シングルサインオン(SSO)

Last Updated 11月 29, 2022

概要

管理センターのシングルサインオンページでは、新しい認証基盤に基づいてエンタープライズグレードのセルフサービスSSOの設定管理を提供します。

ユースケース

  • Onboardingの時間を短縮
  • セルフサービスの設定と管理の有効化
  • 旧式のプロプライエタリなSSOの置き換え
  • 完全なSSO機能の有効化
  • セキュリティとコンプライアンスの強化

SSO用語集

アサーション :以下のサービスプロバイダーへのステートメントを1つ以上提供するIdPが 供給するデータ:

  • Authentication statements(認証ステートメント)は、アサーションで指定されたユーザーが実際にいつ認証に成功したかを主張します。
  • Attribute(属性) ステートメント は、ユーザーに係る属性値を与えます。 NameID(名前ID)属性は必須で、ユーザー名を指定しますが、他の属性も手動で設定することができます。
  • Authorization decision(認証の決定) ステートメントは、アサーション対象者が指定されたリソースへのアクセスを求める要求が承認または拒否されたことを宣言します。

Assertion Consumer Service(アサーションコンシューマーサービス、ACS):SAMLアサーションの受信と分析を担うサービスプロバイダーのエンドポイント(URL)。  一部のサービスプロバイダーは、ACSに別の用語を使用していることに留意してください。 OktaのSAMLテンプレートでは、こちらを シングルサインオンのURL フィールドに入力します。

Attribute(属性): ユーザーの名前、ファーストネーム(名)、従業員IDなどのユーザーに関するデータセット

Audience Restriction(オーディエンス制限): SAMLアサーションに含まれる値で、そのアサーションが対象とする人物( 限定可能 )を指定します。 [audience(オーディエンス)]はサービスプロバイダーであり、通常はURLですが、技術的には任意の文字列のデータとしてフォーマットすることができます。 この値がSPから提供されない場合は、ACSを使用します。

Default Relay State(デフォルトリレーの状態): SAMLによる認証が成功した後にユーザーが移動するURL。

エンドポイント: サービスプロバイダーとIDプロバイダーが互いに通信する際に使用されるURL。

Entity ID(エンティティID): IDプロバイダーまたはサービスプロバイダーのグローバルに固有な名前。 固有のOkta Entity IDはアプリケーションごとに生成され、Oktaアプリケーションの設定手順で Identity Provider Issuer(IDプロバイダーの発行者) と呼ばれています。

Identity Provider(IDプロバイダー、IdP): ユーザーのIDと要求されたリソースへのアクセスを検証し、アサートする機関(サービスプロバイダー)。

Metadata(メタデータ): IdPがSPに提供する、および/またはその逆方向に提供するxmlフォーマットの一連の情報。

  • SPのメタデータは、ACS、オーディエンス制限、名前IDフォーマット、およびアーサーションを暗号化する必要がある場合にx.509証明書を提供します。 この場合、SPが提供するメタデータファイルをOktaにインポートすることはできません。
  • IdPのメタデータは、シングルサインオンURL、Entity(エンティティ)ID、およびSPがアサーションを復号するために必要とするx.509証明書ファイルを提供します。

NameID(名前ID): ユーザーネームを指定するために使用されるアサーション内の属性

Service Provider(サービスプロバイダー、SP): Box、Workday®、Salesforce、カスタムアプリケーションなど、ユーザーがアクセスしようとするホストリソースまたはサービス。

シングルサインオンURL:SAMLトランザクションを処理するためのエンドポイント。 Okta SAMLのテンプレートの設定画面では、SSO URLはサービスプロバイダーのACSを参照します。

使用方法

  1. admin.walkme.com管理センターを開く
    1. EU圏のユーザーは、 eu-admin.walkme.com にアクセスしてください。
  2. [Security(セキュリティ)]の下で、[Single Sign-On(シングルサインオン)]に移動する
  3. [+SSO Setup(設定)]をクリックする
  4. SSOの名前を入力する
  5. [Save & Next(保存して次へ)]をクリックする
  6. IDPの統合方法を選択します:
    • URL
    • Entity ID(エンティティID)
    • XMLメタデータ – この方法を選択すると、xmlをファイルとしてダウンロードすることができます。
  7. 必要な情報を入力して、SSOの設定を完了します:
    • SAML SSOのURL
    • Identity Provider Issuer(IDプロバイダーの発行者)/Entity ID(エンティティID)
    • 公開証明書
  8. 関連するリクエストバインディングを選択します。
    • HTTPリダイレクト
    • HTTPポート
    • ヒント:[Upload Metadata(メタデータをアップロード)]をクリックすると、すべての関連フィールドを自動的に入力します。
  9. SSOに割り当てるユーザーを選択します
    • 特定のユーザーまたは[Select All(すべての選択)]を検索し、割り当てることができます
    • デフォルトのSSO IDはメールアドレスですが、必要に応じて変更することができます
    • [Test SSO Setup(SSO設定をテスト)]ボタンを使用して、SSO設定を確認します
  10. [Save & Finish(保存と終了)]をクリックします

SSO接続が正常に追加されたら、管理センターの[Single Sign-On(シングルサインオン)]ページで確認することができます。

Azure ADのSSOを構成するための情報については、こちらをクリックしてください。

SSO証明書

注: 現在、アカウントが analytics.walkme.comの旧SSOに登録されている場合は、以下の手順に従ってください。

  1. 上記の手順に従って新しいSSO接続を作成します
  2. 3番目の手順で、新しい証明書をアップロードしてから、セットアップを完了する必要があります
  3. 新しいSSO接続の作成後、旧SSOを使用している関連リンクは、すべてセットアップで作成した新しいリンクに変更する必要があります

SSOのトラブルシューティング

SAMLエラーの原因は何ですか?

SAMLエラーは通常、SAML設定中に入力された情報が欠落したか、または不正確な場合に発生します。 これらの問題のほとんどは、IDP設定から解決することができますが、一部の問題はWalkMeでSSO設定を同様に更新する必要があります。

SAMLエラーメッセージ

エラーメッセージ 修正方法
SAMLレスポンスには、正しいIdentity Provider Issuer(IDプロバイダーの発行者)が含まれていません。 [IDP]設定の発行者URLが、以下のIdentity Provider Issuer(IDプロバイダーの発行者)と一致していることを確認してください。 IDP設定を確認して、 管理センターのSSO設定に適切な値がコピーされていることを確認します. IDPの発行者の値は、通常は 発行者の URL または エンティティURL/ID と呼ばれます
SAMLレスポンスは署名されていません。 [IDP]設定をご確認ください。 有効化 [signing responses(署名付き応答)] を有効化してください。 これらのオプションが表示されない場合は、IDPに連絡してください。
SAMLレスポンスに正しいオーディエンスが含まれていません。 [IDP]設定のService Provider(サービスプロバイダー)のURLが、以下の高度なオプションのService Provider Issuer(サービスプロバイダーの発行者)と一致していることを確認してください。 Service Provider Issuer(サービスプロバイダーの発行者)が IDP設定 オーディエンス を有効化してください。 起動と オーディエンス は、 SPエンティティID または Relying Party Identifier(証明書利用者の識別子) と呼ばれることもあります
SAMLレスポンスのアサーションが署名されていません。 [IDP]設定をご確認ください。 有効化 レスポンスのサインアサーション を有効化してください。 これらのオプションが表示されない場合は、IDPに連絡してください。
SAMLレスポンスには、https://auth.walkme.com/sso/saml2 のような正しい送信先が含まれていません。. [IDP]設定をご確認ください。 IDPで送信先を更新します。 値の名前は変わる場合がありますが、通常は以下のうちの1つです:Reply URL、ACS URL、Assertion Consumer Service URL、Trusted URL、またはEndpoint URL
SAMLレスポンスにはID属性がありません。 [IDP]設定をご確認ください。 NameID(名前ID)が、IDPで送信されたクレームとして正しい(永続的な)フォーマットであることを確認してください。
SAMLレスポンスとSAMLレスポンスのアサーションのどちらも署名されていません。 [IDP]設定をご確認ください。 IDPの設定から、レスポンスレスポンスのアサーション、またはその両方の署名を有効にします。 これらのオプションが表示されない場合は、IDPに連絡してください。
SAMLレスポンスは署名されていません(しかし、EncryptedIdで署名と暗号化されたアサーションが存在します)。 Apologies(アポロジー)ですが、WalkMeはこのフォーマットをサポートしていません。 [IDP]設定をご確認ください。 このフォーマットをサポートしていません。 レスポンスへの署名を有効にして、SSOを正しく設定するためのガイドラインに従っていることを確認してください。
SAMLレスポンスがバージョン2.0ではありません。 [IDP]設定をご確認ください。 IDPでSAML 2.0を使用していることを確認します。
署名の検証に失敗したようです。 [IDP]設定で、署名証明書を確認してください。 管理センターのSSO設定 証明書 を更新 して、 IDPから送信された証明書と照合します。

この記事は役に立ちましたか?

ご意見ありがとうございます!
×
“”

アカウントタイプの選択

選ぶ
< 戻る

Mobile account login

< 戻る