シングルサインオン(SSO)
この記事は役に立ちましたか?
はい
いいえ
ご意見ありがとうございます!
管理センターのシングルサインオンページでは、新しい認証基盤に基づいてエンタープライズグレードのセルフサービスSSOの設定管理を提供します。
アサーション :以下のサービスプロバイダーへのステートメントを1つ以上提供するIdPが 供給するデータ:
Assertion Consumer Service(アサーションコンシューマーサービス、ACS):SAMLアサーションの受信と分析を担うサービスプロバイダーのエンドポイント(URL)。 一部のサービスプロバイダーは、ACSに別の用語を使用していることに留意してください。 OktaのSAMLテンプレートでは、こちらを シングルサインオンのURL フィールドに入力します。
Attribute(属性): ユーザーの名前、ファーストネーム(名)、従業員IDなどのユーザーに関するデータセット
Audience Restriction(オーディエンス制限): SAMLアサーションに含まれる値で、そのアサーションが対象とする人物( 限定可能 )を指定します。 [audience(オーディエンス)]はサービスプロバイダーであり、通常はURLですが、技術的には任意の文字列のデータとしてフォーマットすることができます。 この値がSPから提供されない場合は、ACSを使用します。
Default Relay State(デフォルトリレーの状態): SAMLによる認証が成功した後にユーザーが移動するURL。
エンドポイント: サービスプロバイダーとIDプロバイダーが互いに通信する際に使用されるURL。
Entity ID(エンティティID): IDプロバイダーまたはサービスプロバイダーのグローバルに固有な名前。 固有のOkta Entity IDはアプリケーションごとに生成され、Oktaアプリケーションの設定手順で Identity Provider Issuer(IDプロバイダーの発行者) と呼ばれています。
Identity Provider(IDプロバイダー、IdP): ユーザーのIDと要求されたリソースへのアクセスを検証し、アサートする機関(サービスプロバイダー)。
Metadata(メタデータ): IdPがSPに提供する、および/またはその逆方向に提供するxmlフォーマットの一連の情報。
NameID(名前ID): ユーザーネームを指定するために使用されるアサーション内の属性
Service Provider(サービスプロバイダー、SP): Box、Workday®、Salesforce、カスタムアプリケーションなど、ユーザーがアクセスしようとするホストリソースまたはサービス。
シングルサインオンURL:SAMLトランザクションを処理するためのエンドポイント。 Okta SAMLのテンプレートの設定画面では、SSO URLはサービスプロバイダーのACSを参照します。
SSO接続が正常に追加されたら、管理センターの[Single Sign-On(シングルサインオン)]ページで確認することができます。
Azure ADのSSOを構成するための情報については、こちらをクリックしてください。
SAMLエラーは通常、SAML設定中に入力された情報が欠落したか、または不正確な場合に発生します。 これらの問題のほとんどは、IDP設定から解決することができますが、一部の問題はWalkMeでSSO設定を同様に更新する必要があります。
エラーメッセージ | 修正方法 |
SAMLレスポンスには、正しいIdentity Provider Issuer(IDプロバイダーの発行者)が含まれていません。 [IDP]設定の発行者URLが、以下のIdentity Provider Issuer(IDプロバイダーの発行者)と一致していることを確認してください。 | IDP設定を確認して、 管理センターのSSO設定に適切な値がコピーされていることを確認します. IDPの発行者の値は、通常は 発行者の URL または エンティティURL/ID と呼ばれます 。 |
SAMLレスポンスは署名されていません。 [IDP]設定をご確認ください。 | 有効化 [signing responses(署名付き応答)] を有効化してください。 これらのオプションが表示されない場合は、IDPに連絡してください。 |
SAMLレスポンスに正しいオーディエンスが含まれていません。 [IDP]設定のService Provider(サービスプロバイダー)のURLが、以下の高度なオプションのService Provider Issuer(サービスプロバイダーの発行者)と一致していることを確認してください。 | Service Provider Issuer(サービスプロバイダーの発行者)が IDP設定 の オーディエンス を有効化してください。 起動と オーディエンス は、 SPエンティティID または Relying Party Identifier(証明書利用者の識別子) と呼ばれることもあります。 |
SAMLレスポンスのアサーションが署名されていません。 [IDP]設定をご確認ください。 | 有効化 レスポンスのサインアサーション を有効化してください。 これらのオプションが表示されない場合は、IDPに連絡してください。 |
SAMLレスポンスには、https://auth.walkme.com/sso/saml2 のような正しい送信先が含まれていません。. [IDP]設定をご確認ください。 | IDPで送信先を更新します。 値の名前は変わる場合がありますが、通常は以下のうちの1つです:Reply URL、ACS URL、Assertion Consumer Service URL、Trusted URL、またはEndpoint URL |
SAMLレスポンスにはID属性がありません。 [IDP]設定をご確認ください。 | NameID(名前ID)が、IDPで送信されたクレームとして正しい(永続的な)フォーマットであることを確認してください。 |
SAMLレスポンスとSAMLレスポンスのアサーションのどちらも署名されていません。 [IDP]設定をご確認ください。 | IDPの設定から、レスポンス、レスポンスのアサーション、またはその両方の署名を有効にします。 これらのオプションが表示されない場合は、IDPに連絡してください。 |
SAMLレスポンスは署名されていません(しかし、EncryptedIdで署名と暗号化されたアサーションが存在します)。 Apologies(アポロジー)ですが、WalkMeはこのフォーマットをサポートしていません。 [IDP]設定をご確認ください。 | このフォーマットをサポートしていません。 レスポンスへの署名を有効にして、SSOを正しく設定するためのガイドラインに従っていることを確認してください。 |
SAMLレスポンスがバージョン2.0ではありません。 [IDP]設定をご確認ください。 | IDPでSAML 2.0を使用していることを確認します。 |
署名の検証に失敗したようです。 [IDP]設定で、署名証明書を確認してください。 | 管理センターのSSO設定 で 証明書 を更新 して、 IDPから送信された証明書と照合します。 |