Coupa SAMLのFAQ
このページは機械翻訳を使用して翻訳されています。
CoupaでSAMLを設定するには?
設定を開始するには、このFAQを読み、設定のセットアップのステップ1を完了してください。手順2に記載されているCoupaの実装連絡先の要件を入力してください。CoupaエンジニアはCoupa側でのIdP接続の設定を支援します。設定は完全にセルフサービスではありません。Coupa内の管理者は、SAMLを無効にし、ログインURL、ログアウトURL、タイムアウトURLを変更することができます。
CoupaはどのSAMLプロトコルをサポートしていますか?
SAML V2.0
SAML V2.0仕様はどこにありますか?
SAML応答XMLを検証するにはどうすればよいですか?
http://docs.oasis-open.org/security/saml/v2.0/saml-schema-protocol-2.0.xsd
に対してXMLを確認してください
$ xmllint --noout --schema saml-schema-protocol-2.0.xsd saml_response.xml
SAML応答をデコードする方法
1つのオンラインデコーダーは https://rnd.feide.no/simplesaml/modu...ebug/debug.phpにあります。
SAML応答を追跡および表示する方法
<b id="i8"> </b>Firefoxアドオンsaml-tracerはHTTPSフローを追跡し、SAML応答をデコードおよび解析します<b id="i10"><b id="i9"><a id="x4" xid="i14.1.1">。</a></b></b>https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/
ログインURLとは?
[設定]> [セキュリティ管理]の 下のログインURLは、単にHTTP 302リダイレクトです。
IdP Initiated SSOの場合、IdPログイン画面のログインURLを入力します。Coupaアプリケーションは、ユーザーをIdPがホストするログインページにリダイレクトして、ユーザーを認証します。Coupaサインインページはユーザーに表示されません。
SPによって開始されるSSOの場合、IdPでEntityIDがわかっていれば、URLを作成できます。リダイレクトして、SPの開始を開始します。
テスト/ステージング用
https://sso-stg1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <stage_IdP_entityid>&TARGET=https://{your-test_site}.coupahost.com/sessions/saml_post
生産用
https://sso-prd1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <prod_IdP_entityid>&TARGET=https://{your_site}.coupahost.com/sessions/saml_post
CoupaにログアウトURLが必要なのはなぜですか?
Coupaアプリケーションからユーザーがログアウトすると、Coupaはユーザーセッションをクリアし、[設定]-> [セキュリティコントロール]で設定されたログアウトURLにユーザーをリダイレクトします。その単純なリダイレクトであり、SLO実装ではありません。ユーザーがIdPからサインアウトする必要はありません。ログアウトURLは、ユーザーがCoupaアプリケーションを使用して完了した後、内部サイトまたは任意のランディングページにすることができます。
タイムアウトURLとは何ですか?タイムアウトはSAML実装でどのように機能しますか?
Coupaアプリケーションでは、[システム]-> [セキュリティ管理]でセッション有効期限タイムアウトが設定されています。セッションがタイムアウトした後、CoupaはタイムアウトURL(ログインURLと同じ)にリダイレクトし、URLに基づいてIdPまたはSPで開始されたSSOを開始します。ほとんどの場合、タイムアウトURLはログインURLと同じです。ユーザーには、Coupaセッションの有効期限とユーザーに設定されたIdPタイムアウトに基づいて、ログインページが表示されます。
CoupaはIdPユーザーを識別するためにどのような情報を使用しますか?
Coupaは、SAML応答からのNameID値を使用して、対応するCoupaユーザーを検索します。SAMLログインを成功させるには、ユーザー作成中に「シングルサインオンID」を入力する必要があります。シングルサインオンIDは、ユーザーインターフェイスでユーザーを編集するか、Coupa APIを使用してユーザー統合で設定できます。
CoupaにアクセスしてSAMLをバイパスする方法はありますか?
Coupaは、SSO認証プロセスを回避するためにこのサポートインターフェースを提供します。URLは https://{your-site}.coupahost.com/sessions/support_login
です。通常のユーザーは作成時にCoupaでパスワードを設定していない可能性があるため、これは管理者のみを対象としています。これにより、SSO以外でログインすることはできなくなります。オプションで、このサポートインターフェースからログインするためのCoupaパスワードを持つユーザーを作成できます。これは、IdPの一部ではないがCoupaにアクセスする必要があるユーザーに役立ちます。
CoupaがRelayStateを必要とするのはいつですか?
RelayStateはIdPによって開始されたSSOには必須であり、SPによって開始されたSSOには必要ありません。顧客のCoupaインスタンスを識別するには、RelayStateがサービスプロバイダーに必要です。RelayStateは、SAMLResponseに沿ってQueryStringまたは別のPOST変数として渡すことができます。
これにより、ACSのURLの後に次のサフィックスが付きます:/sp/ACS.saml2?RelayState=https://<coupa-instance-domain-name>/sessions/saml_post
。
簡単な方法の1つは、ステージまたは本番メタデータXMLで見つけたAssertionConsumerService URLにQueryStateとしてRelayStateを追加することです。
IdPによって開始されるSSOおよびSPによって開始されるSSOのワークフローはどのようなものですか?
http://documentation.pingidentity.com/display/PF/IdP-Initiated+SSO--POST
http://documentation.pingidentity.com/display/PF/SP-Initiated+SSO--POST-POST
ステージと本番用Coupaインスタンス用にSAMLをどのように設定すればよいですか?
CoupaステージのアサーションエンドポイントURL(AssertionConsumerService)はhttps://sso-stg1.coupahost.com/sp/ACS.saml2で
あり、Coupaプロダクションの場合はhttps://sso-prd1.coupahost.com/sp/ACS.saml2
です。SAMLをステージと本番の両方で機能させるには、ステージ用と本番用の2つの接続が必要です。ステージがなく、本番IdPしかない場合でも、CoupaステージとCoupa本番インスタンスの2つの異なる接続を作成できます。RelayStateは、ステージ接続と本番接続では異なります。
SAMLを使用してユーザープロビジョニングを実行できますか?
現在のCoupa SAML設定は認証のみを目的としており、Coupa内でのユーザープロビジョニングは許可されていません。承認はCoupaユーザー役割を介して行われます。SAMLの役割は、ユーザーを認証することです。
Coupaが統合されているIdPシステムは何ですか?
SAML 2.0を実装する任意のIdPシステム。ADFS 2.0、PingFederate、Novell Access Manager、Oracle Access Manager、Tivoli Access Manager、Shibbolethのようなオープンソースプロジェクト、カスタムビルドソリューションなど。現在、IdPサンプルコードは提供していません。オンラインおよびオープンソースプロジェクトから利用できます。
Coupaに顧客が提供するサンプルIdPメタデータを探しています。
Test_IDP_Metadata.xmlを参照してください。
サンプルのAuthnRequestとSAMLレスポンスを探しています。
"無効なInResponseTo属性(Hg3Av .............. FG)-非送信請求応答にInResponseToを設定できません。"が表示されます。エラー
そのようなエラーの3つの理由:
- IdP側からのSAML応答は同じ認証トークンを使用しており、SAMLを再生しています
- 同じログインページからの重複SAML POST、たとえば、同じSAML応答を持つ2つのPOST。
- ACS URLにRelayStateを使用し、CoupaでSP-Initiationを使用して、IdP側にPingFederateを設定しました。
1と2は、Firefoxとsaml_tracerプラグインまたはHTTP追跡ツールを使用して検出できます。 3はPingFederateを使用するIdP側で有効です。Coupaを使用するSP-Init設定では、RelayStateを設定しないでください。
SAMLトレースを収集してSSO関連の問題をトラブルシューティングします
サポートの観点から、SAML / SSO認証の失敗に関連するデータを収集する必要がある場合があります。
このために使用できるブラウザベースのツールは2つあり、簡単に使用できます。
Firefox
SAMLトレーサー:https://addons.mozilla.org/en-us/firefox/addon/saml-tracer/
インストールすると、次のスクリーンショットのように表示され、SSO接続を行うときに開く必要があります。
収集する必要のあるデータは、POST *として[SAML]タブにあります。
Chrome
SAMLトレーサー:https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en
インストールすると、Chromeの開発者ツールにタブが追加され、POST *が表示されるので、[SAML]タブを確認する必要があります。
* POSTコールの対象:https://devsso35.coupahost.com
Sandoxおよび開発環境https://prdsso40.coupahost.com
本番インスタンス