メインコンテンツへスキップ
EK バックエンドは、アイデンティティ プロバイダー (IdP) がアプリケーションとの信頼を自動的に確立するために利用できる パブリック SAML サービス プロバイダー (SP) メタデータ エンドポイントを公開します。これにより、管理者は SSO セットアップ中に SP 構成の詳細を手動で交換する必要がなくなります。 ## 終点 
GET /saml/well-known/sp-metadata
| Property | Value PLACEHOLDER_4 Authentication | None (publicly accessible) PLACEHOLDER_5 Content-Type | PLACEHOLDER_0 PLACEHOLDER_6 Content-Disposition | PLACEHOLDER_1 | ## 目的 IdP (Okta、Azure AD、OneLogin など) と EK の間で SAML SSO を構成する場合、IdP は SP についていくつかのことを知っている必要があります。
  • エンティティ ID — SP の一意の識別子。
  • アサーション コンシューマ サービス (ACS) URL — IdP が SAML 応答を POST する必要がある場所。
  • サポートされている NameID 形式 — IdP がユーザーを識別する方法。
  • 署名証明書 (該当する場合) — IdP が署名された AuthnRequest を検証するために使用できる公開キー。
このエンドポイントでは、管理者がこれらの各値を個別にコピーして貼り付ける必要がなく、すべての値が標準に準拠した単一の SAML 2.0 メタデータ XML ドキュメントで提供されます。管理者は、IdP にこの URL を直接指定することも、XML をダウンロードして IdP にアップロードすることもできます。 セットアップ中にこのエンドポイントを使用する方法の詳細な手順については、SSO Metadata Setup Guide を参照してください。

応答フォーマット

エンドポイントは SAML 2.0 EntityDescriptor ドキュメントを返します。以下に代表的な例を示します。 
<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
                     entityID="https://api.example.com/user/generic/sso/saml/acs/admin">
  <md:SPSSODescriptor AuthnRequestsSigned="true"
                      WantAssertionsSigned="true"
                      protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>MIIC...base64-encoded-cert...</ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                                Location="https://api.example.com/user/generic/sso/saml/acs/admin"
                                index="0"
                                isDefault="true" />
  </md:SPSSODescriptor>
</md:EntityDescriptor>

保証されているコンポーネントとオプションのコンポーネント

保証 (常に存在)

| XML Element / Attribute | Description PLACEHOLDER_30 PLACEHOLDER_0 | The SP entity ID. Defaults to the ACS URL unless PLACEHOLDER_1 is set, in which case that value is used instead. PLACEHOLDER_31 PLACEHOLDER_2 | Container for all SP SSO descriptor information. Always includes PLACEHOLDER_3 and PLACEHOLDER_4. PLACEHOLDER_32 PLACEHOLDER_5 attribute | Always present on PLACEHOLDER_6. Set to PLACEHOLDER_7 when an SP signing certificate is configured, PLACEHOLDER_8 otherwise. PLACEHOLDER_33 PLACEHOLDER_9 | Always PLACEHOLDER_10. EK expects the IdP to provide the user’s email address as the NameID. PLACEHOLDER_34 PLACEHOLDER_11 | The ACS endpoint. Always uses HTTP-POST binding, index PLACEHOLDER_12, and PLACEHOLDER_13. The PLACEHOLDER_14 is derived from the EK backend root URL: PLACEHOLDER_15. |

オプション (条件付きで存在)

| XML Element / Attribute | Condition | Description PLACEHOLDER_35 PLACEHOLDER_16 | Present only when the server is configured with a valid SP signing certificate and key via PLACEHOLDER_17 and PLACEHOLDER_18. | Contains the SP’s X.509 signing certificate so the IdP can verify signed AuthnRequests. When absent, AuthnRequests are sent unsigned and PLACEHOLDER_19 is PLACEHOLDER_20. |

関連する環境変数

| Variable | Effect on Metadata PLACEHOLDER_36 PLACEHOLDER_21 | If set, overrides the default PLACEHOLDER_22 (which is the ACS URL). PLACEHOLDER_37 PLACEHOLDER_23 | Path to the SP’s PEM-encoded X.509 certificate. When set alongside PLACEHOLDER_24, the PLACEHOLDER_25 block is included and PLACEHOLDER_26 becomes PLACEHOLDER_27. PLACEHOLDER_38 PLACEHOLDER_28 | Path to the SP’s PEM-encoded private key. Required alongside PLACEHOLDER_29 for request signing to be enabled. |