認証

利用者にWorkplaceへのアクセスを許可するためのオプションについて説明します。

コンテンツ

概要

概要

シングルサインオン(SSO)を使用すると、利用者が管理するアイデンティティプロバイダー(IdP)を介してWorkplaceにアクセスできます。利用者やそのチームに次のようなメリットがあります。

  • 安全性の向上: 追加のセキュリティおよびガバナンスレイヤーを利用できます(認証情報が、会社の管理対象システムの外部に保存されたり、ネットワークを介して送信されたりすることはありません)。
  • エンドユーザーの利便性の向上: 他のシステム(ノートパソコンや内部アプリなど)と同じSSO認証情報を使用してWorkplaceにサインインできるため、利用者は別のパスワードを覚えていなくてもWorkplaceにアクセスできます。

Workplaceは、Azure AD、G Suite、Okta、OneLogin、Ping Identityなどのアイデンティティプロバイダーによって直接サポートされています。これらのプロバイダーからは、設定を簡略化するためのダイレクトコネクターが提供されています。

?
WorkplaceはSSO用にSAML (Security Assertion Markup Language) 2.0をサポートしています。これは業界標準であるため、このページに記載されていない場合でも、SAML 2.0をサポートするすべてのアイデンティティプロバイダーと簡単に統合したり、独自のSSO実装を作成したりできます。

WorkplaceのSSOをオンにする

次のSSO設定が正常に完了すると、Workplaceにプロビジョニングされた利用者は、選択したアイデンティティプロバイダーを介して認証できるようになります。

必要条件

必要条件

WorkplaceでSSO認証を有効にするには、次の条件が必要です。

  • アイデンティティプロバイダーの設定へのアクセス権があること。
  • Workplaceでシステム管理者の役割が付与されていること。
  • ログインしているWorkplace利用者と同じメールを持つ、対応するアカウントがアイデンティティプロバイダーに存在すること(つまり、Workplaceとアイデンティティプロバイダーの両方における認証には、同じメールアドレスを使用します)。これは、SSOをテストしてWorkplaceの設定を正しく完了するために不可欠です。
?
Workplaceでは、インスタンスごとにSSOにアイデンティティプロバイダーが1つサポートされます。つまり、すべての利用者に対してSSOを有効にするには、SSOのグローバルアイデンティティプロバイダーを用意する必要があります。また、一部の利用者がSSOを使用して認証し、他の利用者がWorkplaceのユーザーネームとパスワードの認証情報を使用して認証するという、認証方法が混在するシナリオもサポートされています。

概要説明

SSOを有効にするには、アイデンティティプロバイダーとWorkplaceにいくつかの変更が必要です。アイデンティティプロバイダーによっては、設定が異なる場合がありますが、おおまかな手順は次のようになります。

1
アイデンティティプロバイダー(IdP)を設定してWorkplaceのSSOを有効にします。

2
SSOを介して利用者を認証するようWorkplaceを設定します。

3
利用者のSSOを有効にします。

各ステップの詳細は次のとおりです。

WorkplaceでのSSO用にIdPを設定する

1. IdPを設定してWorkplaceのSSOを有効にする

お使いのアイデンティティプロバイダーの指示に従って、Workplace用にSSOを設定します。当社がサポートするすべてのクラウドベースのアイデンティティプロバイダーは、Workplaceのセットアップを簡略化するための設定済みのアプリを提供しています。

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

WorkplaceはSSOプロバイダーにADFSもサポートしています。詳細は、「WorkplaceのSSOプロバイダーとしてADFSを設定する方法」をご覧ください。

上述のすべての設定で、少なくともSAML URL、SAML発行元URLX.509証明書が提供されます。これは、次のステップでWorkplaceを設定する際に使用します。これらを書き留めておいてください

?
X.509証明書では、次のステップで使用するために、ダウンロードした証明書をテキストエディターで開かなければならない場合があります。
SSOを介して利用者を認証するようWorkplaceを設定する

2. SSOを介して利用者を認証するようWorkplaceを設定する

アイデンティティプロバイダーの設定が終わったら、次の手順を実行します。

1
[管理者用パネル]に進み、[セキュリティ]セクションに移動します。

2
[認証]タブに移動します。

3
[シングルサインオン(SSO)]チェックボックスをオンにします。

4
次の各フィールドに、アイデンティティプロバイダーから提供された値を入力します。
  • SAML URL
  • SAML発行元URL
  • SAMLログアウトリダイレクト(任意)
  • SAML証明書

5
アイデンティティプロバイダーによっては、[SAML設定]セクションにある[オーディエンスURL][受信者のURL][ACS (Assertion Consumer Service) URL]の値をコピーして、アイデンティティプロバイダーを設定しなければならない場合があります。

6
セクションの一番下までスクロールし、[SSOをテスト]ボタンをクリックします。アイデンティティプロバイダーのログインページが表示されたポップアップウィンドウが表示されます。ログイン情報を入力して認証します。

?
トラブルシューティング: IdPの認証に使用するメールアドレスは、ログインするWorkplaceアカウントのメールアドレスと同じものを使用してください。

7
テストが完了したら、ページの一番下までスクロールし、[保存する]ボタンをクリックします。

3. 利用者のSSOを有効にする

利用者のSSOを有効にする

インスタンスの認証の設定方法に応じて、次の操作を実行します。

  • 利用者のSSOを有効にしますアカウントの追加と削除を行うアクセス許可を持つ管理者としてログインすると、利用者のSSOを有効にできます。次に、以下の手順を実行して利用者のSSO設定を変更します。

    1
    [管理者用パネル]に進み、[利用者]セクションに移動します。

    2
    認証設定を変更する利用者を検索します。

    3
    [...]ボタンをクリックし、[社員情報を編集]を選択します。

    4
    [次でログイン]フィールドをSSOに変更します。
  • すべてのWorkplace利用者のSSOを有効にしますシステム管理者の役割を持つ管理者としてログインすると、すべての利用者のSSOを有効にできます。このアクセス許可を持つ管理者としてログインしたら、次の手順に従ってすべてのWorkplace利用者のSSO設定を変更します。

    1
    [管理者用パネル]に進み、[セキュリティ]セクションに移動します。

    2
    [認証]タブに移動します。

    3
    すべての利用者をSSOに切り替える場合は、[パスワード]チェックボックスのチェックを外します。
  • 一部の利用者のSSOを有効にします。利用者のサブセットに対してのみSSOを選択的に有効にする場合は、さまざまな方法を使用できます。

    [ログイン方法]は、一括編集でサポートされているフィールドの1つです。csvインポート機能を使用すれば、一連の利用者の[ログイン方法]をSSOに設定できます。詳細は、「一括アカウント管理」をご覧ください。

    別の方法として、アカウント管理APIを使用して、一連の利用者の[ログイン方法]を自動的に更新することもできます。詳細は、「アカウント管理API」をご覧ください。

SAMLログアウトリダイレクト

SAMLログアウトリダイレクト(任意)

必要に応じて、SSO設定ページのSAMLログアウトURLを設定できます。この設定を使用すると、アイデンティティプロバイダーのログアウトページを指定できます。この設定を有効にすると、以降はWorkplaceのログアウトページにリダイレクトされなくなります。代わりに、SAMLログアウトリダイレクト設定に追加したURLにリダイレクトされるようになります。

再認証の頻度

再認証の頻度

WorkplaceでSAMLチェックの表示頻度を、毎日、3日ごと、1週間ごと、2週間ごと、1か月ごと、しない、のいずれかに設定できます。[今すぐ強制的に再認証する]ボタンを使用すると、すべての利用者のSAMLを強制的にリセットすることもできます。

Workplace SSOアーキテクチャ

Workplace SSOアーキテクチャ

?
このセクションでは、WorkplaceでサポートされるSSOフローの詳細を説明します。カスタムSAMLベースのSSOソリューションの場合は、上述のガイドラインに従って、認証用にWorkplaceと統合する必要があります。

Workplaceは、SSO用のSAML 2.0をサポートします。その際には、管理者が自分の管理するアイデンティティプロバイダー(IdP)を使用して、プラットフォームへのアクセスを管理するオプションを提供します。WorkplaceはSAMLベースのアサーションをIdPから受信して​​承諾し、次の認証フローではSAMLサービスプロバイダー(SP)として機能します。

1
SPが開始したSSOの場合。SSO対応利用者はWorkplaceサインインページ移動します。その後、次の操作を実行します。
  • ユーザーネームを入力して[次へ]ボタンをクリックするか、
  • [SSOでログイン]ボタンをクリックします。

2
Workplaceが、SPからIdPへのHTTPリダイレクトバインディングを実行します。リクエストで渡される<samlp:AuthnRequest>オブジェクトには、WorkplaceインスタンスIDを含むIssuerや、IdPとSPの間で事前に合意されたNameIDPolicyのようなデータが含まれます。後者は、リクエストされたサブジェクトを表すために使用される名前識別情報に関する制約を指定します。Workplaceでは、NameIDに利用者のメールアドレスが含まれている必要があります(nameid-format:emailAddress)。

3
Workplaceでは、IdPからSPへのHTTP POSTバインディングが必要です。認証ステータスなどのユーザーアサーションを含むSAMLトークンが返されます。WorkplaceポストバックURL(Assertion Consumer Service URLとも呼ばれる)はIDPレベルで設定され、会社のWorkplaceインスタンス/work/saml.phpエンドポイントを指します。

4
Workplaceは、利用者を許可する前に、次の項目をチェックします。
  • 応答にIdPが発行した証明書で署名がなされていること。
  • SAMLアサーションで返されるemailAddressがSSOフローの開始に使用されたものと一致すること。
  • 認証が成功していること(<samlp:​StatusCode Value="urn:​oasis:​names:​tc:​SAML​:2.0:​status:Success"/>)。