Coupa SAMLのFAQ

CoupaでSAMLを設定する方法

設定を開始するには、このFAQをお読みになり、「設定セットアップ」のステップ1を実行してください。手順2に記載されているCoupaの実装連絡先要件を入力します。Coupaエンジニアは、Coupa側でIdP接続の設定をサポートします。設定は完全なセルフサービスではありません。Coupaの管理者は、SAMLを無効にしたり、ログインURL、ログアウトURL、タイムアウトURLを変更したりできます。

CoupaはどのSAMLプロトコルをサポートしていますか？

SAML V2.0

SAML V2.0仕様はどこにありますか？

http://saml.xml.org/saml-specifications

SAML応答XMLを検証するにはどうすればよいですか？

XMLを次の内容で確認してください http://docs.oasis-open.org/security/saml/v2.0/saml-schema-protocol-2.0.xsd

    $ xmllint --noout --schema saml-schema-protocol-2.0.xsd saml_response.xml

SAML応答をデコードする方法

オンラインデコーダはhttps://rnd.feide.no/simplesaml/modu にあります。ebug/debug.php

SAML応答を追跡および表示する方法は？

 Firefox add-on saml-tracerはHTTPSフローを追跡し、SAML応答をデコードおよび解析します https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

ログインURLとは何ですか？

[設定]>[セキュリテ ィ制御]の下のログインURLは、単にHTTP 302リダイレクトです。

IdPによって開始されたSSOの場合、IdPログイン画面のログインURLを入力します。Coupaアプリケーションは、ユーザーを認証するために、ユーザーをIdPホスト型ログインページにリダイレクトします。ユーザーにはCoupaサインインページが表示されません。

SPによって開始されたSSOの場合、SP開始を開始するためにリダイレクトするIdPのEntityIDがわかっていれば、URLを作成できます。

テスト/ステージング用

https://sso-stg1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <stage_IdP_entityid>&TARGET=https://{your-test_site}.coupahost.com/sessions/saml_post

本番用

https://sso-prd1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <prod_IdP_entityid>&TARGET=https://{your_site}.coupahost.com/sessions/saml_post

CoupaにログアウトURLが必要なのはなぜですか？

ユーザーがCoupaアプリケーションからログアウトすると、Coupaはユーザーセッションをクリアし、[設定]>[セキュリティ制御]で設定されたログアウトURLにユーザーをリダイレクトします。単純なリダイレクトであり、SLO実装ではありません。ユーザーがIdPからサインアウトする必要はありません。ログアウトURLは、Coupaアプリケーションを使用して完了すると、ユーザーの内部サイトまたはランディングページになります。

タイムアウトURLとは何ですか？タイムアウトはSAML実装とどのように連携しますか？

Coupaアプリケーションでは、[システム]>[セキュリティ制御]でセッションの有効期限のタイムアウトが設定されています。セッションタイムアウト後、CoupaはタイムアウトURL（ログインURLと同じ）にリダイレクトし、URLに基づいてIdPによって開始されたSSOまたはSPによって開始されたSSOを開始します。ほとんどの場合、タイムアウトURLはログインURLと同じです。ユーザーには、Coupaセッションの期限とユーザーに設定されたIdPタイムアウトに基づいて、ログインページが表示されます。

CoupaはIdPユーザーを識別するためにどのような情報を使用しますか？

Coupaは、SAML応答からのNameID値を使用して、対応するCoupaユーザーを検索します。SAMLログインを成功させるには、ユーザーの作成中に「シングルサインオンID」を指定する必要があります。シングルサインオンIDは、ユーザーインターフェイスでユーザーを編集するか、Coupa APIを使用したユーザーインテグレーションで設定できます。

CoupaにアクセスしてSAMLをバイパスする方法はありますか？

Coupaは、SSO認証プロセスをバイパスするためにこのサポートインターフェイスを提供します。URLはです https://{your-site}.coupahost.com/sessions/support_login。 通常のユーザーは、作成時にCoupaでCoupaパスワードを設定できない場合があるため、管理者のみを対象としています。これにより、SSO以外の方法でログインできなくなります。オプションで、Coupaパスワードを持つユーザーを作成して、このサポートインターフェースからログインできます。これは、IdPの一部ではないが、Coupaにアクセスする必要があるユーザーに役立ちます。

CoupaにRelayStateが必要なのはいつですか？

RelayStateはIdP-Initiated SSOに必要であり、SP-Initiated SSOには必要ありません。RelayStateは、顧客のCoupaインスタンスを識別するためにサービスプロバイダーによって必要です。RelayStateは、QueryStringとして渡すか、SAMLResponseに沿って個別のPOST変数として渡すことができます。

これにより、ACS URLの後に次の接尾辞が付加されます/sp/ACS.saml2?RelayState=https://<coupa-instance-domain-name>/sessions/saml_post。

RelayStateをQueryStringとして、ステージまたは本番のメタデータXMLにあるAssertionConsumerService URLに追加する簡単な方法があります。 

IdP-Initiated SSOとSP-Initiated SSOのワークフローは何ですか？

http://documentation.pingidentity.com/display/PF/IdP-Initiated+SSO--POST

http://documentation.pingidentity.com/display/PF/SP-Initiated+SSO--POST-POST

ステージおよび本番のCoupaインスタンスでSAMLを設定するにはどうすればよいですか？

Coupa Stage用のアサーションエンドポイントURL(AssertionConsumerService)はであり、Coupahttps://sso-stg1.coupahost.com/sp/ACS.saml2本番用はであhttps://sso-prd1.coupahost.com/sp/ACS.saml2る。ステージと本番の両方でSAMLを機能させるには、ステージ用と本番用の2つの接続が必要です。ステージがなく、本番IdPしかない場合でも、CoupaステージとCoupa本番インスタンスに2つの異なる接続を作成できます。RelayStateは、ステージ接続と本番接続で異なります。

SAMLを使用してユーザープロビジョニングを実行できますか？

現在のCoupa SAML設定は認証のためだけのものであり、Coupa内でのユーザーのプロビジョニングではありません。承認はCoupaユーザーの役割を介して行われます。SAMLの役割は、ユーザーを認証することです。

CoupaはどのIdPシステムに統合されていますか？

SAML 2.0を実装するすべてのIdPシステム。ADFS 2.0、PingFederate、Novell Access Manager、Oracle Access Manager、Tivoli Access Manager、Shibbolethなどのオープン・ソース・プロジェクト、カスタム・ビルド・ソリューションなど現在、IdPサンプルコードは提供されていません。オンラインおよびオープンソースプロジェクトから入手できます。

顧客がCoupaに提供するIdPメタデータのサンプルを探しています。

添付のTest_IDP_Metadata.xmlを参照してください。

サンプルのAuthnRequestとSAML応答を探しています。

添付の sample_AuthnRequest_and_SAML_response.xmlを参照してください。

「Invalid InResponseTo」属性(Hg3Av..............FG) – 未承諾の回答にはInResponseToを含めることはできません。」エラー

このようなエラーの3つの理由： 

1. IdP側からのSAML応答は同じAuthnTokenを使用しており、SAMLを再生しています
2. 同じログインページから重複するSAML POST（同じSAML応答を持つ2つのPOSTなど）。
3. ACS URLでRelayStateを使用し、CoupaでSP-Initiationを使用して、IdP側でPingFederateを設定しました。

1と2は、Firefoxとsaml_tracerプラグイン、または任意のHTTP追跡ツールを使用して検出できます。3はPingFederateを使用しているIdP側で有効です。CoupaでSP-Initを設定するためにRelayStateを設定しないでください。

SAMLトレースを収集して、SSO関連の問題のトラブルシューティングを行う

サポートの観点から、SAML / SSO認証失敗に関連するデータを収集する必要がある場合があります。

これには2つのブラウザベースのツールを使用できますが、簡単です。

Firefox

SAMLトレーサ：https://addons.mozilla.org/en-us/firefox/addon/saml-tracer/

インストールすると、次のスクリーンショットのように表示され、SSO接続の実行中に開く必要があります。

収集する必要があるデータは、SAMLタブの下でPOST*として見つかります。

クロム

SAMLトレーサ：https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en

インストールが完了すると、Chromeの開発者ツールにタブが追加され、POST*が表示されるので、SAMLタブを確認する必要があります。

 

*POSTコールの対象：
https://devsso35.coupahost.com Sandoxおよび開発環境
https://prdsso40.coupahost.com 本番インスタンス用