シングル サインオン(SSO)の設定
SSO は、一度だけサインインしたあとに、ユーザーが複数のアプリケーションにアクセスできるようにする認証プロセスです。Diligent One は、OASIS SAML 2.0 プロトコルに従う ID プロバイダーの SSO の統合をサポートします。
その他の認証シナリオでは、潜在的なセキュリティリスクが企業に発生するため、Diligent One による SSO のサポートは限定的になります。
アクセス許可
システム管理者のみが、自社の SSO 設定を構成できます。
要件
- お使いの ID プロバイダーは OASIS SAML 2.0 プロトコルに従っている必要があります。
- SSO が有効になっている Diligent One インスタンスのユーザーは、すべて ID プロバイダーによって認証される必要があります。
あなたのユーザーが複数のインスタンスにアクセスする場合
ID プロバイダーによって認証されるユーザーが複数の Diligent One インスタンスにアクセスできるのは、それらのインスタンスのすべてが同じ企業に属する場合に限ります。
それらのインスタンスがすべて同じ企業に属するかどうかをチェックするには、各インスタンスの[組織の設定]で[顧客名]を確認してください。この[顧客名]の値が、SSO ユーザーがアクセスする必要のあるすべてのインスタンスで同一である必要があります。詳細については、組織の設定の更新を参照してください。あるいは別の方法として、インスタンス スイッチャーを使って、問題のインスタンスが同じ企業名の下にインデントされていることを確認するという方法もあります。詳細については、Diligent One インスタンスの切り替えを参照してください。
お使いのインスタンスが属する企業を変更したい場合は、サポートにお問い合わせください。
認証は地域に限定されません。ユーザーは複数の地域にある Diligent One インスタンスにアクセスできます。
ユーザーがトレーニングインスタンスにアクセスする場合
ID プロバイダーを通じて認証するユーザーは、同じ会社に自動的にリンクするトレーニングインスタンスを作成できます。
追加のユーザーは、同じ電子メールアドレスで異なるトレーニングインスタンスにまだ属していない限りは、このトレーニングインスタンスに追加できます。
あなたのユーザーが複数の企業で働く場合
複数の企業で働くユーザー(例:コンサルタント)は、SSO を使用できません。
自社の Diligent One ユーザーが、SSO が有効になっている他社のインスタンスを既に使用している場合は、管理者はそのユーザーに対して SSO を有効化することはできません。管理者がそのユーザーに対して SSO を有効にするには、そのユーザーを自社の Diligent One から削除するか、そのユーザーに他社の Diligent One から削除されるように依頼する必要があります。
SSO と 2FA は併用できません
シングルサインオンで 2 要素認証は使用できません。SSO と 2FA の両方を使用する必要がある場合、SSO 識別プロバイダー独自の 2FA 機能を使用する必要があります。SSO が有効な場合、Diligent One は 2FA を有効にすることを許可しません。同様に、インスタンスのいずれかのメンバーが 2FA を使用している場合、Diligent One は SSO を有効にすることを許可しません。
SSO を有効にする方法
Diligent One で SSO を有効にするには、数個のタスクを実行する必要があります。
- ID プロバイダーで SSO を設定します。
- Launchpad で SSO を有効にします。
- Launchpad を開きます。
- [プラットフォームの設定]>[ 組織]をクリックします。
- [SSO 設定を管理]をクリックします。
- SSO フィールド(詳細は下記)に入力し、[シングル サインオン(SSO)の有効化]をオンにします。
- [変更の保存]をクリックします。
- SSO が有効化されたインスタンスにユーザーを追加します。
Diligent One を ID プロバイダーをリンク付けするには、すべてのユーザーの名、姓、電子メールアドレスを指定する必要があります。詳細については、ユーザーを追加する方法を参照してください。
詳しい構成の情報については、サポートで SSO の記事を検索してください。
SSO フィールド
| フィールド | 定義 |
|---|---|
| カスタムドメイン |
インスタンスを特定し、自社のユーザーが Diligent One にサインインできるようにする一意の名前。カスタムドメインは、地域コードを使って追加されるインスタンスのサブドメインです。 メモ
[ 組織の更新]ページでインスタンスのサブドメインを変更できます。詳細については、組織の設定の更新を参照してください。 |
| エンティティ ID | SAML 要求を発行する ID プロバイダーを識別する URL。これは、ご利用の ID プロバイダーに固有の URL です。 |
| メタデータの URL | Launchpad がアクセス可能な URL は、ID プロバイダーから SSO 構成データを取得します。これは、ご利用の ID プロバイダーに固有の URL です。 |
| ログイン URL のリダイレクト |
自社のユーザーが Diligent One にサインインするための ID プロバイダーの URL。 |
| ログアウトの URL | 自社ユーザーが Diligent One にサインアウトしたあとの、Diligent One による自社ユーザーのリダイレクト先 URL。 |
| セキュリティ証明書の指紋 |
ID プロバイダーから取得できる SAML 証明の SHA-1 または SHA-256 の指紋。 メモ Diligent One がサービスプロバイダーである場合は、ID プロバイダーは、SAML の回答を暗号化する必要があり、またユーザーは、Launchpad でセキュリティ証明書の指紋を構成する必要があります。 |
| シングルサインオン (SSO) の有効化 | このインスタンスに対して SSO を有効にします。 |
Launchpad サービス プロバイダー URL
SSO ID プロバイダーを構成する場合、Launchpad で次のサービス プロバイダーの URL が必要な場合があります。
- サービス プロバイダーのエンティティ ID https://accounts.highbond.com/saml/metadata/your_custom_domain
- サービス プロバイダーのアサーション消費者 URL https://accounts.highbond.com/saml/sso/consume/your_custom_domain
SSO が有効になっているときのログイン方法
SSO が有効になっているときのログイン方法は 2 つあります。
SSO が有効であるとどうなりますか?
SSO が有効である場合にサインインするには、www.highbond.com に進み、[カスタムドメインにサインインしてください]をクリックして、お使いのカスタムドメインを指定します。
または、ID プロバイダーのランディングページにある Diligent One アプリのリンクを使用して Diligent One にアクセスすることもできます。
Diligent One アプリのいずれかにアクセスする(Diligent One から送信される電子メールのリンクをクリックすることも含む)と、ID プロバイダー経由で Diligent One にリダイレクトされます。
SSO が有効化された後では、ユーザーは電子メールとパスワードを使ってサインインしたり、パスワードを変更したりすることができなくなります。
SSO を有効にすると、メールアドレスが変更できなくなります。ただし、電子メールアドレスの変更が必要な場合、システム管理者は Diligent One で SSO を無効にし、電子メールアドレスに必要な変更を加えた後、SSO を再度有効にする必要があります。さもなければ、変更された電子メールは新しいアカウントとして識別され、ユーザーは以前の資格情報から情報にアクセスできなくなります。
サインインのたびに自分のカスタム ドメインを入力する必要はありますか?
- ID プロバイダーを通じてサインインする場合は、サインインのたびにカスタムドメインを入力する必要はありません。
- Diligent One からサインインする場合は、次の URL にアクセスすれば、サインインのたびにカスタムドメインを入力しないですみます。https://accounts.highbond.com/saml/sso?custom_domain=<カスタムドメイン>
複数の Diligent One インスタンスへのサインイン
複数の Diligent One のインスタンスへのアクセス許可を持っている場合は、直近に使用したインスタンスへのサインインが自動的に行われます。インスタンス間の切り替えは、通常どおり行うことができます。詳細については、Diligent One インスタンスの切り替えを参照してください。
SSO が有効になっているときのログアウト方法
Diligent One は、ワークフローを開始する ID プロバイダーを使用して、SLO(シングルログアウト)をサポートします。SLO URL は次のとおりです。
https://accounts.highbond.com/saml/slo/<お使いのカスタム ドメイン>
セッションの有効期限が機能する仕組み
Diligent One セッションの有効期限が切れたり、Diligent One からログアウトを試みたりするときは、まず、ID プロバイダーからログアウトする必要があります。そうしないと、Diligent One のサインインに自動的に戻ります。
たとえば、インスタンスのセッションの有効期限が 3 時間後であり、ご利用の ID プロヴァイダーのセッションの有効期限が 3 日後である場合は、3 日間、Diligent One に自動でサインインされています。
セキュリティのため、ご利用の ID プロバイダーの有効期限がお使いのインスタンスのセッションの有効期限より短くなっていることを御社で確認してください。
[ 組織の更新]ページでインスタンスのセッションの有効期限を変更できます。詳細については、組織の設定の更新を参照してください。
Diligent One の SSO インスタンスにユーザーを追加した場合に自動的に行われること
Diligent One は、SAML を提供する JIT(ジャストインタイム)をサポートします。ユーザーが初めてログインするときに、同じ電子メールを持つ対応するユーザーアカウントが Diligent One に作成されます。
電子メールアドレスとドメインアカウントの一致
Diligent は、ユーザーが優先する ID プロバイダーとユーザー名を決定します。各ユーザーの電子メール アドレスとドメイン アカウントは一致している必要があります。ユーザーの電子メールアドレスとドメインアカウントが一致していない場合は、ディレクトリアクセスサービスでユーザーのエイリアスを設定する必要があります。
Diligent One アプリのサブスクリプションとアクセス権
ユーザーにはサブスクリプションは割り当てられず、Diligent One アプリへのアクセス権も付与されません。システム管理者は、ユーザーが確実にインスタンスで適切なアクセス権を持つように、Launchpad でユーザーにロールとサブスクリプションを割り当てる必要があります。
SSO の無効化
御社でいったん SSO を有効化し、後でそれを無効化することに決定した場合:
- SSO が有効化される前にパスワードを設定しなかったユーザーがパスワードを取得するには、ログイン ページで[パスワードを再設定する]をクリックする必要があります。
- SSO が有効化される前にパスワードを設定したユーザーは、ユーザー名とパスワードを使ってログインすることができます。
SSO と SAML
Diligent One は、OASIS SAML 2.0 プロトコルに従う ID プロバイダーの SSO の統合をサポートします。
OASIS SAML 2.0 とは?
SSO を使用すると、ユーザーは OASIS SAML 2.0(Security Assertion Markup Language 2.0)を使ってサインインできるようになります。OASIS SAML 2.0 は 2 つの Web アプリケーションの間で ID をやり取りして認証するための書式です。
OASIS SAML 2.0 には次が含まれます。
- ユーザー要求サービス
- サービス プロバイダーまたはアプリケーション提供サービス (Diligent One)
- ユーザー情報を管理するリポジトリまたは ID プロバイダー
SSO が有効化されたインスタンスでは、ユーザーが Diligent One へのサインイン時に認証されるのは、サポートされている SAML ID プロバイダーを使用した場合です。自社の SAML ID プロバイダーでユーザーが有効化されていない場合には、そのユーザーはアクセスを拒否されます。
サポートされているワークフロー
SSO を設定すると、次のワークフローがサポートされるようになります。
- ID プロバイダーによる開始 - ID プロバイダーのランディングページから Diligent One にアクセスします。
- サービスプロバイダーによる開始 - Diligent One のホームページから Diligent One にアクセスします。
ID プロバイダーが開始した認証プロセス
サービス プロバイダーが開始した認証プロセス
退職するユーザーのオフボーディング
ユーザーが会社を退職する場合のオフボーディングのプロセスは、ID プロバイダーからユーザーを削除することです。これがどの程度具体的にユーザーに影響を及ぼすかは、アクセスできていたインスタンス、およびそのインスタンスの設定状況によって異なります。
- このユーザーが SSO が有効化されたインスタンスの一部であっただけである場合は、Diligent One のインスタンスに今後はアクセスできなくなります。
- このユーザーが SSO が有効化されたインスタンス、かつ他の非 SSO インスタンスの一部であった場合:
- ID プロバイダーからこのユーザーを削除した場合、ユーザーは Diligent One のインスタンスにアクセスできなくなります。このユーザーが非 SSO インスタンスにアクセスしようとすると、「組織では、シングルサインオンが有効になっています。 組織のカスタムドメインにサインインしてください。」というエラーメッセージが表示されます。
- このユーザーを SSO が有効なインスタンスから手動で削除した場合は、ユーザーがパスワードをリセットすると、非 SSO インスタンスに今後もアクセスできてしまいます。
