SHANON MARKETING PLATFORM 管理者シングルサインオン機能ユーザーマニュアル 管理者シングルサインオン機能ユーザーマニュアル Ver /06/01 株式会社シャノン Copyright SHANON Co., Ltd. All Rights Reserved.

   

 

管理者シングルサインオン機能 

ユーザーマニュアル 

    Ver 1.1

 

                                                    2018/06/01  株式会社シャノン     

目次 

目次  1. 概要  1-1. このマニュアルについて  1-2. 本機能の概要  1-3. 用語と略称について  2. 基本仕様  2-1. 技術仕様  2-2. 制約事項  2-3. 動作確認済の製品・サービス  2-3-1. 動作確認済のIDプロバイダ  2-4. パラメータ  2-4-1. SMPをサービスプロバイダとして利用するときのパラメータ  3. 管理ユーザーのID体系の設計  3-1. ユーザーの照合について  3-2. ID体系を設計する前に調べておくこと  3-3. ID体系の設計  3-4. ID体系の設計例  3-4-1. SMPを新規導入し、ほぼシングルサインオンだけで運用する場合  3-4-2. SMPを新規導入し、シングルサインオンと直接ログインを併用する場合  3-4-3. 独自のID体系を持つ既存のSMPをシングルサインオンに全面移行する場合  4. 設定手順  4-1. 一般的な設定手順  4-1-1. SMPの管理者シングルサインオン機能の有効化  4-1-2. SMPの情報をIDプロバイダ側に登録  4-1-3. IDプロバイダの情報をSMP側に登録  4-1-4. シングルサインオンのテスト  4-1-5. 管理ユーザーのプロビジョニング  4-1-6. 運用開始  4-2. 管理者シングルサインオン設定画面  4-2-1. 管理者シングルサインオン設定画面の開き方  4-2-2. 管理者シングルサインオン設定画面  4-2-3. 管理者シングルサインオン設定編集画面  4-3. 管理ユーザーのプロビジョニング  4-3-1. 管理ユーザーの登録  4-3-2. 管理ユーザー単位でのシングルサインオン設定  5. 注意事項  5-1. セキュリティに関する注意事項  5-2. その他の注意事項 

6. トラブルシューティング  6-1. すべてのユーザーでシングルサインオンできない場合  6-2. 一部のユーザーでシングルサインオンできない場合  付録  A. サービスプロバイダ起点のシングルサインオン (試用版)  A-1. サービスプロバイダ起点のシングルサインオンとは  A-2. サービスプロバイダ起点のシングルサインオンの流れ  A-3. サービスプロバイダ起点のシングルサインオンの設定方法        ※本マニュアルに記載されている会社名、製品名は、それぞれ各社の商標および登録商標です。     

1. 概要

 

1-1. このマニュアルについて 

このマニュアルは、SHANON MARKETING PLATFORM （以下、SMP） の管理者シングルサインオン機能 （以下、 本機能） について、製品仕様と利用方法を解説するための文書です。  本機能の導入検討、および設定内容の検討などにご利用ください。    本マニュアルは、企業向け情報システムにおけるユーザー認証の仕組みと、一般的なシングルサインオンの動 作原理について、ある程度の知識を有する方を対象に作成しております。本機能で使用する各種規格やプロトコ ル等については、それぞれの策定団体・企業等から提供されるドキュメントをご参照ください。  また、本機能のご利用にあたっては、連携先となるシステムや製品、サービスの仕様や制約事項等についても、 十分理解しておく必要があります。連携先のシステムや製品、サービスから提供されている各種ドキュメントも、 併せてご利用ください。   

1-2. 本機能の概要 

本機能は、SMP管理画面のユーザー認証において、シングルサインオンを利用可能にするためのものです。  本機能を有効にすると、SMP管理画面のユーザー認証の一部を、SMPの外部にあるシステムに委託できるよう になります。  例えば、社内システムのID・パスワード認証機能を利用し、そのまま SMP管理画面にログインできます。    本機能を利用して、ユーザー認証を1つのシステムに集約すると、以下のようなメリットが得られます。  ● アカウント管理の省力化  ○ システム管理者は、SMP管理画面専用のID・パスワードをユーザーに配布する必要がなくなり ます。  ○ システム管理者は、SMPを含めたアクセス可否を1ヶ所で集中管理できるようになります。  ● セキュリティの向上  ○ ユーザー認証を集約したシステム側に、多要素認証や生体認証などの高度な認証技術を導入 すると、シングルサインオン時にも高度な認証技術を適用できます。このため、シングルサイン オン先も含めて、セキュリティ水準を全体的に底上げしやすくなります。  ○ 人事異動や退職に伴うアカウントの停止・削除作業も集約できるため、アカウントの停止漏れに 起因する情報漏洩リスクを軽減することができます。  ● SMP管理画面ユーザーの利便性の向上  ○ ユーザーは、SMP管理画面専用のID・パスワードを覚える必要がなくなります。  ○ 認証済みのユーザーは、ID・パスワードを入力することなくSMPを利用できるようになります。    また、本機能には以下のような特徴があります。  ● SAML 2.0 規格に準拠  ○ 企業向けシステムにおけるシングルサインオンの標準規格として広く普及している SAML 

(Security Assertion Markup Language) 2.0 に準拠しています。 

SMPは、SAML 2.0 におけるサービスプロバイダ (SP) として動作します。  ● シングルサインオンと直接ログインを併用可能  ○ 1つのSMPドメインの中で、外部システムによるユーザー認証 (シングルサインオン) と、SMP内 のID・パスワードによるユーザー認証 (直接ログイン) を併用することができます。  ○ 業務委託先や臨時従業員に対して、ユーザー認証を行う外部システムのアカウントを割り当て られない場合でも、SMPに登録したID・パスワードで直接ログインさせることが可能です。 

○ 管理ユーザー単位で、ログインを許可する経路 (シングルサインオン・直接ログイン) を指定で きるほか、両方の経路からのログインを許可することもできます。  これにより、従来の直接ログインからシングルサインオンへの段階的な移行が容易になります。     

1-3. 用語と略称について 

本マニュアルにおける用語、および略称について説明します。    用語と略称  意味  シングルサインオン  (SSO)  一度のユーザー認証処理で、異なる複数のシステムへアクセス可能にすること。  IDプロバイダ  (IdP)  アカウントを管理し、ユーザー認証処理を担当するシステムのこと。  サービスプロバイダと信頼関係を構築し、ユーザー認証の処理を代行する。  サービスプロバイダ  (SP)  ユーザーに対してサービスやアプリケーションを提供する側のシステムのこと。  IDプロバイダと信頼関係を構築し、ユーザー認証の処理をIDプロバイダに委託する。  SMP管理ユーザー  SMPの管理画面を利用できるユーザーのこと。  シングルサインオン経由でログインする場合も、直接ログインする場合も、SMP上で はどちらも管理ユーザーとして同列に扱う。  直接ログイン  シングルサインオンを利用せず、SMPに対して直接ログインすること。  ユーザー認証の処理はSMPが担当し、SMPに登録された管理ユーザーのログインID とパスワードを用いてログインする。直接ログインにIDプロバイダは関与しない。  ログイン経路  SMP管理ユーザーがログインするときに利用した認証経路のこと。  SMP の場合、「シングルサインオン経由」と「直接ログイン」の2つの経路がある。  SAML 

Security Assertion Markup Language の略。シングルサインオンを実現するための標 準規格で、多くの製品・サービスで採用されている。詳しくは以下のURLを参照。  https://wiki.oasis-open.org/security/  SAMLアサーション  IDプロバイダがユーザー認証を行った結果をXML文書の形式で記述したもの。  IDプロバイダが発行したSAMLアサーションをサービスプロバイダが受け取り、署名検 証と解釈を行うことで、シングルサインオンが実現される。  プロビジョニング  シングルサインオン対象となるユーザーの情報を、あらかじめサービスプロバイダ側 に登録しておく作業のこと。所属グループやロールの設定なども含む。                 

2. 基本仕様

  本章では、本機能の基本的な仕様について記載します。   

2-1. 技術仕様

  本機能の技術的な仕様は、以下の通りです。    【シングルサインオン仕様】  ● SAML 2.0 に準拠したシングルサインオンができます。  ○ SAMLプロファイルのうち、Web ブラウザ SSO プロファイルに対応します。  ○ SMPは、SAML 2.0のサービスプロバイダ (SP) として振る舞います。 

● IDプロバイダ側を起点とするシングルサインオン (IdP-initiated SSO) に対応しています。 

○ SMP側を起点とするシングルサインオン (SP-initiated SSO) は試用版として試験提供中で、サ ポート対象外です。  詳しくは、付録A1. 「サービスプロバイダ起点のシングルサインオン (試用版)」をご覧ください。    【SAMLアサーション仕様】  ● IDプロバイダからのレスポンスは、HTTP POST で受け付けます。  ● SMPは、IDプロバイダ発行の証明書を利用して、レスポンスに含まれるSAMLアサーションの署名を検証 します。SMPは、署名の検証に成功した場合のみ、シングルサインオンを受け入れます。  ○ SAMLアサーションには、IDプロバイダによる署名が必須です。  ○ SAMLアサーションを対象範囲とした署名について検証を行います。レスポンス全体に対する署 名には対応していません。 

● SMPは、SAMLアサーションの Subject 内にある NameIdentifier (NameID) 要素の文字列を用いて、SMP 側の管理ユーザーと照合します。  ○ 照合対象とする管理ユーザーの項目は、「ログインID」と「外部IDプロバイダ用ユーザ識別子」の いずれか1つです。詳しくは3-1. 「ユーザーの照合について」をご覧ください。  ● 署名検証に用いるIDプロバイダ発行の証明書は、Base64エンコードされた形式に対応しています。  ● 本機能では、SAMLアサーションの属性 (AttributeAssertion) は利用しません。    【その他の技術仕様】  ● シングルサインオンに関わるSMPのすべてのリクエストとレスポンスには、SSLを使用します。     

2-2. 制約事項

  本機能では実現できないことや、本機能を利用する際の条件など、制約事項について記載します。    【本機能では実現できないこと】  本機能は、以下の各項に対応しておりません。  ● SAMLプロファイルのうち、Webシングルログアウトプロファイルには対応していません。  ○ SMPをログアウトしても、IDプロバイダ側のログイン状態は維持されています。  ○ IDプロバイダ側でログアウトしても、SMPのログイン状態は維持されています。  ● SAMLアサーションの暗号化には対応していません。    【本機能をご利用いただくための前提条件】 

本機能をご利用いただくには、以下の前提条件があります。  ● SMP上のパスワードが暗号化されている必要があります。    【本機能をご利用いただく上での制約事項】  本機能をご利用いただく場合、以下のような制約があります。  ● 本機能は、SMPの以下の機能と併用することができません。  ○ サイト認証機能  ○ クローズドサイト  ● 以下の機能・サービスは、シングルサインオン経由のログインでご利用いただくことができません。  ○ Tableau Desktop アプリ  ○ 「SMP名刺スキャン」アプリ (Windows用)  ○ シャノン名刺アプリ (スマートフォン用)  SMP側に登録されたID・パスワードによるログインにてご利用ください。  ● 本機能と、ユーザ認証API (authapi.login) による管理者の認証機能を併用する場合、先にシングルサイ ンオン経由のログインを済ませてからユーザ認証APIを利用する必要があります。  SMPへのログインが済んでいない状態でユーザ認証APIを利用する場合、直接ログインのみ可能です。  ● 本機能の設定を終えた後にSMPのドメイン名を変更した場合、シングルサインオンの設定を最初からや り直す必要があります。  ● 本機能をSMPのSandbox環境でご利用いただく場合、ログイン経路を問わずBasic認証も適用されます。     

2-3. 動作確認済の製品・サービス

  他社の製品・サービスと組み合わせた動作確認状況は、以下の通りです。   

2-3-1. 動作確認済のIDプロバイダ 

2018年5月時点で、以下のIDプロバイダとの組み合わせによるシングルサインオンの動作を確認済です。   

● Azure Active Directory (Microsoft) 

○ SMPをサービスプロバイダとして設定するには、Azure Active Directory の Premium P1/P2 エ ディションのライセンスが必要です。Free および Basic エディションでは設定ができません。  ● G Suite (Google)  ● Salesforce (salesforce.com)    【注意】  ● 上記の製品・サービスは、実稼働環境に対して一般的な設定を行った際の動作実績に基づいて記載し ております。SMPと組み合わせてご利用いただくにあたり、お客様のご利用環境によっては、IDプロバイ ダやネットワークなどの設定変更が必要となる可能性があります。  ● 上記の製品・サービスにおいて、バージョンアップや仕様変更が行われた場合も、本機能の動作に影響 が及ぶ可能性があります。     

2-4. パラメータ

  設定時には、以下のパラメータをご利用ください。   

2-4-1. SMPをサービスプロバイダとして利用するときのパラメータ 

IDプロバイダ側に対して、以下のパラメータを設定してください。    パラメータ名  値  SPエンティティID  _{https://<SMPドメイン名>/public/admin/saml} コンシューマーURL  https://<SMPドメイン名>/public/admin/saml/consume   【注意】  ● 末尾に / (スラッシュ) は付加しないでください。  ● IDプロバイダによって、パラメータの呼称が異なります。  例えば、SPエンティティIDは「SP識別子」、コンシューマーURLは「応答URL」「ACS URL」などと表記され ることがあります。  ● SPメタデータは提供しておりません。上記パラメータを手動にて設定していただく必要があります。   

 

 

3. 管理ユーザーのID体系の設計

  本章では、SMP管理ユーザーのID体系の決め方について説明します。  シングルサインオンの運用開始後に管理ユーザーのID体系を変更するには、多大な労力を要します。シングル サインオンの設定作業に着手する前に、まずはユースケースに適するID体系を設計することを推奨します。   

3-1. ユーザーの照合について

  シングルサインオンを行うとき、IDプロバイダはユーザー認証・認可の処理結果に基づきSAMLアサーションを発 行します。サービスプロバイダであるSMPは、受け取ったSAMLアサーションを検証し、SMP内に登録された管理 ユーザーがログインしたものとして読み替えてアクセスを受け容れます。  このとき、SMPでは「IDプロバイダ側で認証・認可されたユーザーに対応するSMP管理ユーザーを探す」処理を行 います。これを「ユーザーの照合」と呼びます。    ユーザーの照合を行う際、SMPは以下の値を使用します。 

● IDプロバイダ側のユーザー ：SAMLアサーションの Subject に含まれる NameIdentifier の文字列 

● SMP側の管理ユーザー ：「ログインID」または「外部IDプロバイダ用ユーザ識別子」の文字列  　(管理者シングルサインオン設定画面でいずれかを選択)   

3-2. ID体系を設計する前に調べておくこと

  ID体系を設計する前に、以下の各項を決定、または調査してください。    ● IDプロバイダ側で用いているID体系  ○ IDプロバイダ側が、どのようなID体系を用いているかをお調べください。  一般的には、ログイン画面にIDとして入力する文字列の形式で判別できます。  ■ (例) メールアドレス  ■ (例) メールアドレスの @ (アットマーク) より前の部分  ■ (例) 社員番号  ● IDプロバイダがSAMLアサーションの NameIdentifier に出力できる値  ○ SAMLアサーションの NameIdentifier にどのような値を出力できるかをお調べください。  出力できる値は、採用している製品・サービスのほか、個社ごとの利用形態によっても異なりま すので、IDプロバイダを管理しているシステム管理者の方にお問い合わせください。  ○ 一般的に、ログイン画面にIDとして入力する文字列は、そのまま出力できることが多いです。  また、製品・サービスによっては別の値を出力できることもあります。  ● シングルサインオンと直接ログインの併用の有無    また、すでにSMPをご利用いただいているドメインで、管理者シングルサインオン機能の利用を開始する場合は、 以下の各項についても調査してください。    ● 既存のSMP管理ユーザーのID体系  ● SMPのシステム設定における「認証ログインキー」の設定内容     

3-3. ID体系の設計

  ID体系を設計する前に、以下の各項を決定、または調査してください。   

 

3-4. ID体系の設計例

  一般的なユースケースに合わせたID体系の設計例を記載します。  個別の要求事項や制約事項を考慮したうえで、適宜アレンジしてご利用ください。   

3-4-1. SMPを新規導入し、ほぼシングルサインオンだけで運用する場合 

システム管理者を除き、原則としてシングルサインオン経由でログインするケースです。  IDプロバイダ側がメールアドレス主体のID体系で運営されている場合は、ユーザー照合に使用する文字列も含 め、メールアドレスで統一しておくことを推奨します。    ● IDプロバイダのID体系 ：メールアドレスでログイン  ● NameIdentifier の出力値 ：メールアドレスを出力  ● SMP管理ユーザーのID体系 ：ログインIDにEmailの文字列を使用  ● ユーザ照合項目の設定 ：ログインIDで照合  ● 外部IDプロバイダ用ユーザ識別子：すべて空欄    【備考】  ● 上記例では、SMPのシステム設定の「認証ログインキー」は「login_id」に設定し、ログインID欄にメールア ドレスの文字列を登録することを推奨します。「認証ログインキー」を「email」に設定してもシングルサイン オンは利用可能ですが、あとでシングルサインオンと直接ログインを併用するのが難しくなります。   

3-4-2. SMPを新規導入し、シングルサインオンと直接ログインを併用する場合 

IDプロバイダ側がメールアドレス主体のID体系で運営されており、社員はシングルサインオン経由でログインする ものの、SMPを操作する一部の業務委託先にはIDプロバイダ側のアカウントが発行されていないため、業務委託 先の担当者はSMPに直接ログインするようなケースです。  この場合も、ログインIDの項目に登録されたメールアドレスの文字列でユーザー照合することを推奨しますが、直 接ログインする管理ユーザーとログインIDの文字列が衝突しないように注意してください。    ● IDプロバイダのID体系 ：メールアドレスでログイン  ● NameIdentifier の出力値 ：メールアドレスを出力  ● SMP管理ユーザーのID体系 ：社員はEmailの文字列、業務委託先はEmailではない文字列  ● ユーザ照合項目の設定 ：ログインIDで照合  ● 外部IDプロバイダ用ユーザ識別子：すべて空欄    【備考】  ● 上記例では、SMPのシステム設定の「認証ログインキー」は「login_id」に設定し、ログインID欄にメールア ドレスの文字列を登録することを推奨します。「認証ログインキー」を「email」に設定した場合、SMPに直 接ログインする業務委託先ユーザーにも何らかのメールアドレスを登録する必要が生じます。   

3-4-3. 独自のID体系を持つ既存のSMPをシングルサインオンに全面移行する場合 

既存のSMPドメインを、原則としてシングルサインオン経由のログインに移行するケースです。  IDプロバイダ側がメールアドレス主体で運営されているのに対し、SMPの既存の管理ユーザーはこれと異なる独 自のID体系で運営されてきました。  この場合、管理ユーザーの「外部IDプロバイダ用ユーザ識別子」にメールアドレスの文字列を登録してユーザー 照合に利用することで、SMP側のログインID体系を変更することなくシングルサインオンに移行できます。   

● IDプロバイダのID体系 ：メールアドレスでログイン  ● NameIdentifier の出力値 ：メールアドレスを出力  ● SMP管理ユーザーのID体系 ：以前から使ってきた独自の文字列  ● ユーザ照合項目の設定 ：ユーザ識別子で照合  ● 外部IDプロバイダ用ユーザ識別子：メールアドレスの文字列を登録       

4. 設定手順

  本章では、SMP管理者シングルサインオン機能の設定手順について記載します。  外部のIDプロバイダを利用し、SMPをサービスプロバイダとするときの設定手順を解説します。   

4-1. 一般的な設定手順

  外部のIDプロバイダとの間でシングルサインオンを実現するための一般的な設定手順は、以下の通りです。    ● 1. SMPの管理者シングルサインオン機能を有効化  ● 2. SMPの情報をIDプロバイダ側に登録  ● 3. IDプロバイダの情報をSMP側に登録  ● 4. シングルサインオンをテスト  ● 5. 管理ユーザーのプロビジョニング  ● 6. シングルサインオンの運用開始    IDプロバイダによっては、上記の手順が一部入れ替わることがあります。    なお、すでにSMPをご利用いただいているお客様が本機能をご利用になる場合は、まずSMPのSandbox環境にて 上記手順の 1～4 を実行し、シングルサインオンの可否を検証していただくことを強く推奨いたします。  検証の結果に問題がなければ、実運用環境で上記手順の 1～6 を実施してください。   

4-1-1. SMPの管理者シングルサインオン機能の有効化 

まず、SMPの管理者シングルサインオン機能を有効化します。  ● SMP管理画面で「設定」タブを選択したとき、左側のメニューに「管理者シングルサインオン設定」のリン クが表示されていれば、本機能はご利用いただけます。  ● 上記のリンクが表示されていない場合は、「ロール設定」のメニューより、「管理者シングルサインオン設 定」の画面をONに変更し、アクセスを許可してください。この画面内に「管理者シングルサインオン設定」 の設定項目が見つからない場合は、弊社営業担当までお問い合わせください。   

4-1-2. SMPの情報をIDプロバイダ側に登録 

次に、IDプロバイダ側にSMPの情報を登録します。  ● IDプロバイダ側としたいシステムで、SAML 2.0 に基づくIDプロバイダとしての機能が有効化されていない 場合は、まず機能を有効化してください。  ● 次いで、新しいサービスプロバイダとして SMP を登録します。  2-4-1. 「SMPをSPとして利用するときのパラメータ」に記載されたパラメータを使用して、サービスプロバ イダを登録してください。設定項目名や操作手順は、IDプロバイダごとに異なります。IDプロバイダ側とな る製品・サービスの説明書やヘルプなどをよくお読みください。  ● サービスプロバイダ情報を登録したら、IDプロバイダから設定パラメータと証明書を入手してください。  通常は、どちらもIDプロバイダ側の設定画面から入手可能です。この設定パラメータと証明書は、IDプロ バイダ情報として、サービスプロバイダであるSMPに登録します。   

4-1-3. IDプロバイダの情報をSMP側に登録 

IDプロバイダ側での登録作業が終わったら、今度はIDプロバイダの情報をSMP側に登録します。  ● IDプロバイダから入手した設定パラメータと証明書を、管理者シングルサインオン設定画面に登録してく ださい。証明書はファイルをアップロードします。  具体的な設定画面の操作手順は、4-2. 「管理者シングルサインオン設定画面」をご覧ください。 

 

4-1-4. シングルサインオンのテスト 

IDプロバイダとサービスプロバイダの両方の設定が終わったら、シングルサインオンをテストします。  テストの手順は以下の通りです。  ● IDプロバイダ側に、テスト用アカウントを用意してください。  ● SMP側に、テスト用の管理ユーザーを登録してください。  ○ ユーザー照合にログインIDを利用する場合、テスト用管理ユーザーのログインIDは、IDプロバイ ダが出力するNameIdentifierと同じ値を使用してください。  ○ ユーザー照合に「外部IDプロバイダ用のユーザ識別子」を利用する場合、IDプロバイダが出力 するNameIdentifierと同じ値を、テスト用管理ユーザーの「外部IDプロバイダ用のユーザ識別子」 に登録しておいてください。  ● テスト用の管理ユーザーの設定を変更し、「外部IDプロバイダ経由のログイン」を「許可する」に設定して ください。  ● テストするブラウザでSMPにログインしている場合は、SMPからログアウトしてください。  ● テスト用アカウントでIDプロバイダにログインした後、シングルサインオン用のリンクを経由して、SMPへ のログインができることを確認してください。    テストが正常に完了したら、正式運用開始に向けたプロビジョニングを行います。   

4-1-5. 管理ユーザーのプロビジョニング 

シングルサインオンの対象となるSMP管理ユーザーを、あらかじめSMP側に準備しておきます。  新しいSMP管理ユーザーとして登録するほか、既存のSMP管理ユーザーを利用することもできます。ユーザー情 報を登録・更新し、適切なロールを割り当てておきます。  具体的な作業手順については、4-3. 「管理ユーザーのプロビジョニング」をご覧ください。   

4-1-6. 運用開始 

プロビジョニングが終わったら、シングルサインオンを許可するユーザーから順に、「外部IDプロバイダ経由のロ グイン」を「許可する」に設定を変更してください。  最初は、シングルサインオン経由と直接ログインの両方を許可します。シングルサインオン経由でのログインに問 題がないことが確認できたら、順次直接ログインを停止して、ログイン経路をシングルサインオン経由のみに限定 していくと、移行しやすいです。     

4-2. 管理者シングルサインオン設定画面

  SMP の「管理者シングルサインオン設定」画面の項目と、操作方法を解説します。   

4-2-1. 管理者シングルサインオン設定画面の開き方 

設定画面を開くときは、以下の手順に従ってください。    1. SMPに特権管理者権限でログインする  2. 「設定」タブをクリックする  3. 左側のメニューから「管理者シングルサインオン設定」をクリックする     

  ＜図1：管理者シングルサインオン設定のメニュー位置＞     

4-2-2. 管理者シングルサインオン設定画面 

設定画面の表示項目と、操作方法を解説します。      ＜図2：管理者シングルサインオン設定画面＞      設定名・ボタン名  意味・備考 

IDプロバイダ名  IDプロバイダの名称です。  IDプロバイダの証明書  IDプロバイダから取得した証明書の登録状態です。  登録されている場合は、証明書の有効期限も表示されます。  IDプロバイダの  エンティティID  IDプロバイダから指定されたエンティティIDです。  ログインURL  IDプロバイダから指定されたログインURLです。  シングルサインオンの  バインディング (*)  サービスプロバイダ起点のシングルサインオンにおいて使用する、サービスプロ バイダからIDプロバイダへの遷移方式です。既定値は「Redirect」です。  ユーザ照合項目  IDプロバイダで認証されたユーザーを、SMPの管理ユーザーと照合するときに使 用する項目名です。既定値は「ログインIDで照合」です。  認証リクエストへの  署名 (*)  サービスプロバイダ起点のシングルサインオンにおいて、IDプロバイダに対して 送信する認証リクエストへの署名の有無です。既定値は「しない」です。  サービスプロバイダの  証明書 (*)  IDプロバイダが、認証リクエストの署名を検証するときに使用する証明書です。  認証リクエストへの署名が「する」に設定されている場合のみ、表示されます。  「発行済」のリンクをクリックすると、証明書をダウンロードすることができます。  入手した証明書は、IDプロバイダに登録してください。  「編集」ボタン  クリックすると、管理者シングルサインオン設定編集画面に遷移します。    【備考】  ● (*) のついた設定名は、サービスプロバイダ起点のシングルサインオンにおいて使用する項目です。  IDプロバイダ起点のシングルサインオンのみを利用する場合は、既定値のままにしてください。  詳しい設定方法は、「付録A.サービスプロバイダ起点のシングルサインオン (試用版)」もご参照ください。  ● まだ設定を登録していない場合、設定項目は何も表示されません。   

4-2-3. 管理者シングルサインオン設定編集画面 

編集画面の表示項目と、操作方法を解説します。   

  ＜図3：管理者シングルサインオン設定編集画面＞      設定名・ボタン名  必須  意味・備考  IDプロバイダ名  必須  IDプロバイダの名称を登録します。  IDプロバイダの証明書  必須  IDプロバイダから取得した証明書を登録します。  「参照」ボタンをクリックし、証明書ファイル (.pem) を指定してください。  すでに証明書が登録されている場合も、新しい証明書ファイルを参照 することで、上書き登録ができます。  IDプロバイダのエンティ ティID  必須  IDプロバイダから指定されたエンティティIDを登録します。  必ず https:// で始まる文字列を登録してください。  ログインURL  必須  IDプロバイダから指定されたログインURLを登録します。  必ず https:// で始まる文字列を登録してください。  シングルサインオンのバ インディング (*)  必須  サービスプロバイダ起点のシングルサインオンにおいて使用する、 サービスプロバイダからIDプロバイダへの遷移方式を選択します。  ● 「Redirect」 ：リダイレクトで遷移します。  ● 「Post」 ：POST で遷移します。  既定値は「Redirect」です。  認証リクエストへ署名する場合は、認証リクエストのサイズが大きくなる ため、「Post」を選択することを推奨します。  ユーザ照合項目  必須  IDプロバイダで認証されたユーザを、SMPの管理ユーザと照合するとき に使用する項目名を選択します。  ● 「ログインIDで照合」  ：「ログインID」と照合します。  ● 「ユーザ識別子で照合」  ：「外部IDプロバイダ用ユーザ識別子」と照合します。  既定値は「ログインIDで照合」です。 

認証リクエストへの署名  (*)  必須  サービスプロバイダ起点のシングルサインオンにおいて、IDプロバイダ に対して送信する認証リクエストへの署名の有無を選択します。  ● 「しない」 ：認証リクエストに署名を付加しません。  ● 「する」 ：認証リクエストに署名を付加します。  既定値は「しない」です。  サービスプロバイダの証 明書 (*)  必須  IDプロバイダが、認証リクエストの署名を検証するときに使用する証明 書を発行します。認証リクエストへの署名が「する」に設定されている場 合のみ、表示されます。    【まだSP証明書を発行したことがない場合】  ● 「発行しない」 ：証明書を発行しません。  ● 「発行する」 ：新しい証明書を発行します。  既定値は「発行しない」です。    【SP証明書が発行済の場合】  ● 「使用を継続」 ：現在の証明書をそのまま使います。  ● 「破棄して再発行」　：新しい証明書を発行し切り替えます。  既定値は「使用を継続」です。  「登録」ボタン    クリックすると、設定を登録します。    【備考】  ● サービスプロバイダの証明書の有効期間は、発行から5年間です。     

4-3. 管理ユーザーのプロビジョニング

  シングルサインオンを動作させるには、IDプロバイダ側のユーザーに対応するサービスプロバイダ側のユーザー を、あらかじめ準備する必要があります。この準備作業のことをプロビジョニングと呼びます。SMP管理ユーザー の新規登録によるプロビジョニングのほか、既存のSMP管理ユーザーを利用したプロビジョニングも可能です。   

4-3-1. 管理ユーザーの登録 

IDプロバイダ側のユーザーに対応するSMP側の管理ユーザーが登録されていない場合は、まずSMPに管理ユー ザーを登録する必要があります。  シングルサインオンで使用するユーザーの登録方法は、通常の管理ユーザーの登録方法と全く同じです。  ● 1件ずつ登録したいときは、「設定」タブの「ユーザ設定」メニューより、「新規登録」ボタンを押してユー ザーを登録します。  ● 複数のユーザーをまとめて登録したいときは、「設定」タブの「ユーザ設定」メニューより、「一括登録」ボタ ンを押してCSVファイルをアップロードします。    ユーザーの登録が終わった後、必要に応じて適宜グループやロールの設定を行ってください。  なお、既存のSMPの管理ユーザーをそのまま利用してシングルサインオンに移行する場合、管理ユーザーを別 途登録する必要はありません。    【注意】  ● シングルサインオン機能を利用するSMPドメインにおいては、「設定」画面にアクセスできるユーザーを最

小限に絞り込んでください。  ● CSVファイルから管理ユーザーを一括登録・更新する場合、自動送信メール「管理者登録時（アカウント 発行者宛）」を送信する設定になっていると、登録・更新した件数分のメールが自動的に送信されてしま います。これを避けるには、全キャンペーン管理モードで「メール」タブ内の「メール設定」メニューを選択 し、「管理者登録時（アカウント発行者宛）」の自動送信設定をあらかじめ「OFF」に設定してください。     

4-3-2. 管理ユーザー単位でのシングルサインオン設定 

用意した管理ユーザーに対して、シングルサインオンを許可する設定を行います。  また、「外部IDプロバイダ用ユーザ識別子」の値を用いてユーザー照合する場合は、管理ユーザーに「外部IDプ ロバイダ用ユーザ識別子」の値を登録して、ユーザー照合が可能な状態にします。    本機能を有効化すると、管理ユーザーに対して、以下の項目を設定できるようになります。    設定名・ボタン名  必須  意味・備考  直接ログイン  任意  SMPに対する直接ログイン (SMPのログイン画面にID・パスワードを入 力するログイン) の可否を設定します。  ● 「許可する」 ： 直接ログインを許可します。  ● 「許可しない」 ： 直接ログインを拒否します。    管理ユーザーの新規登録時の既定値は「許可する」です。  外部IDプロバイダ経由の ログイン  任意  外部IDプロバイダを経由したシングルサインオンの可否を設定します。  ● 「許可する」 ： シングルサインオンを許可します。  ● 「許可しない」 ： シングルサインオンを拒否します。    管理ユーザーの新規登録時の既定値は「許可しない」です。  外部IDプロバイダ用ユー ザ識別子  任意  外部IDプロバイダとのユーザー照合に使用する文字列を登録します。  登録する文字列は、SMPドメイン内で一意である必要があります。  管理者シングルサインオン設定において、「ユーザ照合項目」の設定が 「ユーザ識別子で照合」に設定されている場合のみ使用されます。    上記の各項目は、管理ユーザーの詳細・編集画面から確認・編集できるほか、CSVファイルによる管理ユーザー の一括登録・変更からもご利用いただけます。    【注意】  ● 現時点で、上記の各項目を API 経由で参照・更新することはできません。  ● 「直接ログイン」と「外部IDプロバイダ経由のログイン」の両方の項目を「許可しない」に設定すると、この ユーザーはSMP管理画面にログインできなくなります。  ● 「直接ログイン」の項目を「許可しない」に設定したときも、Tableau Desktop アプリへの直接ログインを禁 止することはできません​。  ● 表示項目設定ツールを適用しているSMPドメインでは、本機能を有効化しても、上記の設定項目は表示 されません。表示項目設定ツールを適用しないグループに所属する管理ユーザーでSMPにログインし、 設定を行ってください。 

  ＜図4：管理ユーザ詳細画面に追加されたシングルサインオン関連の設定項目＞           

5. 注意事項

  本章では、本機能のご利用にあたって注意していただきたい事項について記載します。   

5-1. セキュリティに関する注意事項

  本機能をご利用いただく場合、セキュリティ確保のために以下の点にご注意ください。    ● 本機能を利用する場合、「設定」画面のアクセス権を付与する管理ユーザーを極力限定してください。  管理ユーザー情報を変更する権限を有する場合、「ログインID」や「外部IDプロバイダ側のユーザ識別 子」の値を書き換えることで、シングルサインオン経由でログインしてくるユーザーの照合先を意図的に 変更することができます。但し、ユーザー認証そのものはIDプロバイダ側で実行されるため、任意のアカ ウントになりすますことはできません。  ● シングルサインオン経由でのログインを強制する場合、「直接ログイン」の項目を「許可しない」に設定し ても、Tableau Desktop アプリへの直接ログインを禁止できない点に留意してください。     

5-2. その他の注意事項

  その他の注意事項は、以下の通りです。    ● すべての管理ユーザーを、シングルサインオン経由でのログインに限定することは避けてください。  IDプロバイダ側やシングルサインオン周りで障害が発生したとき、システム管理者を含めSMPに一切ロ グインができなくなるためです。  常用する管理ユーザーはすべてシングルサインオン経由としておき、SMPに直接ログインできる「システ ム管理者」権限の管理ユーザー (非常用) を、最低でも1つは残しておくことを強く推奨します。  ● シングルサインオン経由でログインする管理ユーザーであっても、SMPに直接ログインするためのログイ ンIDとパスワードが登録されています。  ログイン経路をシングルサインオン経由に限定している管理ユーザーであっても、管理ユーザー向けの ログイン画面から「パスワードをお忘れの方はこちら」のリンクを経由すると、管理者パスワードを再設定 することができます。  但し、「直接ログイン」を「許可しない」設定とすれば、管理ユーザーはログインID・パスワードを入力して も、SMPに直接ログインすることはできません。  ● SMPがシングルサインオンのユーザー照合で使用する「ログインID」および「外部IDプロバイダ用のユー ザ識別子」の項目は、それぞれ1つのSMPドメイン内で一意性を確保しています。  しかし、IDプロバイダ側で、別々のユーザーに対して同じNameIdentifierを出力すると、IDプロバイダ側で は別々のユーザーが、SMP上では1人のユーザーとして扱われる事象が発生します。  このような事象を防止するため、IDプロバイダ側のユーザーごとに異なるNameIdentifierが出力されるよ う、IDプロバイダ側で適切な設定を行ってください。     

6. トラブルシューティング

  本章では、本機能のご利用に関して発生した不具合の特定方法と、その解決手順について記載します。   

6-1. すべてのユーザーでシングルサインオンできない場合

  すべてのユーザーでシングルサインオンが正しく動作しない場合、以下の各項をご確認ください。    ● IDプロバイダ側に設定したサービスプロバイダ情報が誤っていませんか？  ○ IDプロバイダ側の設定画面をよくご覧になり、設定内容に誤りがないことをお確かめください。  ● SMP側に設定したIDプロバイダ情報が誤っていませんか？  ○ SMPの「管理者シングルサインオン設定」画面をよくご覧になり、IDプロバイダから提供されたパ ラメータが正しく登録されていることをお確かめください。  ○ 同様に、IDプロバイダから提供された証明書が正しく登録されていることをお確かめください。  ○ 証明書には有効期限があります。IDプロバイダから提供された証明書の有効期限が切れてい ないことをお確かめください。  ● IDプロバイダから発行されたユーザー識別子と、SMP側のユーザー照合項目は一致していますか？  ○ SMPの「管理者シングルサインオン設定」画面で、「ユーザ照合項目」の設定が「ログインIDで照 合」となっている場合、IDプロバイダから発行されるSAMLアサーションに含まれる NameIdentifierが、SMPのログインIDと一致していることをお確かめください。  ○ 同様に、「ユーザ照合項目」の設定が「ユーザ識別子で照合」となっている場合、以下の2点をお 確かめください。  ■ SMPの管理ユーザーの「外部IDプロバイダ用ユーザ識別子」項目に、ユーザー照合用 の文字列が登録されていること  ■ IDプロバイダから発行されるSAMLアサーションに含まれるNameIdentifierが、SMPの管 理ユーザーの「外部IDプロバイダ用ユーザ識別子」と一致していること  ○ SAMLアサーションに含まれるNameIdentifierが、意図通りに出力されていない場合は、IDプロバ イダ側の設定を変更していただく必要があります。  ● 管理者シングルサインオン機能と併用できない機能を利用していませんか？  ○ SMPの一部機能は、管理者シングルサインオン機能と併用することができません。     

6-2. 一部のユーザーでシングルサインオンできない場合

  一部のユーザーでシングルサインオンが正しく動作しない場合、以下の各項をご確認ください。    ● あらかじめSMP側で管理ユーザーをプロビジョニングしましたか？  ○ 管理者シングルサインオン機能を利用する場合も、SMP側にあらかじめ管理ユーザーを登録 し、適切なロールを割り当てておく必要があります。  ● IDプロバイダから発行されたユーザー識別子と、SMP側のユーザー照合項目は一致していますか？  ○ IDプロバイダから発行されるSAMLアサーションに含まれるNameIdentifierを調べたうえで、ユー ザー照合項目が合致するSMP管理ユーザーが存在することをお確かめください。  ○ 特に、「ユーザ照合項目」の設定が「ユーザ識別子で照合」となっている場合、SMPの管理ユー ザに「外部IDプロバイダ用ユーザ識別子」の項目が登録されていることをお確かめください。  ● 管理ユーザーのシングルサインオンを許可していますか？  ○ 管理ユーザーの「外部IDプロバイダ経由のログイン」設定が「許可する」になっていることをお確 かめください。   

付録

   

A. サービスプロバイダ起点のシングルサインオン (試用版)

 

現時点ではIDプロバイダ側を起点としたシングルサインオン (IdP-initiated SSO) のみ正式対応しておりますが、 サービスプロバイダ側を起点とするシングルサインオン (SP-initiated SSO) 機能も試験的に提供しております。  まだ正式機能ではない試用版ですが、一般的なサービスプロバイダ起点のシングルサインオンの大部分を実現 できます。  なお、試用版のため、サポート対象外とさせていただきます。本機能の試用中に発生した損失は、いかなる場合 であっても補償いたしかねます。   

A-1. サービスプロバイダ起点のシングルサインオンとは

  IDプロバイダ起点のシングルサインオンでは、IDプロバイダ側に設置された専用のリンクを介してシングルサイン オンを行います。このため、SMPのようなサービスプロバイダの画面に直接アクセスしたときは、シングルサイン オンを利用することができません。  これに対し、サービスプロバイダ起点のシングルサインオンでは、サービスプロバイダ側の画面からもシングルサ インオンを開始することができます。具体的には、サービスプロバイダ側のログイン画面などにシングルサインオ ン開始用のリンクを設置し、このリンクを経由することでIDプロバイダの認証を受けられるようにします。  IDプロバイダ起点のシングルサインオンに加え、サービスプロバイダ起点のシングルサインオンを併用すると、ど のようなログイン経路でもシングルサインオンが選択可能となるため、ユーザーの利便性が大きく高まります。   

A-2. サービスプロバイダ起点のシングルサインオンの流れ

  ユーザーが以下のURLにアクセスすると、SMPはユーザーのWebブラウザを介して、IDプロバイダ宛に認証リクエ ストを送信します。これにより、IDプロバイダに対してユーザーの認証を依頼します。   

【SP-initiated SSO 開始用URL】 

https://<SMPドメイン>/public/admin/saml/login    IDプロバイダ側で認証処理が行われると、IDプロバイダはユーザーのWebブラウザを介して、サービスプロバイダ であるSMPにレスポンスを返します。以後の流れは、IDプロバイダ起点のシングルサインオンと同じです。  IDプロバイダ起点のシングルサインオンとの違いは、最初にサービスプロバイダからIDプロバイダ宛に認証リクエ ストを送信する点だけです。   

A-3. サービスプロバイダ起点のシングルサインオンの設定方法 

サービスプロバイダ起点のシングルサインオンを利用するには、以下の2つの設定作業が必要です。  ● 管理者シングルサインオン設定画面で、SP-initiated SSO 用の項目に設定を追加する  ● 管理者向けのログイン画面のHTMLテンプレートを編集し、シングルサインオン開始用URLへのリンクを 設置する    【管理者シングルサインオン設定画面への追加設定内容について】  必要に応じて、以下の設定を追加してください。  詳しい設定方法は、4-2. 「管理者シングルサインオン設定画面」をご覧ください。  ● 「シングルサインオンのバインディング」 

○ IDプロバイダへの認証リクエスト (AuthN Request) 送信に用いるバインディングを選択できま

● 「認証リクエストへの署名」  ○ IDプロバイダに送る認証リクエストについて、サービスプロバイダの署名の有無を選択できま す。「署名する」「署名しない」から選択可能です。既定値は「署名しない」です。  IDプロバイダが署名を要求する場合のみ「署名する」に設定してください。  ● 「サービスプロバイダの証明書」  ○ IDプロバイダに送る認証リクエストに署名する場合、IDプロバイダが署名検証に用いるサービス プロバイダ証明書を発行できます。認証リクエストに署名しない場合は発行不要です。  この項目は「認証リクエストへの署名」が「署名する」に設定されている場合のみ表示されます。  「新規発行する」を選択すると、新しいサービスプロバイダ証明書を発行します。  「破棄して再発行する」を選択すると、現在使用している証明書を破棄し、新しい証明書を発行 します。発行した証明書はリンクからダウンロードして、IDプロバイダ側に登録してください。    【ログイン画面のHTMLテンプレートの編集について】  別紙 「デザインテンプレートカスタマイズマニュアル」をご覧のうえ、編集をお試しください。    【その他の注意事項】  ご試用に際しては、以下の各項をよくお読みください。  ● サービスプロバイダからの認証リクエストを署名付きとする場合、以下の点に注意してください。  ○ IDプロバイダによっては、サービスプロバイダ署名付きの認証リクエストに対応していない場合 があります。  ○ サービスプロバイダ署名付きの認証リクエストはサイズが大きくなるため、シングルサインオン のバインディングを「Redirect」とすると、IDプロバイダ側が認証リクエストを正常に受け取れない おそれがあります。正常動作しない場合は、バインディングを「Post」に変更してお試しください。  但し、IDプロバイダによっては、Postによる認証リクエストを受け付けない場合があります。  ● サービスプロバイダ起点のシングルサインオンのご利用に際しては、以下の制約事項があります。  ○ SMPのログイン画面にSP-initiated SSO開始用のリンク(ボタンなど)を設置する場合は、HTML テンプレートを編集して、前述のSP-initiated SSO開始用URLを記述する必要があります。  ○ すでにSMPにログイン済の状態でIdP-initiated SSOを実行すると、シングルサインオンを実行し た管理ユーザーでSMPのログイン状態を強制的に上書きします。  これに対し、すでにSMPにログイン済の状態でSP-initiated SSO開始用URLにアクセスした場 合、IDプロバイダへの認証リクエストは行わず、現在の管理ユーザーのSMPログイン状態を維 持します。