SSO 認証は Web ステーションでのみサポートされています。ステーションの起動時には、ユーザー認証が必要です。ユーザーは ABBYY FlexiCapture のユーザー名とパスワードで認証できるほか、外部の ID プロバイダー (例: 企業の Active Directory と統合された Azure Active Directory) を介して認証することもできます。
ユーザーが外部 ID プロバイダーを介して認証される際の流れは、次のとおりです。
- ユーザーは [外部サーバー名] でログイン ボタンをクリックします。
- ABBYY FlexiCapture は AuthnRequest メッセージを生成し、それを URL の GET リクエストの SAMLRequest パラメーターに格納して、ID プロバイダーにリクエストを送信します。暗号化された SAML SSO 接続はサポートされていません。
<samlp:AuthnRequest ID=“id81c79c5cecf44dfbbecdc08ae6c6393f” IssueInstant=“2019-07-17T10:59:19Z”
Version=“2.0” xmlns:samlp=“urn:oasis:names:tc:SAML:2.0:protocol”
xmlns=“urn:oasis:names:tc:SAML:2.0:metadata”>
<Issuer xmlns=“urn:oasis:names:tc:SAML:2.0:assertion”>
https://localhost/FlexiCapture12/Login/ten1/AccessToken/Saml</Issuer>
</samlp:AuthnRequest>
| リクエスト ヘッダー | |
|---|
| Host | abbyy.onelogin.com |
| Connection | keep-alive |
| Upgrade-Insecure-Requests | 1 |
| User-Agent | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 |
| Accept | text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/; q=0.8,application/signed-exchange;v=b3 |
| Referer | https://localhost/FlexiCapture12/Login/ten1/ |
| Accept-Encoding | gzip, deflate, br |
| Accept-Language | ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7 |
| リクエスト Cookie | |
| レスポンス データ | |
|---|
| Status | 302 |
| StatusText | Found |
| HttpVersion | HTTP/1.1 |
| RedirectURL | https://abbyy.onelogin.com/login |
| HeadersSize | 967 |
| BodySize | 0 |
| _transferSize | 967 |
| _error | undefined |
| レスポンス ヘッダー | |
|---|
| Cache-Control | no-cache |
| Content-Type | text/html; charset=utf-8 |
| Date | Wed, 17 Jul 2019 07:59:19 GMT |
| Location | https://abbyy.onelogin.com/login |
| P3P | CP=“CAO DSP COR CURa ADMa DEVa OUR IND PHY ONL UNI COM NAV INT DEM PRE” |
| Set-Cookie | sub_session_onelogin.com=BAh7CDoWY29ubmVjdGluZ190b19hcHAiCzk1Mjk0MDo OcmV0dXJuX3RvIgG8aHR0cHM6Ly9hYmJ5eS5vbmVsb2dpbi5jb20vdHJ1c3Qvc 2FtbDIvaHR0cC1yZWRpcmVjdC9zc28vOTUyOTQwP3NhbWxfcmVxdWVzdF 9wYXJhbXNfdG9rZW49Zjk3ZmI2ODA0Mi5jZGU0MDRmMjg4YzY4YzM3MmFlNThj OTM5YWM3Y2U2NjZkYmM0YjAyLjBRQVRxUTA4VjR1V3NQT29GWTZ4dFFqRFQx WEF2S1B0VkhjMjBOcFBubkklM0Q6D3Nlc3Npb25faWQiKTRlYzYwMThlLTg0ZWUtNDE 5YS1iZmZmLWYwOTNiMWRhNDJlMA%3D%3D—da357cb50556cc5bec34d8c4ca372130785c6e6f; path=/; HttpOnly |
| Status | 302 Found |
| Strict-Transport-Security | max-age=63072000 |
| X-Content-Type-Options | nosniff |
| X-Frame-Options | DENY |
| X-Request-Id | 5D2ED557-C3D2939B-C3D9-0A090512-01BB-2C6A237-1F57 |
| X-Xss-Protection | 1; mode=block |
| Content-Length | 98 |
| レスポンス クッキー | |
|---|
| Sub_session_ onelogin.com | BAh7CDoWY29ubmVjdGluZ190b19hcHAiCzk1Mjk0MDoOcmV0dXJuX3RvIgG8aHR0c HM6Ly9hYmJ5eS5vbmVsb2dpbi5jb20vdHJ1c3Qvc2FtbDIvaHR0cC1yZWRpcmVjdC 9zc28vOTUyOTQwP3NhbWxfcmVxdWVzdF9wYXJhbXNfdG9rZW49Zjk3ZmI2ODA 0Mi5jZGU0MDRmMjg4YzY4YzM3MmFlNThjOTM5YWM3Y2U2NjZkYmM0YjAyLjBRQ VRxUTA4VjR1V3NQT29GWTZ4dFFqRFQxWEF2S1B0VkhjMjBOcFBubkklM0Q6D3 Nlc3Npb25faWQiKTRlYzYwMThlLTg0ZWUtNDE5YS1iZmZmLWYwOTNiMWRhNDJlMA% 3D%3D—da357cb50556cc5bec34d8c4ca372130785c6e6f |
- ID プロバイダーがユーザーを認証します。
- 認証に成功すると、ID プロバイダーはアサーションメッセージを生成し、それをリクエストの
SAMLResponse パラメーターに格納して、ABBYY FlexiCapture にリクエストを送り返します。
- アサーションメッセージを含むリクエストは、指定されたユーザーに指定されたステーションへのログインに必要な権限があるかどうかを確認するため、ABBYY FlexiCapture Application Server に送信されます。
- Application Server は、ID プロバイダーから取得した公開証明書を使用してアサーションメッセージを検証し、その後ユーザーを認可します。
- Application Server は必要な処理を実行し、内部の認証チケットを発行します。
- ユーザーには、発行された認証チケットによって適切な Web ステーションへのアクセス権が付与されます。
この機能は、Azure Active Directory、OneLogin、Okta の各 ID プロバイダーを使用してテストされています。
複数の ID プロバイダーを同時に使用できます。たとえば、テナントごとに異なる ID プロバイダーを使用できます。新しい認証方式は、既定で使用されるものを含む既存の方式と併用されます。
