WordPressでSAMLシングルサインオン（SSO）を正しく設定する方法

WordPressサイトにSAMLシングルサインオン（SSO）を設定する方法をお探しですか？

SAML SSO を使用すると、ユーザーは Google Apps や Microsoft Azure AD などの別のサービスから、既存のログイン情報を使用してサイトにログインできます。これにより、ユーザーは時間と手間を省くことができ、特に複数のログインを使用するチームがある場合は、ユーザー・アクセスの管理が容易になります。

この投稿では、WordPressでSAMLシングルサインオンを設定する方法を順を追って紹介する。

SAMLシングルサインオンとは何か？

SAMLとは、Security Assertion Markup Languageの略である。WordPressサイトがGoogleやOffice 365のような他のサービスと通信するための安全な方法です。

対照的に、SSOは個別サインオンを意味する。これは、ユーザーが1つのパスワードで複数のサービスを利用できることを意味する。

SAML SSO を使用すると、ユーザーは、それらのサービスの既存のログイン情報を使用してサイトにログインできます。つまり、ユーザ名やパスワードを覚える必要がなくなり、個別ログインですべてに対応できるようになります。

これは、人々が多くの異なるオンラインプラットフォームを使用する組織や企業にとって特に便利です。例えば、WPBeginnerでは、SSOを使用して、チームメンバーが個別ログインだけで簡単にツールにアクセスできるようにしています。

すべてを念頭に置いて、WordPress で SAML SSO を簡単に設定する方法を見てみよう。チュートリアルのナビゲーションには、以下のクイックリンクを使用できます：

ステップ 1: miniOrange SAML シングルサインオンのインストール

WordPress サイトで SAML SSO を有効化する最も簡単な方法は、miniOrange SAML Single Sign On プラグインを使用することです。

無料で、Google Apps、Okta、OneLogin、Salesforce、Azure B2C、Keycloak、ADFS、Shibboleth 2、Auth0、Sharepointなど、さまざまなIDプロバイダーにサイトを接続できる。

さらにこのプラグインは、ユーザーが個別ログインを使って複数のサイトやアプリケーションにアクセスすることを可能にする。つまり、あなたのチームがアクセスできるようにする必要がある残りのサイトについて、以下の同じ手順を繰り返すことができる。

とはいえ、WordPressのマルチサイトネットワークを運営している場合は、メインのネットワークサイトで一度手順を実行するだけで、SSOはすべてのサイトで自動的に機能します。

まず、プラグインをインストールする必要があります。WordPressプラグインに慣れていない方は、WordPressプラグインのインストールをステップ・バイ・ステップで説明した便利なガイドをご覧ください。

プラグインをインストールしたら、WordPress ダッシュボードに移動し、miniOrange SAML 2.0 SSO ” プラグイン設定に移動します。

次に、「サービス・プロバイダーのメタデータ」タブに切り替える。次のステップでここの情報が必要になるので、このページは開いたままにしておく。

ステップ 2: サイトと ID プロバイダを接続する

プラグインがWordPressにインストールされたので、次はあなたのサイトをSAML IDプロバイダー（SAML IdP）に接続する番だ。

SAML IdP は、ユーザー・アカウントを管理し、ユーザーを認証するサービスである。ユーザーが一度だけログインし、そのログインによって WordPress サイトを含むさまざまなアプリケーションへのアクセスが許可される中央ハブのようなものだと考えてください。

この例では、Google Apps を SAML IdP として使用する。ただし、Google Apps を SAML IdP として使用するには、通常のGmail アカウントとは異なる Google Admin アカウントが必要です。

Google管理者アカウントは、組織のGoogleワークスペースのユーザーと設定を管理します。また、通常@gmail.comの拡張子で終わることはありません。

まず、Google Admin Consoleのページにアクセスします。

サイドバーメニューの「Apps」セクションに移動し、「Web and mobile apps」をクリックする。

ここから、「アプリを追加」のドロップダウンメニューを開きます。

次に、「Add custom SAML app」を選択する。

ここで、カスタム SAML アプリに名前（’miniOrange カスタム SAML’ など）と簡単な説明（’A SAML SSO app for WordPress’ など）を付ける。

問題がなければ、『続ける』をクリックする。

ここでは、WordPress SSOを設定するための2つのオプションが表示されます。

ここでは、IdPメタデータをダウンロードする簡単なオプション（設定1）を使用することにする。この方法は、IdPメタデータを手動で入力し、x509証明書を後でコピー＆ペーストする必要がないため、はるかに速い。

メタデータのダウンロード」をクリックして開始する。

そして、すべて下にスクロールする。

続行」をクリックする。

次のページで、プロバイダーの詳細を入力するフォームが表示されます。

私たちの場合、それがminiOrangeの助けを借りたWordPressサイトです。

さて、WordPressダッシュボードに戻り、「サービスプロバイダーメタデータ」タブでminiOrangeプラグインページを開いたままにしておきます。

下にスクロールして、サービスプロバイダーの情報（ACS URL とエンティティ ID）を見つけます。このページと Google Admin Console を行ったり来たりする必要があるため、このページを開いておいてください。

Google Admin Consoleに戻り、この情報を対応するフィールドにコピー＆ペーストする。

また、「Signed response」欄にも必ずチェックを入れてください。

ページを下に移動し、名前IDのフォーマットで「EMAIL」を選択し、名前IDで「Basic Information > Primary email」を選択する。

そして、『続ける』をクリックする。

次のステップでは、ユーザーフィールドを追加し、GoogleディレクトリとWordPressサイト（miniOrangeプラグイン）の間でマッピングします。

これは要するに、Googleアカウントのどの情報をWordPressサイトに転送するかを選ぶようなものだ。

Add Mapping’をクリックしてスターにする。次に、Googleから’First Name’フィールドを追加し、’firstname’属性にマッピングしてみましょう。

必要なフィールドのマッピングが終わったら、下にスクロールします。

そして、『Finish』をクリックする。

Google Admin Console のカスタム SAML アプリのページに移動します。

最後のステップは、ユーザーに対してアプリを有効化することです。そこで、先に進み、「全員にOFF」をクリックしてください。

あとは、『全員にオン』に切り替えるだけだ。

最後に「Save」を押して設定を確定する。

ステップ 3: WordPress SAML SSO の設定

WordPress管理エリアのminiOrange SSOプラグインページに戻りましょう。

ここで、「サービスプロバイダーの設定」タブに切り替え、「Google Apps」を選択する。

下にスクロールし、「IDPメタデータのアップロード」タブに移動します。

ここで、IDプロバイダー名（おそらく’GoogleApps’のようなもの）を入力し、先ほどGoogle Admin ConsoleからダウンロードしたXMLファイルをアップロードする必要があります。

すべて入力したら、「アップロード」をクリックする。

おめでとうございます！WordPress ブログと Google Apps SAML IdP の接続が完了しました。それでは、追加の設定を行いましょう。

まず、「属性／権限マッピング」タブに切り替える。

ここでは、Google Appsのユーザー情報をWordPressのユーザーアカウントにマッピングする方法を定義できます。

Role Mapping」セクションまでスクロールダウンし、SAML SSO を使用してサインインする新規ユーザに割り当てる初期ユーザ・ロールを選択します。

この例では「エディター」を選択しています。選択したら『更新』をクリックしてください。

次に、「Redirection & SSO Links」タブに切り替える。

WordPressのログインページに便利な個別サインオンボタンを追加して、ユーザーの利便性を高めることができます。

WordPressのログインページに個別サインオンボタンを追加する」というオプションが有効化されていることを確認してください。

この小さな変更により、WordPressのログイン画面に「[IDプロバイダー名]でログイン」ボタンが追加され、ユーザーが既存のGoogle Apps認証情報でログインしやすくなります。

私たちのはこんな感じだ：

WordPress SAMLシングルサインオン：よくある質問

WordPress SAML SSO を設定する手順を説明しましたが、まだいくつか質問があるかもしれません。よくある質問を見てみましょう：

SAMLとSSOは同じか？

いいえ、SAML と SSO は同じではありません。SAML（Security Assertion Markup Language）は、SSOを実装するために使用される特定のプロトコルである。

SSO を実現する方法は、SAML を使う以外にもある。しかし、SAML は、WordPress を含むさまざまなアプリケーションで SSO を実装するための、一般的で安全なオプションです。

SAML SSOとプラグインによるワンクリックログインの違いは何ですか？

はい、ワンクリック機能を提供するWordPressログインプラグインがあり、これはSAML SSOに比べてはるかにシンプルなオプションです。

重要な違いは、その仕組みにある。SAML SSO は、Google 管理コンソールにセキュアな通信のためのカスタムアプリを作成する必要があります。より多くの設定が必要ですが、よりセキュリティが高く、ユーザーを一元管理できます。

一方、ワンクリックログインプラグインはOAuthのような既存のプロトコルを使ってGoogleのようなサービスと接続する。Google の管理者権限は必要ないが、SAML SSO と同じレベルのセキュリティは提供できないかもしれない。

SSOとソーシャルログインは同じですか？

ソーシャルログインはSSOの一種で、ユーザーが既存のソーシャルメディア情報（Facebookなど）を使ってWordPressサイトにログインできるようにするものです。一方、SAML SSO はより安全で柔軟なオプションで、ソーシャルメディアプラットフォームだけでなく、より幅広い ID プロバイダーで使用できます。

WordPressサイトにソーシャルログインオプションを追加する方法については、WordPressにソーシャルログインを追加する方法をご覧ください。

ログインをより安全にするWordPressセキュリティのヒント

SAML SSOログインはかなり安全ですが、WordPressのセキュリティをさらに強化するために実装できる追加のヒントをいくつか紹介します：

• WordPressユーザーに強力なパスワードを強制しましょう。
• 2要素認証(2FA)を有効化し、さらに強固な保護を。
• ブルートフォース攻撃を防ぐためにログイン試行回数を制限する。
• ログインログを監視して、不審なログインの試みに注意してください。
• IPアドレスでWordPress管理エリアへのアクセスを制限します。
• セキュリティ侵害に備えて、WordPressサイトを定期的にバックアップしましょう。
• WordPressのコア、プラグイン、テーマを更新し、セキュリティの脆弱性に対処しましょう。
• すべてのユーザーを強制ログアウトさせ、WordPressのパスワードを時々変更させる。

この投稿が、WordPress で SAML SSO を設定する方法を学ぶのにお役に立てば幸いです。あなたのサイトに無料のSSL証明書を取得する方法についてのガイドと、あなたのウェブサイトを成長させるために必要なWordPressプラグインを専門家が選んだ記事もご覧ください。

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.