コンテンツにスキップ

NextCloudのアプリ連携

NextCloudのバージョン

NextCloud SSOとSAML認証 プラグイン
24 5.1.2
23 5.0.2
23 5.0.1
23 5.0.0
22 4.1.1

シングルサインオン

SingleIDのアプリ連携設定

  1. SingleID 管理者ポータル>アプリ連携>アプリ一覧画面へ移動します。

  2. カタログ表示ボタンをクリックします。

    Screenshot

  3. アプリカタログが表示されるので、Nextcloudの登録ボタンをクリックします。

    Screenshot

  4. アプリ登録画面がポップアップします。情報タブの名前に、アプリを識別できるような名前を、半角小文字の英数字-(ハイフン)_(アンダースコア)で設定します。

  5. シングルサインオンタブに移動します。

    Screenshot

  6. SSO 有効/無効有効に設定します。

  7. URLに、NextcloudのURLを設定します。(例:https://nextcloud.example.com形式 または https://nextcloud.example.com/index.php形式 )
  8. IdP エンドポイントメタデータダウンロードボタンをクリックし、メタデータを取得します。このメタデータは、Nextcloudの設定を行うときに必要となります。

  9. 登録ボタンをクリックして、アプリを登録します。

    Screenshot

NextcloudのSAML認証設定

  1. Nextcloudへ管理者権限を持つユーザでログインします。

    Screenshot

  2. 画面右上のアイコンをクリックして、プルダウンメニューのアプリを選択し、アプリ画面へ移動します。

    Screenshot

  3. サイドメニューからアクティブなアプリを選択し、SSO & SAML authenticationがアクティブとなっていることを確認します。アクティブなアプリ一覧に表示されていない場合には、アプリをインストールをしてください。

    Screenshot

  4. 画面右上のアイコンをクリックして、プルダウンメニューの設定を選択し、設定画面へ移動します。

    Screenshot

  5. サイドメニューからSSOとSAML認証を選択し、SSOとSAML認証の設定画面へ移動します。

    Screenshot

  6. 以下の内容で設定し、更新をクリックします。

    Nextcloudの設定項目 設定内容
    グローバル設定 Nextcloud デスクトップクライアントにSAML認証を使用する(ユーザーの再認証が必要)
    複数のユーザーのバックエンド(LDAPなど)の使用を許可する
    一般
    UIDをマップする属性 username
    IDプロバイダのオプションの表示名 SingleID ログイン
    Identity Providerデータ
    IdPエンティティの識別子 SingleIDのIdPエンドポイントメタデータのファイルを開きます。
    <md:EntityDescriptor entityID= から始まる行のURLを入力します。

    (例:https://auth-02-0001.poc.singleid.jp/auth/realms/90000013
    SPが認証要求メッセージを送信するIdPのターゲットURI SingleIDのIdPエンドポイントメタデータのファイルを開きます。
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location= から始まる行のURLを入力します。

    (例:https://auth-02-0001.poc.singleid.jp/auth/realms/90000013/protocol/saml
    SPがSLO要求を送信するIdPのURL SingleIDのIdPエンドポイントメタデータのファイルを開きます。
    <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location= から始まる行のURLを入力します。

    (例:https://auth-02-0001.poc.singleid.jp/auth/realms/90000013/protocol/saml
    IdPの公開鍵X.509証明書 SingleIDのIdPエンドポイントメタデータのファイルを開きます。
    <ds:X509Certificate>タグ内のMIIで始まる文字列(例:MIICnzCCAYcCBgF/zubcKTANBgkqhkiG9w0BAQsFADATMREwDw……..)をコピーして、入力します。
    属性のマッピング
    表示名にマップする属性 fullname
    電子メールアドレスにマップする属性 email
    ユーザグループにマップする属性 member

プロビジョニング

NextCloudは、SAMLのJITプロビジョニングに対応しています。上記設定により、NextCloudへユーザが自動的に作成されます。その際、SingleIDのグループ情報もプロビジョニングされます。

NextCloudのシステム管理者の権限をSingleIDのグループのメンバーに付与したい場合には、SingleIDにadminという名前のグループを作成し、権限を付与したいユーザをメンバーとして作成したadminグループに追加してください。

ユーザだけをプロビジョニングしたい場合には、SSOとSAML認証設定のユーザグループにマップする属性に何も設定しないでください。グループ情報はプロビジョニングされません。

プロビジョニングを無効にしたい場合には、SSOとSAML認証の設定画面のグローバル設定にて、ほかのバックエンドにアカウントが存在する場合のみ、認証を許可します。してください。

アプリにユーザ追加

  1. SingleID 管理者ポータル>アプリ連携>アプリ一覧画面へ移動します。
  2. 登録したアプリの列にあるチェックボックスを選択します。

  3. ユーザ追加ボタンをクリックします。

    Screenshot

  4. ユーザ追加画面がポップアップします。アプリへ追加したいユーザ名を選択し、登録ボタンをクリックして、アプリへユーザを追加します。

    Screenshot

動作確認

  1. Nextcloudのログイン画面へアクセスします。

  2. SingleID ログインボタンが追加されていることを確認します。

    Screenshot

  3. SingleID ログインボタンをクリックします。

  4. SingleIDのログイン画面が表示されます。すでに、SingleIDへログイン中であれば、ログイン画面は表示されず、Nextcloudへログインできます。

    Screenshot

ダイレクトログインの無効化

Danger

以下は、ダイレクトログインを無効化する方法です。必ずSAML認証により管理者権限でログインできることを確認できてから、実施するようにしてください。SAML認証ができない状態で、ダイレクトログインを無効化するとNextcloudへログインできなくなります。

SSOとSAML認証の設定画面のグローバル設定複数のユーザーのバックエンド(LDAPなど)の使用を許可する無効にします。 Screenshot

トラブルシューティング

「無効なリダイレクトURIです」と表示される

ログインが、SingleIDにリダイレクトされた際に、SingleIDの画面に、無効なリダイレクトURIですと表示されている場合には、SingleIDのアプリ登録画面で設定するURLの設定が間違っている場合があります。

Screenshot