Workplace from Metaの提供は終了します。Workplaceは2025年8月31日まで今まで通りご利用いただけます。詳しくはヘルプセンターをご覧ください。
日本語
ログイン
ホーム
ホーム
    セキュリティ
    Workplaceでは、何をするにもセキュリティが中心です。世界クラスのインフラストラクチャーと機能群で企業の安全を守ります。
    リソース
    Workplaceで働き方を変革するために必要なすべてのリソースに、ここからアクセスできます。
        Workplaceの利用を始める
        役立つチュートリアルから詳細なローンチガイドやツールキットまで、迅速で簡単なローンチに必要なすべてのリソースを入手できます。
        ポッドキャスト
        パイオニアポッドキャストでは、すばらしい成功事例を聞くことができます。
        技術リソースセンター
        Workplaceの設定方法やドメインの管理方法、またその他の技術的な問題のヒントをご覧ください。
        技術リソース
        Workplaceの導入にITの専門知識は不要ですが、こちらにIT技術者向けのリソースをまとめました。
        ヘルプセンター
        詳しい説明や、よくある質問への回答を確認できます。
        サポート
        それでも答えが見つからない場合は、エキスパートチームに問い合わせて実践的なサポートを受けましょう。
        設定ガイド
        ドメインの追加やユーザーの招待など、Workplaceの設定時に必要な手順を説明したガイドです。
        ドメインの管理
        ドメインの管理が重要な理由と管理を適切に行う方法を説明します。
        Workplace統合
        すべてのツールを統合する方法をご紹介します。必要なものが見つからない場合は、カスタム統合の開発方法を確認しましょう。
        アカウント管理
        ユーザーアカウントの作成、管理、停止を行って、Workplaceを最新の状態に保ちましょう。
        認証
        現在利用中のアイデンティティソリューションを統合して、適切なユーザーにのみアクセス許可を割り当てましょう。
        IT設定
        ネットワーク、メールアドレスのホワイトリスト、ドメインに関する情報を使って、Workplaceのスムーズな運用を維持する方法をご紹介します。
        アカウントのライフサイクル
        組織のメンバーを招待してアカウントを取得してもらうプロセスを理解しましょう。
        セキュリティとガバナンス
        ユーザーと情報の安全を確保するためのWorkplaceのしくみについて、重要な情報を確認できます。追加で技術用語についても説明しています。
        Workplace API
        当社のAPIを使用して、カスタムソリューションを自動化してWorkplaceと統合する方法を説明します。
        利用の開始
        Workplaceの運用開始から支払いまで、導入開始にあたっての重要な手順を説明します。
        Workplaceの活用
        Workplaceの隠れた可能性について説明した、主要な機能に関するアドバイスと情報をご覧ください。
        Workplaceを管理
        コンテンツ、データ、社員の管理について具体的な質問がある場合は、こちらからお問い合わせください。
        ITと開発者サポート
        セキュリティや統合などについてより技術的な質問への回答が必要な場合は、こちらから始めましょう。
        サポート
        それでも答えが見つからない場合は、エキスパートチームに問い合わせて実践的なサポートを受けましょう。
        お問い合わせはこちら
        Workplaceアカウントで役立つリソースこのフォームに必要事項を入力すると、適切な回答をカスタマーサポートから受けられます。
        セキュリティ
        リソース
        セキュリティ
          Workplaceの利用を始める
            技術リソース
            ポッドキャスト
              ヘルプセンター
              サポート
              日本語
              ログイン

              認証

              ユーザーにWorkplaceへのアクセスを許可するためのオプションについて説明します。

              内容

              概要

              概要

              シングルサインオン(SSO)を使用すると、管理者が管理しているアイデンティティプロバイダー(IdP)を介してユーザーがWorkplaceにアクセスできるようになります。管理者や管理チームには次のようなメリットがあります。

              • 安全性の向上: セキュリティおよびガバナンスレイヤーを追加できます(認証情報が会社の管理対象システム外に保存されたり、ネットワークを介して送信されたりすることはありません)。
              • エンドユーザーの利便性の向上: 他のシステム(ノートパソコンや内部アプリなど)と同じSSO認証情報を使用してWorkplaceにサインインできるため、ユーザーはWorkplaceのパスワードを覚えていなくてもアクセスできます。

              Workplaceは、Azure AD、G Suite、Okta、OneLogin、Ping Identityなど、複数のアイデンティティプロバイダーによって直接サポートされており、これらのプロバイダーから設定を簡略化するダイレクトコネクターが提供されています。

              ?
              Workplaceは、SSO用にSAML (Security Assertion Markup Language) 2.0をサポートしています。これは業界標準であるため、このページに記載されていない場合でも、SAML 2.0をサポートするすべてのアイデンティティプロバイダーと簡単に統合したり、独自のSSO実装を作成したりできます。

              WorkplaceのSSOをオンにする

              次のSSO設定が正常に完了すると、Workplaceでプロビジョニングされたユーザーは、選択したアイデンティティプロバイダーを介して認証できるようになります。

              必要条件

              必要条件

              WorkplaceでSSO認証を有効にするには、次の条件を満たしている必要があります。

              • アイデンティティプロバイダーの設定へのアクセス権がある。
              • Workplaceでシステム管理者の役割が付与されている。
              • Workplaceへのログインに使用しているユーザーと同じメールアドレスを持つ対応アカウントがアイデンティティプロバイダーに存在する(つまり、Workplaceとアイデンティティプロバイダーの両方で同じメールアドレスを認証に使用している)。これは、SSOをテストしてWorkplaceの設定を正しく完了するために不可欠です。
              ?
              デフォルトで、WorkplaceはインスタンスごとにSSOのためのアイデンティティプロバイダーを1つサポートします。つまり、各ユーザーに対してSSOを有効にするには、SSO用のグローバルアイデンティティプロバイダーを1つ用意する必要があります。Workplaceでは、一部のユーザーがSSOを使用して認証し、他のユーザーがWorkplaceのユーザーネームとパスワードの認証情報を使用して認証するという、認証方法が混在するシナリオもサポートしています。その他に、複数のアイデンティティプロバイダーをサポートするエンタープライズプランもあります。

              概要の説明

              SSOを有効にするには、アイデンティティプロバイダーとWorkplaceにいくつかの変更を加える必要があります。これは、次の3つのステップで実行します。

              1
              WorkplaceのSSOを有効にするようにアイデンティティプロバイダー(IdP)を設定する。

              2
              SSOを介してユーザーを認証するようにWorkplaceを設定する。

              3
              ユーザーのSSOを有効にする。

              各ステップの詳細は次のとおりです。

              IdPでWorkplaceのSSOを設定する

              1. WorkplaceのSSOを有効にするようにIdPを設定する

              お使いのアイデンティティプロバイダーの指示に従って、WorkplaceのSSOを設定します。Workplaceでサポートされているクラウドベースのアイデンティティプロバイダーはすべて、Workplaceのセットアップを簡単に行えるようにあらかじめ設定されたアプリを提供しています。

              G Suite
              Azure AD
              Okta
              OneLogin
              Ping
              Duo

              Workplaceは、SSOプロバイダーとしてADFSもサポートしています。詳細は、「WorkplaceのSSOプロバイダーとしてADFSを設定する方法」をご覧ください。

              上に挙げたすべての設定で、少なくともSAML URL、SAML発行元URLX.509証明書は提供されています。これは、次のステップでWorkplaceを設定する際に使用します。これらを書き留めておいてください

              ?
              X.509証明書では、次のステップで使用するために、ダウンロードした証明書をテキストエディターで開かなければならない場合があります。
              SSOを介してユーザーを認証するようにWorkplaceを設定する

              2. SSOを介してユーザーを認証するようにWorkplaceを設定する

              SSOプロバイダーとWorkplaceを連携させるには、次の手順に従います。

              1
              [管理者用パネル][セキュリティ]を選択します。

              2
              [認証]タブをクリックします。

              3
              [シングルサインオン(SSO)]チェックボックスをオンにします。

              4
              [+新しいSSOプロバイダーを追加]をクリックします。

              5
              アイデンティティプロバイダーから提供された値を対応するフィールドに入力します。
              • SAML URL
              • SAML発行元URL
              • SAMLログアウトリダイレクト(任意)
              • SAML証明書

              ?
              アイデンティティプロバイダーによっては、[SAML設定]セクションにある[オーディエンスURL][受信者のURL][ACS (Assertion Consumer Service) URL]の値をコピーして、アイデンティティプロバイダーを設定しなければならない場合があります。

              5
              セクションの一番下までスクロールし、[SSOをテスト]ボタンをクリックします。アイデンティティプロバイダーのログインページが示されたポップアップウィンドウが表示されます。ログイン情報を入力して認証します。

              ?
              トラブルシューティング: IdPによる認証に使用するメールアドレスは、ログインするWorkplaceアカウントのメールアドレスと同じものを使用してください。

              6
              テストが完了したら、ページの一番下までスクロールし、[保存する]ボタンをクリックします。

              7
              必要に応じて、SSOを新規ユーザーのデフォルトの認証方法として設定します。それには、[新規メンバーの標準設定]ドロップダウンで[SSO]を選択してください。

              3. ユーザーのSSOを有効にする

              ユーザーのSSOを有効にする

              これで、次のいずれかの方法でユーザーのSSOを有効にできるようになりました。

              • 1人のユーザーのSSOを有効にする
              • すべてまたは一部のユーザーのSSOを一括で有効にする

              1人のユーザーのSSOを有効にする

              1人のユーザーのSSOを有効にするには、アカウントの追加と削除を行うアクセス許可を持つ管理者としてログインします。

              1
              [管理者用パネル][ユーザー]を選択します。

              2
              SSOを有効にするユーザーを検索します。

              3
              [...]ボタンをクリックし、[ユーザー情報を編集]を選択します。

              4
              [次を使用してログイン]でSSOを選択します。
              すべてまたは一部のユーザーのSSOを一括で有効にする

              すべてまたは一部のユーザーのSSOを有効にする場合は、複数の方法を使用できます。

              • アカウント管理APIを使用して、一連のユーザーの[ログイン方法]フィールドを自動的に更新します。Workplaceと連携しているほとんどのアイデンティティプロバイダーでは、このようなAPIを利用して、社内のすべてのユーザーの認証設定を一括で同期します。詳細は、「アカウント管理API」をご覧ください。
              • [ログイン方法]は、一括編集に対応しているフィールドの1つです。スプレッドシートのインポート機能を使うことで、一連のユーザーのLogin methodフィールドをSSOに設定できます。詳細は、「一括アカウント管理」をご覧ください。
              SAMLログアウトリダイレクト

              SAMLログアウトリダイレクト(任意)

              必要に応じて、SSO設定ページでSAMLログアウトURLを設定することができます。SAMLログアウトURLは、アイデンティティプロバイダーのログアウトページを指定するために使用します。この設定を有効にすると、以降はWorkplaceのログアウトページにリダイレクトされなくなり、代わりに、SAMLログアウトリダイレクト設定に追加したURLにリダイレクトされるようになります。

              再認証の頻度

              再認証の頻度

              WorkplaceでSAMLチェックを求める頻度を、毎日、3日ごと、1週間ごと、2週間ごと、1か月ごと、しない、のいずれかに設定できます。すべてのユーザーにSAMLをリセットしてもらうために、[今すぐ強制的に再認証する]ボタンを使用することもできます。

              Workplace SSOアーキテクチャ

              Workplace SSOアーキテクチャ

              ?
              このセクションでは、WorkplaceでサポートされるSSOフローの詳細を説明します。カスタムSAMLベースのSSOソリューションの場合は、上述のガイドラインに従って、認証用にWorkplaceと統合する必要があります。

              Workplaceは、SSO用のSAML 2.0をサポートしており、管理者は自分の管理するアイデンティティプロバイダー(IdP)を使用して、プラットフォームへのアクセスを管理することができます。Workplaceは、SAMLベースのアサーションをIdPから受信して​​承諾し、以下の認証フローでSAMLサービスプロバイダー(SP)として機能します。

              1
              SPが開始したSSOの場合。SSOを利用しているユーザーはWorkplaceの登録ページに移動し、そこで次の操作を実行します。
              • ユーザーネームを入力して[次へ]ボタンをクリックするか、または
              • [SSOでログイン]ボタンをクリックする

              2
              Workplaceが、SPからIdPへのHTTPリダイレクトバインディングを実行します。リクエストで渡される<samlp:AuthnRequest>オブジェクトには、WorkplaceインスタンスIDを含むIssuerや、IdPとSPの間で事前に合意されたNameIDPolicyのようなデータが含まれます。後者は、リクエストされたサブジェクトを表すために使用される名前識別情報に関する制約を指定します。Workplaceでは、NameIDにユーザーのメールアドレスが含まれている必要があります(nameid-format:emailAddress)。

              3
              Workplaceでは、IdPからSPへのHTTP POSTバインディングが必要です。認証ステータスなどのユーザーアサーションを含むSAMLトークンが返されます。WorkplaceポストバックURL (Assertion Consumer Service URLとも呼ばれる)はIDPレベルで設定され、会社のWorkplaceインスタンスの/work/saml.phpエンドポイントを指します。

              4
              Workplaceは、ユーザーを許可する前に、次の事項についてチェックします。
              • IdPが発行した証明書で応答が署名されていること
              • SAMLアサーションで返されたemailAddressが、SSOフローの開始に使用されたものと一致していること
              • 認証が成功していること(<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>)