してSSOを有効にするためのステップ

Oracle EloquaでのIDプロバイダの作成

サービス・プロバイダとしてのOracle Eloquaの構成

シングル・サインオンのテスト

関連項目

SSOユーザーの設定

期限切れ証明書の置換

シングル・ログアウト

SSOユーザーのログアウト時のカスタムURLへのリダイレクト