Coupa SAMLのFAQ

最後の更新
PDFとして保存

このページは機械翻訳を使用して翻訳されています。

CoupaでSAMLを設定するには？

設定を開始するには、このFAQを読み、設定のセットアップのステップ1を完了してください。手順2に記載されているCoupaの実装連絡先の要件を入力してください。CoupaエンジニアはCoupa側でのIdP接続の設定を支援します。設定は完全にセルフサービスではありません。Coupa内の管理者は、SAMLを無効にし、ログインURL、ログアウトURL、タイムアウトURLを変更することができます。

CoupaはどのSAMLプロトコルをサポートしていますか？

SAML V2.0

SAML V2.0仕様はどこにありますか？

http://saml.xml.org/saml-specifications

SAML応答XMLを検証するにはどうすればよいですか？

http://docs.oasis-open.org/security/saml/v2.0/saml-schema-protocol-2.0.xsdに対してXMLを確認してください

$ xmllint --noout --schema saml-schema-protocol-2.0.xsd saml_response.xml

SAML応答をデコードする方法

1つのオンラインデコーダーは https://rnd.feide.no/simplesaml/modu...ebug/debug.phpにあります。

SAML応答を追跡および表示する方法

Firefoxアドオンsaml-tracerはHTTPSフローを追跡し、SAML応答をデコードおよび解析します<a id="x4" xid="i14.1.1">。</a>https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

ログインURLとは？

[設定]> [セキュリティ管理]の 下のログインURLは、単にHTTP 302リダイレクトです。

IdP Initiated SSOの場合、IdPログイン画面のログインURLを入力します。Coupaアプリケーションは、ユーザーをIdPがホストするログインページにリダイレクトして、ユーザーを認証します。Coupaサインインページはユーザーに表示されません。

SPによって開始されるSSOの場合、IdPでEntityIDがわかっていれば、URLを作成できます。リダイレクトして、SPの開始を開始します。

テスト/ステージング用

https://sso-stg1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <stage_IdP_entityid>&TARGET=https://{your-test_site}.coupahost.com/sessions/saml_post

生産用

https://sso-prd1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <prod_IdP_entityid>&TARGET=https://{your_site}.coupahost.com/sessions/saml_post

CoupaにログアウトURLが必要なのはなぜですか？

Coupaアプリケーションからユーザーがログアウトすると、Coupaはユーザーセッションをクリアし、[設定]-> [セキュリティコントロール]で設定されたログアウトURLにユーザーをリダイレクトします。その単純なリダイレクトであり、SLO実装ではありません。ユーザーがIdPからサインアウトする必要はありません。ログアウトURLは、ユーザーがCoupaアプリケーションを使用して完了した後、内部サイトまたは任意のランディングページにすることができます。

タイムアウトURLとは何ですか？タイムアウトはSAML実装でどのように機能しますか？

Coupaアプリケーションでは、[システム]-> [セキュリティ管理]でセッション有効期限タイムアウトが設定されています。セッションがタイムアウトした後、CoupaはタイムアウトURL（ログインURLと同じ）にリダイレクトし、URLに基づいてIdPまたはSPで開始されたSSOを開始します。ほとんどの場合、タイムアウトURLはログインURLと同じです。ユーザーには、Coupaセッションの有効期限とユーザーに設定されたIdPタイムアウトに基づいて、ログインページが表示されます。

CoupaはIdPユーザーを識別するためにどのような情報を使用しますか？

Coupaは、SAML応答からのNameID値を使用して、対応するCoupaユーザーを検索します。SAMLログインを成功させるには、ユーザー作成中に「シングルサインオンID」を入力する必要があります。シングルサインオンIDは、ユーザーインターフェイスでユーザーを編集するか、Coupa APIを使用してユーザー統合で設定できます。

CoupaにアクセスしてSAMLをバイパスする方法はありますか？

Coupaは、SSO認証プロセスを回避するためにこのサポートインターフェースを提供します。URLは https://{your-site}.coupahost.com/sessions/support_loginです。通常のユーザーは作成時にCoupaでパスワードを設定していない可能性があるため、これは管理者のみを対象としています。これにより、SSO以外でログインすることはできなくなります。オプションで、このサポートインターフェースからログインするためのCoupaパスワードを持つユーザーを作成できます。これは、IdPの一部ではないがCoupaにアクセスする必要があるユーザーに役立ちます。

CoupaがRelayStateを必要とするのはいつですか？

RelayStateはIdPによって開始されたSSOには必須であり、SPによって開始されたSSOには必要ありません。顧客のCoupaインスタンスを識別するには、RelayStateがサービスプロバイダーに必要です。RelayStateは、SAMLResponseに沿ってQueryStringまたは別のPOST変数として渡すことができます。

これにより、ACSのURLの後に次のサフィックスが付きます：/sp/ACS.saml2?RelayState=https://<coupa-instance-domain-name>/sessions/saml_post。

簡単な方法の1つは、ステージまたは本番メタデータXMLで見つけたAssertionConsumerService URLにQueryStateとしてRelayStateを追加することです。

IdPによって開始されるSSOおよびSPによって開始されるSSOのワークフローはどのようなものですか？

http://documentation.pingidentity.com/display/PF/IdP-Initiated+SSO--POST

http://documentation.pingidentity.com/display/PF/SP-Initiated+SSO--POST-POST

ステージと本番用Coupaインスタンス用にSAMLをどのように設定すればよいですか？

CoupaステージのアサーションエンドポイントURL（AssertionConsumerService）はhttps://sso-stg1.coupahost.com/sp/ACS.saml2であり、Coupaプロダクションの場合はhttps://sso-prd1.coupahost.com/sp/ACS.saml2です。SAMLをステージと本番の両方で機能させるには、ステージ用と本番用の2つの接続が必要です。ステージがなく、本番IdPしかない場合でも、CoupaステージとCoupa本番インスタンスの2つの異なる接続を作成できます。RelayStateは、ステージ接続と本番接続では異なります。

SAMLを使用してユーザープロビジョニングを実行できますか？

現在のCoupa SAML設定は認証のみを目的としており、Coupa内でのユーザープロビジョニングは許可されていません。承認はCoupaユーザー役割を介して行われます。SAMLの役割は、ユーザーを認証することです。

Coupaが統合されているIdPシステムは何ですか？

SAML 2.0を実装する任意のIdPシステム。ADFS 2.0、PingFederate、Novell Access Manager、Oracle Access Manager、Tivoli Access Manager、Shibbolethのようなオープンソースプロジェクト、カスタムビルドソリューションなど。現在、IdPサンプルコードは提供していません。オンラインおよびオープンソースプロジェクトから利用できます。