この記事では、Okta で Diligent Boards アプリケーションを構成し、ユーザーがシングル サインオン (SSO) を使用して Boards サイトにアクセスできるようにする方法について説明します。

SSO は、同一の認証情報を使用して会社の全てのリソースにアクセスできるようにする便利で安全な方法です。適切なユーザーが適切なリソースにアクセスできるようにするには、次のようにする必要があります。

  • Okta などの ID プロバイダー (IdP) で、ユーザー認証を担当します。

  • Diligent Board を含む、リソースへのアクセスを制御するサービス プロバイダー (SP)。

Diligent では、IdP-initiated と SP-initiated の本人確認プロセスをサポートしています。IdP の場合、管理者に関するオプションの追加ステップが設定プロセスに含まれていることに注意してください。詳細については、『IdP-initiated サインインの属性の追加』に関するセクションを参照してください。

Okta テナントに Diligent Boards を設定する際には、Boards 管理者と、組織の IdP を管理する IT 専門家との間のコラボレーションが必要になることがあります。これは同じ人物でもかまいませんが、通常は異なる人物となります。

自社で IdP を管理する IT 専門家には、Okta への開発者アクセス権が必要です。Diligent Boards アカウントは不要です。

Boards 管理者とコラボレーションしている場合、アクティブなユーザーと各自の権限および役割を記載したリストを表示できるよう、Boards 管理者がサイト管理アプリケーションへのアクセス権を持つことを推奨します。

Diligent Boards で SSO を設定するには、Okta でこのアプリケーションを設定することが必要です。まず、Diligent Boards アプリケーションを作成します。次に、署名証明書と IdP メタデータを入手し、カスタマー サクセス/実装チームに送信して検証してもらいます。最後に、ユーザーを Diligent Boards アプリに割り当てて、SSO 経由で各自のアカウントにアクセスできるようにします。

Diligent Boards アプリケーションの作成

このセクションでは、Okta テナントで新しいアプリケーション Diligent Boards を作成し、SSO の互換性を設定する方法について説明します。

  1. Okta テナントにサインインします。

  2. 左側のメニューから[アプリケーション]を選択します。ドロップダウン メニューが表示されます。

  3. ドロップダウン メニューから[アプリケーション]を選択します。

  4. アプリ統合を作成]を選択します。

  5. Diligent Boards のサインインの方法は SAML 2.0 です。[SAML 2.0]の隣にあるラジオ ボタンを選択してから、[次へ]を選択します。

  6. [アプリ名]フィールドに、アプリケーションの名前(Diligent Boardsなど)を入力します。

  7. [アプリのロゴ]フィールドで[新規アップロード]アイコンを選択して、Diligent のロゴをアップロードします。

  8. [アプリの公開設定]フィールドでオプションを選択する必要はありません。[次へ]を選択して、必要な SSO 設定の構成を続行します。

SSO の互換性の設定

SSO の互換性を得るには認証プロバイダーからのデータが必須ですが、これには Diligent からの情報が必要です。

  1. SAML 設定]セクション内の各フィールドに次のテキストを入力します。

    フィールド名

    エントリ テキスト

    シングル サインオン URL

    https://identity-"environment".diligentcloudservices.com/saml/external-callback/"environment"_"site-name"

    オーディエンス URI(SP エンティティ ID)

    https://diligent-identity/"environment"_"site-name"

    デフォルト RelayState

    空白

    名前 ID の形式

    メール アドレス

    Note

    上記の URL の環境サイト名の値は、会社に固有のものです。URL のサポートについては、Diligent カスタマー サクセス/実装チームにお問い合わせください。

  2. ページを下に移動して、[次へ]を選択します。

  3. 私は内部アプリを追加する Okta の顧客です]の隣にあるラジオボタンを選択し、[完了]を選択します。

署名証明書の入手

このセクションでは、IdP メタデータを表示して、これを Diligent Boards に送信して検証する方法を説明します。

  1. 左側のメニューから[アプリケーション]を選択します。

  2. Diligent Boards アプリケーションを選択します。

  3. サインイン]タブを選択します。

  4. ページを下に移動して、[SAML 署名証明書]セクションを表示します。

  5. 「SHA-1」行の右端にある[アクション]を選択します。ドロップダウン メニューが表示されます。

  6. ドロップダウン メニューから[IdP メタデータを表示]を選択します。Web ブラウザーの新しいタブに、XML ファイルが表示されます。

  7. メタデータを含む XML ファイルをダウンロードして、Diligent カスタマー サクセス/実装チームに送信します。

ユーザー アカウントの割り当て

このセクションでは、ユーザーを Diligent Boards アプリケーションに割り当てて、SSO 経由で自分のアカウントにアクセスできるようにする方法を説明します。

  1. 左側のメニューから[アプリケーション]を選択します。

  2. Diligent Boards アプリケーションを選択します。

  3. 割り当て]タブを選択します。

  4. 割り当て]ドロップダウン メニューを選択し、[人々に割り当てる]を選択します。

  5. ユーザーを検索するには、[検索]フィールドを使用します。ユーザーの名前で検索できます。

  6. ユーザーの行の右端にある[割り当て]を選択して、Diligent Boards アプリケーションに割り当てます。ユーザーが Okta テナント内の別のアプリケーションに割り当てられている場合は、認証情報を確認するためのウィンドウが表示されます。

  7. ユーザーの認証情報を確認し、[保存して戻る]を選択します。必要に応じて、テキストを編集することもできます。

  8. 終わったら、[完了]を選択します。

Okta で Diligent Boards サイトを構成したら、新しい属性を作成して、管理者ロールを持つユーザーがアプリケーションにアクセスする方法を指定できます。デフォルトでは、この属性が存在しない場合、ユーザーは Boards Web Director に転送されます。

  1. 左側のメニューから[ディレクトリー]を選択します。ドロップダウン メニューが表示されます。

  2. ドロップダウン メニューから[プロファイル エディター]を選択します。

  3. Diligent Boards アプリケーションを選択します。

  4. 属性を追加]を選択します。

  5. 表示名]フィールドに「diligent_client_id」と入力します。

  6. 変数名]フィールドに「diligent_client_id」と入力します。

  7. ページを下に移動して、[保存]を選択します。

  8. マッピング]を選択します。

  9. 新しい属性がユーザー グループ メンバーシップに正しく入力されるようにするには、[Okta ユーザーを Diligent Boards へ]を選択します。

  10. 次のを[属性を選択するか、式を入力する]フィールドに入力します: isMemberOfGroupName('ADMIN_GROUP_NAME') ? 'bw_book_admin' : 'bw_director'

    Note

    式の言語は、Okta テナントの構文に基づいて更新されます。詳細については、「Okta 式の言語概要」を参照してください。

    Note

    「MemberOfGroupName」の値 ('ADMIN_GROUP_NAME') は、会社に固有のものです。値のサポートについては、Diligent カスタマー サクセス/実装チームにお問い合わせください。

  11. マッピングを保存]を選択します。カスタム属性が Diligent Boards アプリケーション内に設定されます。