RedMica 2.1(Redmine 5.0互換)と Azure AD で SAML認証をする方法

2022.07.06

Azure ADのアプリケーション（シングルサインオン）設定
RedMica(Redmine 5.0互換)のプラグインの設定
動作確認をして気づいたこと

こんにちは。習慣として日曜は晩酌をしてたのですが、月曜の朝「出社したくないでござる（リモートが良いでござる）」病の一因であることに気づき始めたので、しばらく日曜の晩酌はやめようと思っています。
先月から週5日勤務に変更した吉岡です。

今回は RedMica stable-2.1（Redmine 5.0互換）で SAML認証をしてみたので、その方法について紹介したいと思います。

環境・事前準備

Azure AD
RedMica stable-2.1（Redmine 5.0互換）
https://github.com/redmica/redmica/tree/stable-2.1
Redmine OmniAuth SAML plugin（プラグイン）
https://github.com/yoshiokaCB/redmine_omniauth_saml
注）既存のプラグインをフォークして、とりあえずRedMicaで動作するように修正しただけですので、利用される際はご注意ください。

※ RedMicaのインストール方法については特に触れません。
※ Azureアカウント, Active Directorry はすでに設定済みであることが前提です。作成方法等については特に触れません。

設定手順

AzureAD（Idp）の設定

1. エンタープライズアプリケーションの登録

独自アプリケーションの作成
「アプリ名」の入力（任意）
「ギャラリーに見つからないその他のアプリケーションを統合します (ギャラリー以外)」を選択
作成

参考：クイックスタート: エンタープライズアプリケーションを追加する
https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/add-application-portal

2. シングルサインオン

シングルサインオン方式の選択で「SAML」を選択
「基本的な SAML 構成」を編集する
識別子を入力する（ http://localhost:3000/auth/saml/metadata を入力する。）
応答URLを入力する（ http://localhost:3000/auth/saml/callback を入力する。以下の設定ファイル config/initializers/saml.rbの assertion_consumer_service_url と合わせる必要がある。）

参考：クイックスタート: エンタープライズアプリケーションのシングルサインオンを有効にする
https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/add-application-portal-setup-sso

3. ユーザー作成、アプリケーション割り当て

ユーザーを作成する（作成後、プロパティ > 連絡先情報 > メールに利用するメールアドレスを登録。）
ユーザーとグループにアカウントを登録する

参考：クイックスタート: ユーザーアカウントを作成して割り当てる
https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/add-application-portal-assign-users

利用準備

ADの準備ができましたら事前にログインしておきます。
また、後ほどプラグインの設定時に以下の値を使用しますので、メモしておきます。

「拇印」-> idp_cert_fingerprint に使用します。
「ログイン　URL」-> idp_sso_target_url に使用します。
「ログアウト　URL」-> idp_slo_target_url に使用します。

Azure AD シングルサインオン設定画面

RedMica（SP）の設定

Plugin インストール

$ git clone https://github.com/yoshiokaCB/redmine_omniauth_saml.git plugin/redmine_omniauth_saml
$ bundle install
$ rake redmine:plugins

設定ファイル config/initializers/saml.rb を以下を参考に作成します。

sample: config/initializers/saml.rb

Redmine::OmniAuthSAML::Base.configure do |config| config.saml = { :assertion_consumer_service_url => "http://localhost:3000/auth/saml/callback", # ※1 :issuer => "http://localhost:3000/auth/saml/metadata", # ※1 :single_logout_service_url => "http://localhost:3000/auth/saml/sls", # ※1 :signout_url => "http://localhost:3000/auth/saml/sls", # ※1 :idp_sso_target_url => "https://login.microsoftonline.com/*****/saml2", # Azure AD の「ログイン URL」を使用 :idp_cert_fingerprint => "******************", # Azure AD の「拇印」を使用 :name_identifier_format => "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent", :idp_slo_target_url => "https://login.microsoftonline.com/*****/saml2", # Azure AD の「ログアウト URL」を使用 :name_identifier_value => "mail", :login => 'extra raw_info http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name', # ※2 :mail => 'extra raw_info http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name', # ※2 :firstname => 'extra raw_info http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname', # ※2 :lastname => 'extra raw_info http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname' # ※2 } }

config.on_login do |omniauth_hash, user| # Implement any hook you want here end end

※1 ドメイン部分（ポート含む）はIdpのアプリケーション登録に合わせて適宜変更してください。
※2 Idpの環境によって適宜変更してください。

ここまで終われば準備完了です。

動作確認

サーバー起動
```
$ rails server
```
http://localhost:3000/ にアクセスしまずは初期設定の管理者でログインします。
ログイン後、管理 > プラグイン > 設定を順にクリックし、の Redmine OmniAuth SAML の設定画面を表示します。
1,2がチェックされていることを確認します。
チェックがついてない場合はチェックをつけて適用します。

プラグイン設定画面
設定確認が終わりましたらログアウトし、再度ログイン画面に移動します。
表示後、「Login with SAML」ボタンをクリックします。

ログイン画面
自動でログインされれば成功です。
ログイン中のユーザーが新規に登録されたAzure ADの「ユーザープリンシパル名」であることを確認してください。

ログイン後の画面（画面右上にログインIDが表示される）

補足

参考までにログイン時の認証方法についてプラグインの仕様を紹介したいと思います。
以下の順に認証をするようになっています。

Azure ADにログインしているユーザーの「ユーザープリンシパル名」がすでにRedmineのログインIDとして登録されている場合は、そのアカウントでログインされます。
Azure ADにログインしているユーザーのメールアドレスとRedmineに登録されているアカウントのメールアドレスが一致する場合は、そのアカウントでログインします。
上記1,2でアカウントが存在しない場合、「ユーザープリンシパル名」をRedmineのログインIDに使用してアカウント作成され、そのアカウントでログインします。

まとめ

以上、今回は、RedMica 2.1(Redmine 5.0互換)と Azure AD で SAML認証をする方法をご紹介させていただきました。このようにSAMLを使うことでセキュアで、より便利にRedmineにアクセスすることができそうです。

ただ、今回の検証したプラグインでは、以下のような気になる点があることもわかりました。

認証先（Idp）設定情報の保持方法

認証先（Idp）設定情報を Rails.application.config.middleware.use を利用して設定・保持しているため、認証先の情報を変更する場合、都度アプリケーションの再起動が必要になりそう。
特に問題のないように感じるかもしれませんが、弊社のようにSaaSで提供している場合、設定変更で都度アプリケーションの再起動が実行されるとあまり都合の良くないケースが多く、可能であれば接続情報はDBに保持して、動的に反映できると嬉しい。もちろんセキュリティの面をしっかりと考慮する必要はある。

仕様（機能）の整理

例えば、Idpのログアウト用らしきコードが書かれているのですが、ログアウト用のリンクは実装されてなさそう（見落としてたらごめんなさい）。実際にRedmineで利用するのかどうか含めて検討が必要そう。
また、現状ですと一度Idp経由でRedmineのアカウントを作成した後、Idpのアプリケーション側でユーザーの割り当てを解除しても、設定によってはパスワード認証でログインできた。（かなりのレアケースですが、修正した方が良いかも）

使用しているGemの選定

利用しているライブラリー（Gem）で ruby-saml と omniauth-saml が共存している。どちらも同じく Ruby で SAML認証を行うのに利用するGemですが、両方利用する必要がなるのか要確認する。（なるべく余分なものは入れたくない。管理物は減らしたい。）
ruby-saml のみでSAML認証が簡単にできるため、そちらをベースに一からプラグインを作成するのが良さそう。

最後に

と言うことで現在、RedmineでSAML認証できるプラグインを絶賛開発中です。乞うご期待ください！

こちらの記事もオススメです！

	Redmine 5.0で古いプラグインを動作させる方法（Zeitwerk対応） Redmine 5.0ではZeitwerkが採用され、プラグインがZeitwerkに対応していないとRedmine 5.0は起動しません。
	APPS JAPAN 2022にブースを出展しました 2年ぶりに「APPS JAPAN 2022」にブースを出展しました。
	Rails7.0にアプリケーションをアップデートしています社内で開発中のRuby on Rails（以下、Rails）アプリケーションをVer6.1系からVer7.0系にアップデートした手順の一部をご紹介します。
	AWS マネジメントコンソールへのログイン通知（2022年版）証跡をマルチリージョン対応し他のサービスを連携して比較的簡単に対応ができました。
	Redmineに関するオンラインセミナーを始めて1年経ったふりかえりセミナーの開催にあたり準備したことや良かったことをふりかえります。

ファーエンドテクノロジーからのお知らせ（2024/04/17更新）

	入門Redmine 第6版出版記念セミナー「Redmine 8年分の新機能ふりかえり」【2024/4/18開催】入門Redmine 第6版（2024年3月23日発売）に掲載された新機能に関する内容を執筆者・監修者が紹介します。
	My Redmine 初回ご契約で「入門Redmine 第6版」プレゼントのお知らせ Redmineのクラウドサービス「My Redmine」を初めてご契約いただいたお客様にRedmine解説書「入門Redmine 第6版」を進呈いたします。
	2024年度ブランドパートナーに島根県在住のモデルユイさんを継続起用ユイさん（モデルスタジオミューズ所属）をファーエンドテクノロジーの2024年度ブランドパートナーとして継続して起用します。
	My Redmine スタンダードプランおよびAdminサポートデスクプランの料金改定のお知らせ【2024年4月ご利用分より】 2024年4月ご利用分より、My Redmine スタンダードプラン（民間企業・個人向け及び官公庁向け）とAdminサポートデスクプランの料金を改定いたします。
	Redmineの最新情報をメールでお知らせする「Redmine News」配信中新バージョンやセキュリティ修正のリリース情報、そのほか最新情報を迅速にお届け

RedMica 2.1(Redmine 5.0互換)と Azure AD で SAML認証 をする方法