メインコンテンツまでスキップ

 

 

Coupa Japanese

Coupa SAMLのFAQ

このページは機械翻訳を使用して翻訳されています。


CoupaでSAMLを設定するには?

設定を開始するには、このFAQを読み、設定のセットアップのステップ1を完了してください。手順2に記載されているCoupaの実装連絡先の要件を入力してください。CoupaエンジニアはCoupa側でのIdP接続の設定を支援します。設定は完全にセルフサービスではありません。Coupa内の管理者は、SAMLを無効にし、ログインURL、ログアウトURL、タイムアウトURLを変更することができます。

CoupaはどのSAMLプロトコルをサポートしていますか?

SAML V2.0

SAML V2.0仕様はどこにありますか?

http://saml.xml.org/saml-specifications

SAML応答XMLを検証するにはどうすればよいですか?

http://docs.oasis-open.org/security/saml/v2.0/saml-schema-protocol-2.0.xsdに対してXMLを確認してください

    $ xmllint --noout --schema saml-schema-protocol-2.0.xsd saml_response.xml

SAML応答をデコードする方法

1つのオンラインデコーダーは https://rnd.feide.no/simplesaml/modu...ebug/debug.phpにあります。

SAML応答を追跡および表示する方法

<b id="i8"> </b>Firefoxアドオンsaml-tracerはHTTPSフローを追跡し、SAML応答をデコードおよび解析します<b id="i10"><b id="i9"><a id="x4" xid="i14.1.1">。</a></b></b>https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

ログインURLとは?

[設定]> [セキュリティ管理]の 下のログインURLは、単にHTTP 302リダイレクトです。

IdP Initiated SSOの場合、IdPログイン画面のログインURLを入力します。Coupaアプリケーションは、ユーザーをIdPがホストするログインページにリダイレクトして、ユーザーを認証します。Coupaサインインページはユーザーに表示されません。

SPによって開始されるSSOの場合、IdPでEntityIDがわかっていれば、URLを作成できます。リダイレクトして、SPの開始を開始します。

テスト/ステージング用

https://sso-stg1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <stage_IdP_entityid>&TARGET=https://{your-test_site}.coupahost.com/sessions/saml_post

生産用

https://sso-prd1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <prod_IdP_entityid>&TARGET=https://{your_site}.coupahost.com/sessions/saml_post

CoupaにログアウトURLが必要なのはなぜですか?

Coupaアプリケーションからユーザーがログアウトすると、Coupaはユーザーセッションをクリアし、[設定]-> [セキュリティコントロール]で設定されたログアウトURLにユーザーをリダイレクトします。その単純なリダイレクトであり、SLO実装ではありません。ユーザーがIdPからサインアウトする必要はありません。ログアウトURLは、ユーザーがCoupaアプリケーションを使用して完了した後、内部サイトまたは任意のランディングページにすることができます。

タイムアウトURLとは何ですか?タイムアウトはSAML実装でどのように機能しますか?

Coupaアプリケーションでは、[システム]-> [セキュリティ管理]でセッション有効期限タイムアウトが設定されています。セッションがタイムアウトした後、CoupaはタイムアウトURL(ログインURLと同じ)にリダイレクトし、URLに基づいてIdPまたはSPで開始されたSSOを開始します。ほとんどの場合、タイムアウトURLはログインURLと同じです。ユーザーには、Coupaセッションの有効期限とユーザーに設定されたIdPタイムアウトに基づいて、ログインページが表示されます。

CoupaはIdPユーザーを識別するためにどのような情報を使用しますか?

Coupaは、SAML応答からのNameID値を使用して、対応するCoupaユーザーを検索します。SAMLログインを成功させるには、ユーザー作成中に「シングルサインオンID」を入力する必要があります。シングルサインオンIDは、ユーザーインターフェイスでユーザーを編集するか、Coupa APIを使用してユーザー統合で設定できます。

CoupaにアクセスしてSAMLをバイパスする方法はありますか?

Coupaは、SSO認証プロセスを回避するためにこのサポートインターフェースを提供します。URLは https://{your-site}.coupahost.com/sessions/support_loginです。通常のユーザーは作成時にCoupaでパスワードを設定していない可能性があるため、これは管理者のみを対象としています。これにより、SSO以外でログインすることはできなくなります。オプションで、このサポートインターフェースからログインするためのCoupaパスワードを持つユーザーを作成できます。これは、IdPの一部ではないがCoupaにアクセスする必要があるユーザーに役立ちます。

CoupaがRelayStateを必要とするのはいつですか?

RelayStateはIdPによって開始されたSSOには必須であり、SPによって開始されたSSOには必要ありません。顧客のCoupaインスタンスを識別するには、RelayStateがサービスプロバイダーに必要です。RelayStateは、SAMLResponseに沿ってQueryStringまたは別のPOST変数として渡すことができます。

これにより、ACSのURLの後に次のサフィックスが付きます:/sp/ACS.saml2?RelayState=https://<coupa-instance-domain-name>/sessions/saml_post

簡単な方法の1つは、ステージまたは本番メタデータXMLで見つけたAssertionConsumerService URLにQueryStateとしてRelayStateを追加することです

IdPによって開始されるSSOおよびSPによって開始されるSSOのワークフローはどのようなものですか?

http://documentation.pingidentity.com/display/PF/IdP-Initiated+SSO--POST

http://documentation.pingidentity.com/display/PF/SP-Initiated+SSO--POST-POST

ステージと本番用Coupaインスタンス用にSAMLをどのように設定すればよいですか?

CoupaステージのアサーションエンドポイントURL(AssertionConsumerService)はhttps://sso-stg1.coupahost.com/sp/ACS.saml2であり、Coupaプロダクションの場合はhttps://sso-prd1.coupahost.com/sp/ACS.saml2です。SAMLをステージと本番の両方で機能させるには、ステージ用と本番用の2つの接続が必要です。ステージがなく、本番IdPしかない場合でも、CoupaステージとCoupa本番インスタンスの2つの異なる接続を作成できます。RelayStateは、ステージ接続と本番接続では異なります。

SAMLを使用してユーザープロビジョニングを実行できますか?

現在のCoupa SAML設定は認証のみを目的としており、Coupa内でのユーザープロビジョニングは許可されていません。承認はCoupaユーザー役割を介して行われます。SAMLの役割は、ユーザーを認証することです。

Coupaが統合されているIdPシステムは何ですか?

SAML 2.0を実装する任意のIdPシステム。ADFS 2.0、PingFederate、Novell Access Manager、Oracle Access Manager、Tivoli Access Manager、Shibbolethのようなオープンソースプロジェクト、カスタムビルドソリューションなど。現在、IdPサンプルコードは提供していません。オンラインおよびオープンソースプロジェクトから利用できます。

Coupaに顧客が提供するサンプルIdPメタデータを探しています。

Test_IDP_Metadata.xmlを参照してください。

サンプルのAuthnRequestとSAMLレスポンスを探しています。

sample_AuthnRequest_and_SAML_response.xmlを参照してください。

"無効なInResponseTo属性(Hg3Av .............. FG)-非送信請求応答にInResponseToを設定できません。"が表示されます。エラー

そのようなエラーの3つの理由:

  1. IdP側からのSAML応答は同じ認証トークンを使用しており、SAMLを再生しています
  2. 同じログインページからの重複SAML POST、たとえば、同じSAML応答を持つ2つのPOST。
  3. ACS URLにRelayStateを使用し、CoupaでSP-Initiationを使用して、IdP側にPingFederateを設定しました。

1と2は、Firefoxとsaml_tracerプラグインまたはHTTP追跡ツールを使用して検出できます。 3はPingFederateを使用するIdP側で有効です。Coupaを使用するSP-Init設定では、RelayStateを設定しないでください。

SAMLトレースを収集してSSO関連の問題をトラブルシューティングします

サポートの観点から、SAML / SSO認証の失敗に関連するデータを収集する必要がある場合があります。

このために使用できるブラウザベースのツールは2つあり、簡単に使用できます。

Firefox

SAMLトレーサー:https://addons.mozilla.org/en-us/firefox/addon/saml-tracer/

インストールすると、次のスクリーンショットのように表示され、SSO接続を行うときに開く必要があります。

01-Firefox-Addon.png

収集する必要のあるデータは、POST *として[SAML]タブにあります。

02-Firefox-SAML.png

Chrome

SAMLトレーサー:https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en

インストールすると、Chromeの開発者ツールにタブが追加され、POST *が表示されるので、[SAML]タブを確認する必要があります。

03-Chrome-Addon.png

 

04-Chrome-SAML.png

* POSTコールの対象:
https://devsso35.coupahost.comSandoxおよび開発環境
https://prdsso40.coupahost.com本番インスタンス

 

  • この記事は役に立ちましたか?