概要
シングルサインオン(SSO)を使用すると、管理者が管理しているアイデンティティプロバイダー(IdP)を介してユーザーがWorkplaceにアクセスできるようになります。管理者や管理チームには次のようなメリットがあります。
- 安全性の向上: セキュリティおよびガバナンスレイヤーを追加できます(認証情報が会社の管理対象システム外に保存されたり、ネットワークを介して送信されたりすることはありません)。
- エンドユーザーの利便性の向上: 他のシステム(ノートパソコンや内部アプリなど)と同じSSO認証情報を使用してWorkplaceにサインインできるため、ユーザーはWorkplaceのパスワードを覚えていなくてもアクセスできます。
Workplaceは、Azure AD、G Suite、Okta、OneLogin、Ping Identityなど、複数のアイデンティティプロバイダーによって直接サポートされており、これらのプロバイダーから設定を簡略化するダイレクトコネクターが提供されています。
WorkplaceのSSOをオンにする
次のSSO設定が正常に完了すると、Workplaceでプロビジョニングされたユーザーは、選択したアイデンティティプロバイダーを介して認証できるようになります。
必要条件必要条件
WorkplaceでSSO認証を有効にするには、次の条件を満たしている必要があります。
- アイデンティティプロバイダーの設定へのアクセス権がある。
- Workplaceでシステム管理者の役割が付与されている。
- Workplaceへのログインに使用しているユーザーと同じメールアドレスを持つ対応アカウントがアイデンティティプロバイダーに存在する(つまり、Workplaceとアイデンティティプロバイダーの両方で同じメールアドレスを認証に使用している)。これは、SSOをテストしてWorkplaceの設定を正しく完了するために不可欠です。
概要の説明
SSOを有効にするには、アイデンティティプロバイダーとWorkplaceにいくつかの変更を加える必要があります。これは、次の3つのステップで実行します。
各ステップの詳細は次のとおりです。
IdPでWorkplaceのSSOを設定する1. WorkplaceのSSOを有効にするようにIdPを設定する
お使いのアイデンティティプロバイダーの指示に従って、WorkplaceのSSOを設定します。Workplaceでサポートされているクラウドベースのアイデンティティプロバイダーはすべて、Workplaceのセットアップを簡単に行えるようにあらかじめ設定されたアプリを提供しています。
Workplaceは、SSOプロバイダーとしてADFSもサポートしています。詳細は、「WorkplaceのSSOプロバイダーとしてADFSを設定する方法」をご覧ください。
上に挙げたすべての設定で、少なくともSAML URL、SAML発行元URL、X.509証明書は提供されています。これは、次のステップでWorkplaceを設定する際に使用します。これらを書き留めておいてください。
2. SSOを介してユーザーを認証するようにWorkplaceを設定する
SSOプロバイダーとWorkplaceを連携させるには、次の手順に従います。
- SAML URL
- SAML発行元URL
- SAMLログアウトリダイレクト(任意)
- SAML証明書
3. ユーザーのSSOを有効にする
ユーザーのSSOを有効にするこれで、次のいずれかの方法でユーザーのSSOを有効にできるようになりました。
- 1人のユーザーのSSOを有効にする
- すべてまたは一部のユーザーのSSOを一括で有効にする
1人のユーザーのSSOを有効にする
1人のユーザーのSSOを有効にするには、アカウントの追加と削除を行うアクセス許可を持つ管理者としてログインします。
すべてまたは一部のユーザーのSSOを一括で有効にする
すべてまたは一部のユーザーのSSOを有効にする場合は、複数の方法を使用できます。
- アカウント管理APIを使用して、一連のユーザーの[ログイン方法]フィールドを自動的に更新します。Workplaceと連携しているほとんどのアイデンティティプロバイダーでは、このようなAPIを利用して、社内のすべてのユーザーの認証設定を一括で同期します。詳細は、「アカウント管理API」をご覧ください。
- [ログイン方法]は、一括編集に対応しているフィールドの1つです。スプレッドシートのインポート機能を使うことで、一連のユーザーの
Login methodフィールドをSSOに設定できます。詳細は、「一括アカウント管理」をご覧ください。
SAMLログアウトリダイレクト(任意)
必要に応じて、SSO設定ページでSAMLログアウトURLを設定することができます。SAMLログアウトURLは、アイデンティティプロバイダーのログアウトページを指定するために使用します。この設定を有効にすると、以降はWorkplaceのログアウトページにリダイレクトされなくなり、代わりに、SAMLログアウトリダイレクト設定に追加したURLにリダイレクトされるようになります。
再認証の頻度再認証の頻度
WorkplaceでSAMLチェックを求める頻度を、毎日、3日ごと、1週間ごと、2週間ごと、1か月ごと、しない、のいずれかに設定できます。すべてのユーザーにSAMLをリセットしてもらうために、[今すぐ強制的に再認証する]ボタンを使用することもできます。
Workplace SSOアーキテクチャ
Workplaceは、SSO用のSAML 2.0をサポートしており、管理者は自分の管理するアイデンティティプロバイダー(IdP)を使用して、プラットフォームへのアクセスを管理することができます。Workplaceは、SAMLベースのアサーションをIdPから受信して承諾し、以下の認証フローでSAMLサービスプロバイダー(SP)として機能します。
- ユーザーネームを入力して[次へ]ボタンをクリックするか、または
- [SSOでログイン]ボタンをクリックする
<samlp:AuthnRequest>オブジェクトには、WorkplaceインスタンスIDを含むIssuerや、IdPとSPの間で事前に合意されたNameIDPolicyのようなデータが含まれます。後者は、リクエストされたサブジェクトを表すために使用される名前識別情報に関する制約を指定します。Workplaceでは、NameIDにユーザーのメールアドレスが含まれている必要があります(nameid-format:emailAddress)。 /work/saml.phpエンドポイントを指します。- IdPが発行した証明書で応答が署名されていること
- SAMLアサーションで返された
emailAddressが、SSOフローの開始に使用されたものと一致していること - 認証が成功していること(
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>)
