前回の記事では、PingOne for Workforce(以下、単にPingOneと表記)の管理者を管理する方法について紹介しました。管理者の構成ができたところで、今回はSAMLを使ってアプリケーションと連携するまでの方法について紹介します。
Administrators環境とは別に作成された環境を使って行います。
ユーザーとグループの作成
まずは、アプリケーションにサインインするユーザーと、そのユーザーを所属させるグループを作成します。
ユーザーの作成
左メニューの”Directory”から、”Users”を開きます。開いたページの上の方にある、”Users”の右にある “+”ボタンを押します。

作成するユーザーの情報を入れていきます。
最低限必要なのは、Usernameだけなのですが、一通り値を埋めていきます。
- Given Name: 氏名の名
- Family Name: 氏名の氏
- Username: ユーザー名。メールアドレスである必要はない。
- Email: メールアドレス
- Require Email to be Verified: チェックすると、ユーザーを作成したあと、メールアドレスが有効であるかの確認を行うプロセスが実施されます。従業員のユーザーで、メールアドレスが確実に存在していることがわかっている場合は、チェックしないで問題ありません。
- Population: 複数のPopulationがある場合は選択する
- 今回はDefaultしかないので、そのまま
- Authoritative Identity Provider: この環境に、他の認証プロバイダーが登録されている場合は、どれを使って認証するのかを選択できる
- 今回はPingOneしかないので、そのまま。
- Password: フィールドの下にある”Generate Password”をクリックすると、自動生成される。PingOneはパスワードを登録せずにユーザーを作成することもできる。

必要事項を入力した後、”Save”をクリックと作成される。
ユーザーが利用できる属性は、これだけではない。Directory -> User Attributesを参照のこと。
グループの作成
左メニューの”Directory” -> “Groups”を開き、”+”ボタンをクリックします。
- Group Name: 任意のグループ名
- Description: 任意の説明文
- Population: このグループが所属するPopulation。
- 今回は、ユーザーが所属するPopulationがDefaultなので、同じDefault Populationを指定します。

“Save”ボタンをクリックして作成します。
グループができたら、ユーザーを追加します。”Users”タブを開いて、”Add Individually”ボタンをクリックします。

先ほど作成したユーザーにチェックを入れ、”Save”ボタンをクリックします。

ユーザーとグループの作成は以上です。
認証ポリシーの変更
PingOneのデフォルトでは認証ポリシーの設定が不十分なので、適切な形に変更します。
今回はPingOneを使うための一連の流れを説明することが目的なので、必要最低限のポリシーの設定とします。
実際に運用を行う際には、パスワードレス認証など、より高度な設定を推奨します。高度な設定を行うための、PingOne DaVinciの構成については、今後別の記事で紹介したいと思います。
デフォルトポリシーの変更
初期状態では、パスワード認証のみのポリシーがデフォルト設定になっています。さすがにパスワードのみというのは心許ないので、MFAを使うポリシーをデフォルトに変更します。
左メニューの、”Authentication” -> “Authentication”を開くと、認証ポリシーの一覧が表示されます。
“Multi_Factor”と書いてある行の右のアイコンをクリックすると、行が展開して詳細が表示されます。

さらに、右の鉛筆のアイコンをクリックすると、このポリシーを編集する画面になる。

ちょっとわかりづらいですが、左上にある”Make Default”をクリックすると、確認のダイアログが表示されます。”Save”ボタンをクリックすると、このポリシーがデフォルトになります。

MFAポリシーのアップデート
2025年3月時点では、初期状態のMFAポリシーは、FIDO BiometricsとSecurity Keyとなっているのですが、これらは非推奨となり、FIDO2を利用するようにポリシーのアップデートを行います。
左メニューから、”Authentication” -> “MFA”を開きます。
アップデートが必要な場合は、アップデートが必要であるという案内文と、”Update”ボタンが表示されています。もしこの表示がないのであれば、アップデートは不要なので、この後の手順は飛ばします。
“Update”ボタンが表示されている場合は、”Update”ボタンをクリックします。

ダイアログが表示されます。現在は、”Default MFA Policy”のみ存在している状態です。今回は特に設定を変更せず、”I understand”にチェックを入れて、”Save”ボタンをクリックします。

認証設定は以上です。
アプリケーションの作成と設定
テストSPのメタデータの取得
今回は、テスト用のSAML SP https://sptest.iamshowcase.com/ を使います。
上のメニューの “Instructions” -> “IDP initiated SSO” を開きます。

“DOWNLOAD METADATA”ボタンを押すと、XMLファイルが開くので、保存します。
PingOneのアプリケーションの追加と設定
PingOne管理コンソールに戻り、左メニューの”Applications” -> “Application”を開き、”+”ボタンを押します。

作成するアプリケーションの設定をしていきます。
- Application Name: 任意のアプリ名を入力します。
- Application Type: 今回は、SAML Applicationを選択します。
入力できたら、”Configure”ボタンをクリックします。

“Import Metadata”が選択された状態で、”Select a file”をクリックすると、ファイル選択ダイアログが表示されるので、先ほどダウンロードしたメタデータファイルをアップロードします。
成功すると、メタデータの内容として、ACS URLsと、Entity IDが表示されるので、”Save”をクリックします。

アプリケーションが作成できたら、”Access”タブを開きます。下の方に、先ほど作成したグループが表示されているので、チェックを入れて”Save”ボタンをクリックします。

PingOneでは、アプリケーションにユーザーを直接アサインできません。必ずグループをアサインする必要があります。
最後に、アプリケーション一覧から、アプリケーションの右にあるスイッチをクリックして、アプリケーションを有効化します。このスイッチがオンにならないと、このアプリケーションを使うことはできません。

以上で、設定は完了です。
アプリケーションにSSOする
では、これから設定したアプリケーションにSSOします。まず、エンドユーザーのアカウントで、アプリケーションポータルにアクセスしてみます。
アプリケーションポータルにアクセスする
まず、アプリケーションポータルのURLを取得します。PingOne管理コンソールの左メニューから、”Settings” -> “Environment Properties”を”開きます。
下の方に、URLsとして、”Application Portal Url”というのがあるので、このURLをコピーして、アクセスします。

サインインフォームが表示されます。作成したアカウントのユーザー名とパスワードを入力して、”Sign On”ボタンをクリックします。

初回のサインインになるので、パスワードの更新が必要です。今のパスワードと、新しいパスワードを入力して、”Submit”ボタンをクリックします。

パスワードが更新できたら、改めてサインインフォームが表示されるので、新しいパスワードを使ってサインインします。
サインインできると、MFAのためのPingIDのセットアップが要求されます。スマートフォンのPingIDアプリケーションをインストールして、表示されているQRコードを読み込みます。

PingIDアプリでQRコードの読み込みが成功すると、早速認証リクエストが要求されます。PingIDアプリで、認証要求を確認し、応答します。
問題なければ、アプリケーションポータルへのサインインが成功します。
“すべてのアプリケーション”に、作成したアプリケーションが表示されます。このアプリにサインインするには、アイコンをクリックします。

現在の設定では、改めてPingIDの認証が要求されるので応答します。
認証が成功すると、”Hello ‘User ID'”と表示されます。

SAML Subjectのデフォルトは、自動生成されるUUID形式のUser IDとなっているので、このような表示になっています。連携する属性をカスタマイズすることで、別のsubjectを使うことも可能です。
以上です。おつかれさまでした。
まとめ
今回は、PingOneでユーザーの作成から、SAMLアプリケーションへのSSOまでの流れを紹介しました。いくつか、初回だけ行う設定が含まれているので、やや煩雑になっていますが、他のIDaaSと比較して難しいところは無いと思います。