シングル サインオン(SSO)の設定
Diligent では、Diligent One プラットフォームのシングル サインオン (SSO) の動作を更新中です。以下に要約している更新内容は、2025 年 1 月 6 日に実施される予定です。
重要
今後予定されている SSO 更新についてよく理解し、組織で必要な準備を行ってください。
以下のようにして新旧両方の SSO ヘルプ トピックを参照できます。「SSO ヘルプ トピック」を参照してください。
SSO(シングル サインオン)の更新
-
新しいサインイン エクスペリエンス Diligent One プラットフォームの認証に、広く受け入れられているセキュリティ標準 OIDC (OpenID Connect) が使用されるようになったため、最新の安全なベスト プラクティスに準拠したプラットフォームになりました。この更新の一環として、サインイン ページのアドレスが、oidc.highbond.com(2025 年 1 月 6 日の週から有効)に更新されます(これまでの accounts.highbond.com に取って代わります)。
-
複数の SSO 構成 お客様は、1 つの組織内に複数のシングル サインオン プロバイダーを構成できるようになりました。
-
SSO を使用する組織と SSO を使用しない組織の切り替え SSO が有効な組織と SSO を使用しない組織を切り替える場合、Diligent One 資格情報の入力を求められます。この資格情報がない場合、[パスワードを忘れた場合]リンクを選択してパスワードを設定する必要があります。ご自分のすべての組織で SSO を使用して認証する場合、SSO を使用しない組織に対して SSO を構成するようシステム管理者に連絡してください。詳細については、「SSO ヘルプ トピック」を参照してください。
-
SSO を使用する組織のシステム管理者のサインイン エクスペリエンス システム管理者は、SSO を使用する組織に、Diligent One プラットフォームのメールとパスワードを利用してサインインできるようになりました。これにより、ユーザーが組織の認証を受けられない場合に、システム管理者を介して SSO 構成を再構成することが可能になります。また、システム管理者は、SSO をバイパスさせる組織内の特定のユーザーを選択することもできます。
-
Diligent One プラットフォームがジャスト イン タイム (JIT) プロビジョニングをサポート対象外に 最高のセキュリティ標準に合わせるために、ジャスト イン タイム プロビジョニングのサポートは終了しました。組織のユーザー プロビジョニング プロセスを自動化したい場合は、システム管理者と連携して外部ユーザー プロビジョニング(SCIM など)を有効にしてください。
-
セキュリティ指紋の代わりに公開証明書を使用 新しい SSO プロバイダーを設定したり、現在のプロバイダーを更新したりするときには、セキュリティ指紋の代わりに公開証明書を入力する必要があります。現在の SSO に指紋を設定している場合は、2025 年 1 月 6 日のリリース以降、指紋フィールドが編集不可になります。
SSO を構成または更新するときには、公開証明書(BEGIN CERTIFICATE と END CERTIFICATE の行を含む)を入力してください。
-----BEGIN CERTIFICATE-----
<証明書の内容>
-----END CERTIFICATE-----
SSO ヘルプ トピック
以下のようにして新旧両方の SSO ヘルプ トピックを参照できます。参照したいヘルプ トピックのタブを選択します。
-
新しい SSO (2025)
-
レガシー SSO
SSO は、一度だけサインインしたあとに、ユーザーが複数のアプリケーションにアクセスできるようにする認証プロセスです。 Diligent One は、OASIS SAML 2.0 プロトコルに従う ID プロバイダーの SSO の統合をサポートします。
1 つの組織に複数の SSO プロバイダーをセットアップすることができます。
SSO が有効な Diligent One 組織にユーザーを追加した場合の動作
アクセス許可
システム管理者のみが、自社の SSO 設定を構成できます。
要件
- お使いの ID プロバイダーは OASIS SAML 2.0 プロトコルに従っている必要があります。
- SSO が有効になっている Diligent One インスタンスのユーザーは、すべて ID プロバイダーによって認証される必要があります。
ユーザーが複数の組織にアクセスする場合
ID プロバイダーで認証を受けるユーザーが複数の Diligent One 組織にアクセスできるのは、それらの組織のすべてが同じ企業に属している場合に限られます。
それらの組織がすべて同じ企業に属しているかどうかを調べるには、各組織の組織設定で「顧客名」を確認してください。SSO ユーザーがアクセスする必要があるすべての組織で、この顧客名が同じ値になっていなければなりません。詳細については、「組織の設定の更新」を参照してください。代わりに、インスタンス スイッチャーを使用して、対象の組織が同じ企業名の下にインデントされていることを確認するという方法もあります。詳細については、Diligent One 組織の切り替えを参照してください。
お使いのインスタンスが属する企業を変更したい場合は、サポートにお問い合わせください。
認証は地域に限定されません。 ユーザーは複数の地域にある Diligent One インスタンスにアクセスできます。
ユーザーがトレーニング組織にアクセスする場合
ID プロバイダーで認証を受けるユーザーは、トレーニング組織を作成できます。こうしたトレーニング組織は同じ企業に自動的にリンクされます。
すでに同じメールで別のトレーニング組織に追加されたユーザーを除き、こうした組織に他のユーザーを追加することができます。追加されたユーザーは、サインイン ページのパスワードを忘れた場合リンクを選択して、Diligent One トレーニング組織にアクセスするためのパスワードを設定する必要があります。
あなたのユーザーが複数の企業で働く場合
複数の企業で働くユーザーは SSO を使用できます。ログインするときには、アクセスしようとしている特定の企業に設定されている SSO で認証を行うように求められます。
SSO と 2FA を併用する場合
SSO 認証をユーザーに免除し、2FA による標準プロセスを使用してログインさせることができます。詳細については、「SSO をバイパスする許可リストへのユーザーの追加」を参照してください。
SSO ID プロバイダーの設定
- Launchpad を開きます。
- 左側のナビゲーションで[プラットフォーム設定]を選択します。
- [プラットフォーム設定]の[組織]の下にある[セキュリティ設定]を選択します。
- [セキュリティ設定]ページの[シングル サインオン (SSO) オプション]セクションで、[プロバイダーの設定]を選択します。
- 以下の表で説明しているように、[シングル サインオンの設定]パネルに詳細情報を入力します。
フィールド 説明 顧客ドメイン インスタンスを特定し、自社のユーザーが Diligent One にサインインできるようにする一意の名前。 カスタムドメインは、地域コードを使って追加されるインスタンスのサブドメインです。
メモ[ 組織の更新]ページでインスタンスのサブドメインを変更できます。詳細については、組織の設定の更新を参照してください。
名前 ID プロバイダーの名前を入力します。 エンティティ ID SAML 要求を発行する ID プロバイダーを識別する URL。 これは、ご利用の ID プロバイダーに固有の URL です。 メタデータの URL Launchpad がアクセス可能な URL は、ID プロバイダーから SSO 構成データを取得します。 これは、ご利用の ID プロバイダーに固有の URL です。 リダイレクト ログイン URL 自社のユーザーが Diligent One にサインインするための ID プロバイダーの URL。 ログアウトの URL 自社ユーザーが Diligent One にサインアウトしたあとの、Diligent One による自社ユーザーのリダイレクト先 URL。 公開証明書 デバイスおよびユーザーを検証するために発行された証明書。 - [有効化]を選択します。
[シングル サインオン (SSO) オプション]セクションに、追加した ID プロバイダーが表示されます。
SSO をバイパスする許可リストへのユーザーの追加
複数の認証オプションを追加した場合に、SSO 認証の使用をユーザーに免除することができます。通常、SSO 認証の免除は、ID プロバイダーに所属していないユーザーに適用されます。免除されたユーザーは、引き続きユーザー名とパスワードを使用してサインインできます。
-
システム管理者はすべて自動的に SSO バイパス許可を与えられます。
-
2 要素認証 (2FA) を組織で有効にすると、シングル サインオン (SSO) のバイパスを許可したユーザーも含め、すべてのユーザーに適用されます。そのため、意図せずプラットフォームからユーザーを締め出すことがないように、ユーザー アクセスを確認することが重要です。
- [シングル サインオン (SSO) オプション]セクション([セキュリティ設定]内)で、[+ユーザーの追加]タブ([SSO のバイパスが許可されたユーザー]セクションの隣)を選択します。
- [SSO のバイパスが許可されたユーザー]パネルが表示されたら、SSO 認証の使用を免除するユーザーを選択します。
- [ユーザーの追加]を選択します。
[検索]フィールドを使用してユーザーを検索できます。
SSO をバイパスするリストに追加されたユーザーは、[SSO のバイパスが許可されたユーザー]セクションに表示されます。
SSO をバイパスする許可リストからのユーザーの削除
SSO をバイパスする許可リストに追加されたユーザーを削除するには、[SSO のバイパスが許可されたユーザー]セクションで、削除するユーザーの隣に表示されている削除アイコンを選択します。
システム管理者を許可リストから削除することはできません。システム管理者はすべて自動的にバイパス許可を与えられます。
SSO ID プロバイダーの無効化
- [セキュリティ設定]ページの[シングル サインオン (SSO) オプション]セクションで、無効にする ID プロバイダーの[詳細を開く]を選択します。
- [シングル サインオンの設定]パネルにある[ステータス]フィールドのドロップダウン メニューから、[無効]を選択します。
- [変更を保存]を選択します。
- [SSO プロバイダーの無効化を確認する]ダイアログ ボックスが表示されるので、[確認]を選択します。
SSO ID プロバイダーに[無効]というマークが付きます([シングル サインオン (SSO) オプション]セクション内)。
SSO プロバイダーを無効にすると、組織内のユーザーはこの SSO プロバイダーをサインインに使用できなくなります。ただし、プロバイダーの情報は保存されたままです。
無効になっている SSO ID プロバイダーの有効化
- [セキュリティ設定]ページの[シングル サインオン (SSO) オプション]セクションで、有効にする ID プロバイダーの[詳細を開く]を選択します。
- [シングル サインオンの設定]パネルにある[ステータス]フィールドのドロップダウン メニューから、[有効]を選択します。
- [変更を保存]を選択します。
SSO ID プロバイダーに[有効]というマークが付きます([シングル サインオン (SSO) オプション]セクション内)。
SSO ID プロバイダーの削除
- [セキュリティ設定]ページの[シングル サインオン (SSO) オプション]セクションで、削除する ID プロバイダーの[詳細を開く]を選択します。
- [シングル サインオンの設定]パネルで、[削除]を選択します。
- [SSO プロバイダーの削除を確認する]ダイアログ ボックスが表示されるので、[確認]を選択します。
SSO プロバイダーを削除すると、組織内のユーザーはこの SSO プロバイダーをサインインに使用できなくなります。プロバイダーの情報も削除されます。
Launchpad サービス プロバイダー URL
SSO ID プロバイダーを構成する場合、Launchpad で次のサービス プロバイダーの URL が必要な場合があります。
- サービス プロバイダーのエンティティ ID https://accounts.highbond.com/saml/metadata/your_custom_domain
- サービス プロバイダーのアサーション消費者 URL https://accounts.highbond.com/saml/sso/consume/your_custom_domain
SSO が有効になっているときのログイン方法
SSO が有効になっているときのログイン方法は 2 つあります。
SSO が有効であるとどうなりますか?
SSO が有効な場合は、www.highbond.com にアクセスし、[SSO で続行]をクリックし、カスタム ドメインを指定することでサインインできます。
または、ID プロバイダーのランディングページにある Diligent One アプリのリンクを使用して Diligent One にアクセスすることもできます。
Diligent One アプリのいずれかにアクセスする(Diligent One から送信される電子メールのリンクをクリックすることも含む)と、ID プロバイダー経由で Diligent One にリダイレクトされます。
-
SSO が有効になったら、メールとパスワードでサインインすることも、パスワードを変更することもできなくなります。ただし、システム管理者や、SSO をバイパスできるユーザーとして登録されているユーザーは、メールとパスワードでサインインできます。
-
組織で SSO が有効になっている場合は、メール アドレスを変更できません。ただし、組織で SSO と SCIM の両方が有効になっている場合は、メール アドレスを変更できます。
-
組織で SSO のみが有効になっている場合、更新されたメール アドレスは新しいアカウントとして扱われるので、以前の資格情報に関連付けられた情報にはアクセスできなくなります。そのため、このような組織でメール アドレスの変更が必要になった場合、システム管理者はまず Diligent One の SSO を無効にしてから、メール アドレスを更新し、もう一度 SSO を有効にする必要があります。
-
SCIM が有効な組織の場合、ID プロバイダーでのメール アドレスの変更は自動的に Diligent One プラットフォームに反映されます。
サインインのたびに自分のカスタム ドメインを入力する必要はありますか?
- ID プロバイダーを通じてサインインする場合は、サインインのたびにカスタムドメインを入力する必要はありません。
- Diligent One からサインインする場合は、次の URL にアクセスすれば、サインインのたびにカスタムドメインを入力しないですみます。https://accounts.highbond.com/saml/sso?custom_domain=<カスタムドメイン>
Diligent One の複数組織へのサインイン
Diligent One の複数組織にアクセスできるユーザーは、最後に使用した組織に自動的にサインインします。SSO が有効な組織と SSO を使用しない組織の両方に所属している場合は、SSO を使用しない組織にログインするためのパスワードを設定する必要があります。そのためには、[パスワードを忘れた場合]リンクを選択してパスワードを設定します。
If you have access to multiple organization of Diligent One, you can easily switch between them. For more information, see Diligent One 組織の切り替え.
まだ認証を受けたことがない組織に切り替えるときには、切り替え先の組織の認証用の資格情報の入力を求められます。
SSO が有効になっているときのログアウト方法
Diligent One は、ワークフローを開始する ID プロバイダーを使用して、SLO(シングルログアウト)をサポートします。 SLO URL は次のとおりです。
https://accounts.highbond.com/saml/slo/<お使いのカスタム ドメイン>
セッションの有効期限が機能する仕組み
Diligent One セッションの有効期限が切れたり、Diligent One からログアウトを試みたりするときは、まず、ID プロバイダーからログアウトする必要があります。 そうしないと、Diligent One のサインインに自動的に戻ります。
たとえば、組織のセッションの有効期間が 3 時間で、ID プロバイダーのセッションの有効期間が 3 日間の場合は、3 日間にわたり Diligent One に自動的にサインインします。
セキュリティのため、ご利用の ID プロバイダーの有効期限がお使いのインスタンスのセッションの有効期限より短くなっていることを御社で確認してください。
[ 組織の更新]ページで組織のセッションの有効期限を変更できます。 詳細については、組織の設定の更新を参照してください。
SSO が有効な Diligent One 組織にユーザーを追加した場合の動作
Diligent One は SCIM 外部プロビジョニングをサポートしています。ID プロバイダーが SCIM に対応している場合は、ユーザーをプラットフォームに自動的にプロビジョニングできます。一方、ID プロバイダーが SCIM に対応していない場合は、SSO ユーザーを手動で Diligent One 組織に追加して、プラットフォームにアクセスできるようにする必要があります。
Diligent One アプリのサブスクリプションとアクセス権
ユーザーにはサブスクリプションは割り当てられず、Diligent One アプリへのアクセス権も付与されません。システム管理者は、ユーザーが確実にインスタンスで適切なアクセス権を持つように、Launchpad でユーザーにロールとサブスクリプションを割り当てる必要があります。
SSO の無効化
御社でいったん SSO を有効化し、後でそれを無効化することに決定した場合:
- SSO が有効になる前にパスワードを設定していなかったユーザーがパスワードを取得するには、サインイン ページで[パスワードを再設定する]をクリックする必要があります。
- SSO が有効になる前にパスワードを設定していたユーザーは、ユーザー名とパスワードを使用してサインインすることができます。
SSO と SAML
Diligent One は、OASIS SAML 2.0 プロトコルに従う ID プロバイダーの SSO の統合をサポートします。
OASIS SAML 2.0 とは?
SSO を使用すると、ユーザーは OASIS SAML 2.0(Security Assertion Markup Language 2.0)を使ってサインインできるようになります。OASIS SAML 2.0 は 2 つの Web アプリケーションの間で ID をやり取りして認証するための書式です。
OASIS SAML 2.0 には次が含まれます。
- ユーザー要求サービス
- サービス プロバイダーまたはアプリケーション提供サービス (Diligent One)
- ユーザー情報を管理するリポジトリまたは ID プロバイダー
SSO が有効化されたインスタンスでは、ユーザーが Diligent One へのサインイン時に認証されるのは、サポートされている SAML ID プロバイダーを使用した場合です。自社の SAML ID プロバイダーでユーザーが有効化されていない場合には、そのユーザーはアクセスを拒否されます。
サポートされているワークフロー
SSO を設定すると、次のワークフローがサポートされるようになります。
- ID プロバイダーによる開始 - ID プロバイダーのランディングページから Diligent One にアクセスします。
- サービスプロバイダーによる開始 - Diligent One のホームページから Diligent One にアクセスします。
ID プロバイダーが開始した認証プロセス
サービス プロバイダーが開始した認証プロセス
退職するユーザーのオフボーディング
ユーザーが会社を退職する場合は、オフボーディング プロセスとして、ID プロバイダーからユーザーを削除します。ユーザーに対する影響は、ユーザーに関連付けられていた組織と、それらの組織の具体的な構成によって異なります。
- SSO が有効な組織にのみ属していたユーザーは、Diligent One でそれらの組織にアクセスできなくなります。
- SSO が有効な組織と SSO を使用しない組織の両方に属していたユーザー:
- ID プロバイダーからこのユーザーを削除した場合は、ユーザーが Diligent One 組織から削除されたことを確認する必要があります。システム管理者は、SSO を使用しない他の組織から、このユーザーをオフボーディングする必要があります。
- SSO が有効な組織から手動でこのユーザーを削除した場合は、ユーザーがパスワードをリセットすれば、SSO を使用しないインスタンスに引き続きアクセスすることができます。
SSO は、一度だけサインインしたあとに、ユーザーが複数のアプリケーションにアクセスできるようにする認証プロセスです。 Diligent One は、OASIS SAML 2.0 プロトコルに従う ID プロバイダーの SSO の統合をサポートします。
その他の認証シナリオでは、潜在的なセキュリティリスクが企業に発生するため、Diligent One による SSO のサポートは限定的になります。
Diligent One の SSO インスタンスにユーザーを追加した場合に自動的に行われること
アクセス許可
システム管理者のみが、自社の SSO 設定を構成できます。
要件
- お使いの ID プロバイダーは OASIS SAML 2.0 プロトコルに従っている必要があります。
- SSO が有効になっている Diligent One インスタンスのユーザーは、すべて ID プロバイダーによって認証される必要があります。
あなたのユーザーが複数のインスタンスにアクセスする場合
ID プロバイダーによって認証されるユーザーが複数の Diligent One インスタンスにアクセスできるのは、それらのインスタンスのすべてが同じ企業に属する場合に限ります。
それらのインスタンスがすべて同じ企業に属するかどうかをチェックするには、各インスタンスの[組織の設定]で[顧客名]を確認してください。この[顧客名]の値が、SSO ユーザーがアクセスする必要のあるすべてのインスタンスで同一である必要があります。詳細については、「組織の設定の更新」を参照してください。あるいは別の方法として、インスタンス スイッチャーを使って、問題のインスタンスが同じ企業名の下にインデントされていることを確認するという方法もあります。詳細については、Diligent One 組織の切り替えを参照してください。
お使いのインスタンスが属する企業を変更したい場合は、サポートにお問い合わせください。
認証は地域に限定されません。 ユーザーは複数の地域にある Diligent One インスタンスにアクセスできます。
ユーザーがトレーニングインスタンスにアクセスする場合
ID プロバイダーを通じて認証するユーザーは、同じ会社に自動的にリンクするトレーニングインスタンスを作成できます。
追加のユーザーは、同じ電子メールアドレスで異なるトレーニングインスタンスにまだ属していない限りは、このトレーニングインスタンスに追加できます。
あなたのユーザーが複数の企業で働く場合
複数の企業で働くユーザー(例:コンサルタント)は、SSO を使用できません。
自社の Diligent One ユーザーが、SSO が有効になっている他社のインスタンスを既に使用している場合は、管理者はそのユーザーに対して SSO を有効化することはできません。 管理者がそのユーザーに対して SSO を有効にするには、そのユーザーを自社の Diligent One から削除するか、そのユーザーに他社の Diligent One から削除されるように依頼する必要があります。
SSO と 2FA は併用できません
シングルサインオンで 2 要素認証は使用できません。 SSO と 2FA の両方を使用する必要がある場合、SSO 識別プロバイダー独自の 2FA 機能を使用する必要があります。 SSO が有効な場合、Diligent One は 2FA を有効にすることを許可しません。 同様に、インスタンスのいずれかのメンバーが 2FA を使用している場合、Diligent One は SSO を有効にすることを許可しません。
SSO を有効にする方法
Diligent One で SSO を有効にするには、数個のタスクを実行する必要があります。
- ID プロバイダーで SSO を設定します。
- Launchpad で SSO を有効にします。
- Launchpad を開きます。
- [プラットフォームの設定]>[組織]をクリックします。
- [SSO 設定の管理]をクリックします。
- SSO フィールド(詳細は下記)に入力し、[シングル サインオン(SSO)の有効化]をオンにします。
- [変更を保存]をクリックします。
- SSO が有効化されたインスタンスにユーザーを追加します。
Diligent One を ID プロバイダーをリンク付けするには、すべてのユーザーの名、姓、電子メールアドレスを指定する必要があります。 詳細については、「ユーザーを追加する方法」を参照してください。
詳しい構成の情報については、サポートで SSO の記事を検索してください。
SSO フィールド
| フィールド | 定義 |
|---|---|
| カスタムドメイン |
インスタンスを特定し、自社のユーザーが Diligent One にサインインできるようにする一意の名前。 カスタムドメインは、地域コードを使って追加されるインスタンスのサブドメインです。 メモ
[ 組織の更新]ページでインスタンスのサブドメインを変更できます。詳細については、組織の設定の更新を参照してください。 |
| エンティティ ID | SAML 要求を発行する ID プロバイダーを識別する URL。 これは、ご利用の ID プロバイダーに固有の URL です。 |
| メタデータの URL | Launchpad がアクセス可能な URL は、ID プロバイダーから SSO 構成データを取得します。 これは、ご利用の ID プロバイダーに固有の URL です。 |
| ログイン URL のリダイレクト |
自社のユーザーが Diligent One にサインインするための ID プロバイダーの URL。 |
| ログアウトの URL | 自社ユーザーが Diligent One にサインアウトしたあとの、Diligent One による自社ユーザーのリダイレクト先 URL。 |
| セキュリティ証明書の指紋 |
ID プロバイダーから取得できる SAML 証明の SHA-1 または SHA-256 の指紋。 メモ Diligent One がサービスプロバイダーである場合は、ID プロバイダーは、SAML の回答を暗号化する必要があり、またユーザーは、Launchpad でセキュリティ証明書の指紋を構成する必要があります。 |
| シングルサインオン (SSO) の有効化 | このインスタンスに対して SSO を有効にします。 |
Launchpad サービス プロバイダー URL
SSO ID プロバイダーを構成する場合、Launchpad で次のサービス プロバイダーの URL が必要な場合があります。
- サービス プロバイダーのエンティティ ID https://accounts.highbond.com/saml/metadata/your_custom_domain
- サービス プロバイダーのアサーション消費者 URL https://accounts.highbond.com/saml/sso/consume/your_custom_domain
SSO が有効になっているときのログイン方法
SSO が有効になっているときのログイン方法は 2 つあります。
SSO が有効であるとどうなりますか?
SSO が有効である場合にサインインするには、www.highbond.com に進み、[カスタム ドメインにサインインしてください]をクリックして、お使いのカスタム ドメインを指定します。
または、ID プロバイダーのランディングページにある Diligent One アプリのリンクを使用して Diligent One にアクセスすることもできます。
Diligent One アプリのいずれかにアクセスする(Diligent One から送信される電子メールのリンクをクリックすることも含む)と、ID プロバイダー経由で Diligent One にリダイレクトされます。
SSO が有効化された後では、ユーザーは電子メールとパスワードを使ってサインインしたり、パスワードを変更したりすることができなくなります。
SSO を有効にすると、メールアドレスが変更できなくなります。 ただし、電子メールアドレスの変更が必要な場合、システム管理者は Diligent One で SSO を無効にし、電子メールアドレスに必要な変更を加えた後、SSO を再度有効にする必要があります。 さもなければ、変更された電子メールは新しいアカウントとして識別され、ユーザーは以前の資格情報から情報にアクセスできなくなります。
サインインのたびに自分のカスタム ドメインを入力する必要はありますか?
- ID プロバイダーを通じてサインインする場合は、サインインのたびにカスタムドメインを入力する必要はありません。
- Diligent One からサインインする場合は、次の URL にアクセスすれば、サインインのたびにカスタムドメインを入力しないですみます。https://accounts.highbond.com/saml/sso?custom_domain=<カスタムドメイン>
複数の Diligent One インスタンスへのサインイン
If you have access to multiple instances of Diligent One, you are brought to the instance you used most recently. You can switch instances normally. For more information, see Diligent One 組織の切り替え.
SSO が有効になっているときのログアウト方法
Diligent One は、ワークフローを開始する ID プロバイダーを使用して、SLO(シングルログアウト)をサポートします。 SLO URL は次のとおりです。
https://accounts.highbond.com/saml/slo/<お使いのカスタム ドメイン>
セッションの有効期限が機能する仕組み
Diligent One セッションの有効期限が切れたり、Diligent One からログアウトを試みたりするときは、まず、ID プロバイダーからログアウトする必要があります。 そうしないと、Diligent One のサインインに自動的に戻ります。
たとえば、インスタンスのセッションの有効期限が 3 時間後であり、ご利用の ID プロヴァイダーのセッションの有効期限が 3 日後である場合は、3 日間、Diligent One に自動でサインインされています。
セキュリティのため、ご利用の ID プロバイダーの有効期限がお使いのインスタンスのセッションの有効期限より短くなっていることを御社で確認してください。
[ 組織の更新 ]ページでインスタンスのセッションの有効期限を変更できます。詳細については、組織の設定の更新を参照してください。
Diligent One の SSO インスタンスにユーザーを追加した場合に自動的に行われること
Diligent One は、SAML を提供する JIT(ジャストインタイム)をサポートします。 ユーザーが初めてログインするときに、同じ電子メールを持つ対応するユーザーアカウントが Diligent One に作成されます。
電子メールアドレスとドメインアカウントの一致
Diligent は、ユーザーが優先する ID プロバイダーとユーザー名を決定します。 各ユーザーの電子メール アドレスとドメイン アカウントは一致している必要があります。 ユーザーの電子メールアドレスとドメインアカウントが一致していない場合は、ディレクトリアクセスサービスでユーザーのエイリアスを設定する必要があります。
Diligent One アプリのサブスクリプションとアクセス権
ユーザーにはサブスクリプションは割り当てられず、Diligent One アプリへのアクセス権も付与されません。システム管理者は、ユーザーが確実にインスタンスで適切なアクセス権を持つように、Launchpad でユーザーにロールとサブスクリプションを割り当てる必要があります。
SSO の無効化
御社でいったん SSO を有効化し、後でそれを無効化することに決定した場合:
- SSO が有効になる前にパスワードを設定していなかったユーザーがパスワードを取得するには、サインイン ページで[パスワードを再設定する]をクリックする必要があります。
- SSO が有効になる前にパスワードを設定していたユーザーは、ユーザー名とパスワードを使用してサインインすることができます。
SSO と SAML
Diligent One は、OASIS SAML 2.0 プロトコルに従う ID プロバイダーの SSO の統合をサポートします。
OASIS SAML 2.0 とは?
SSO を使用すると、ユーザーは OASIS SAML 2.0(Security Assertion Markup Language 2.0)を使ってサインインできるようになります。OASIS SAML 2.0 は 2 つの Web アプリケーションの間で ID をやり取りして認証するための書式です。
OASIS SAML 2.0 には次が含まれます。
- ユーザー要求サービス
- サービス プロバイダーまたはアプリケーション提供サービス (Diligent One)
- ユーザー情報を管理するリポジトリまたは ID プロバイダー
SSO が有効化されたインスタンスでは、ユーザーが Diligent One へのサインイン時に認証されるのは、サポートされている SAML ID プロバイダーを使用した場合です。自社の SAML ID プロバイダーでユーザーが有効化されていない場合には、そのユーザーはアクセスを拒否されます。
サポートされているワークフロー
SSO を設定すると、次のワークフローがサポートされるようになります。
- ID プロバイダーによる開始 - ID プロバイダーのランディングページから Diligent One にアクセスします。
- サービスプロバイダーによる開始 - Diligent One のホームページから Diligent One にアクセスします。
ID プロバイダーが開始した認証プロセス
サービス プロバイダーが開始した認証プロセス
退職するユーザーのオフボーディング
ユーザーが会社を退職する場合のオフボーディングのプロセスは、ID プロバイダーからユーザーを削除することです。 これがどの程度具体的にユーザーに影響を及ぼすかは、アクセスできていたインスタンス、およびそのインスタンスの設定状況によって異なります。
- このユーザーが SSO が有効化されたインスタンスの一部であっただけである場合は、Diligent One のインスタンスに今後はアクセスできなくなります。
- このユーザーが SSO が有効化されたインスタンス、かつ他の非 SSO インスタンスの一部であった場合:
- ID プロバイダーからこのユーザーを削除した場合、ユーザーは Diligent One のインスタンスにアクセスできなくなります。 このユーザーが非 SSO インスタンスにアクセスしようとすると、「組織では、シングルサインオンが有効になっています。 組織のカスタムドメインにサインインしてください。」というエラーメッセージが表示されます。
- このユーザーを SSO が有効なインスタンスから手動で削除した場合は、ユーザーがパスワードをリセットすると、非 SSO インスタンスに今後もアクセスできてしまいます。
