WalkMeヘルプセンターへようこそ

Please login in order to continue:

Work flows better with WalkMe
Work flows better with WalkMe.

シングルサインオン(SSO)

Last Updated 9月 26, 2024

概要

管理センターのシングルサインオンページでは、新しい認証基盤に基づいてエンタープライズグレードのセルフサービスSSOの設定管理を提供します。

ユースケース

  • Onboardingの時間を短縮
  • セルフサービスの設定と管理の有効化
  • 旧式のプロプライエタリなSSOの置き換え
  • 完全なSSO機能の有効化
  • セキュリティとコンプライアンスの強化

SSO用語集

アサーション

以下のステートメントのうちの1つ以上を提供するIdPによって提供されるデータ。

  • Authentication statements(認証ステートメント)は、アサーションで指定されたユーザーが実際にいつ認証に成功したかを主張します。
  • Attribute(属性)ステートメントは、ユーザーに係る属性値を与えます。 NameID(名前ID)属性は必須で、ユーザー名を指定しますが、他の属性も手動で設定することができます。
  • Authorization decision(認証の決定)ステートメントは、アサーション対象者が指定されたリソースへのアクセスを求める要求が承認または拒否されたことを宣言します。

アサーションコンシューマーサービス(ACS)

SAMLアサーションを受信し、解析する責任を負うサービスプロバイダーのエンドポイント(URL)です。 一部のサービスプロバイダーは、ACSに別の用語を使用していることに留意してください。 OktaのSAMLテンプレートでは、こちらをシングルサインオンのURLフィールドに入力します。

属性

ユーザー名、名前、従業員IDなど、ユーザーに関するデータセット

オーディエンス制限

SAMLアサーション内の値で、誰が誰(そして誰のみ)を意図しているかを指定します。 [audience(オーディエンス)]はサービスプロバイダーであり、通常はURLですが、技術的には任意の文字列のデータとしてフォーマットすることができます。 この値がSPから提供されない場合は、ACSを使用します。

デフォルトのリレー状態

SAMLによる認証が成功した後にユーザーが送信されるURL。

エンドポイント

サービスプロバイダーと識別プロバイダーが互いに通信する際に使用されるURL。

Entity ID(エンティティID)

識別プロバイダーまたはサービスプロバイダーの世界的にユニークな名前。 固有のOkta Entity IDはアプリケーションごとに生成され、Oktaアプリケーションの設定手順でIdentity Provider Issuer(IDプロバイダーの発行者)と呼ばれています。

識別プロバイダー(IdP)

要求されたリソース(「サービスプロバイダー」)へのユーザーの識別とアクセスを確認し、確認する権限

メタデータ

IdPがSPに提供する情報セット、およびその両方をxml形式で提供した情報セット。

  • SPのメタデータは、ACS、オーディエンス制限、名前IDフォーマット、およびアーサーションを暗号化する必要がある場合にx.509証明書を提供します。 この場合、SPが提供するメタデータファイルをOktaにインポートすることはできません。
  • IdPのメタデータは、シングルサインオンURL、Entity(エンティティ)ID、およびSPがアサーションを復号するために必要とするx.509証明書ファイルを提供します。

NameID

ユーザー名を指定するために使用されるアサーション内の属性

サービスプロバイダー(SP)

Box、Workday®、Salesforce、カスタムアプリケーションなど、ユーザーがアクセスしようとしているホストされたリソースまたはサービス

URLのシングルサインオン

SAMLトランザクションの処理に特化したエンドポイント。 Okta SAMLのテンプレートの設定画面では、SSO URLはサービスプロバイダーのACSを参照します。

使用方法

  1. admin.walkme.com管理センターを開きます
  2. セキュリティページに移動し、次にシングルサインオンに移動します
  3. [+ SSOセットアップ]ボタンをクリックします
  4. SSOの名前を入力します
  5. [Save & Continue(保存して次へ)]をクリックします
  6. IDPの統合方法を選択します:
    • URL
    • Entity ID(エンティティID)
    • XMLメタデータ - この方法を選択すると、xmlをファイルとしてダウンロードすることができます
  7. 必要な情報を入力して、SSOの設定を完了します:
    • SAML SSOのURL
    • Identity Provider Issuer(IDプロバイダーの発行者)/Entity ID(エンティティID)
    • 公開証明書
  8. 関連するリクエストバインディングを選択します。
    • HTTPリダイレクト
    • HTTPポート
    • 💡ヒント:[Upload Metadata(メタデータをアップロード)]をクリックして、関連するすべてのフィールドを自動的に入力します
  9. SSOに割り当てるユーザーを選択します
    • 特定のユーザーを検索して割り当てるか、[Select All(すべて選択)]を選択できます
    • デフォルトのSSO IDはメールアドレスですが、必要に応じて変更することができます
    • [Test SSO Setup(テストSSOセットアップ)]ボタンを使用して、SSOセットアップを確認します
  10. Save & Finish(保存と終了)]をクリックします

SSO接続が正常に追加されたら、管理センターの[Single Sign-On(シングルサインオン)]ページで確認することができます。

Azure ADのSSO設定の詳細については、次の記事を参照してください:「Microsoftチュートリアル」

SSO証明書

  • WalkMeは、ID管理のリーダーであるOktaが提供する新しいSSOソリューションに移行し、可用性、パフォーマンス、監視およびロギング機能が向上します。
  • アカウントが、現在、WalkMeの従来のSSOに登録されている場合は、内部でシングルサインオンを管理している人(通常はIDおよびアクセスの管理者またはITチーム)に連絡し、以下のプロセスに従ってもらうように依頼してください。
  • 彼らは、SSOを設定するために入力する必要がある情報を把握しています。

  1. 上記の手順に従って、新しいSSO接続を作成します
  2. 3番目のステップでは、新しい証明書をアップロードし、セットアップを完了する必要があります
  3. 新しいSSO接続が作成された後、古いSSOを使用している関連リンクはすべて、セットアップで作成された新しいリンクに変更する必要があります

SSO証明書を更新する方法

  1. https://admin.walkme.com/securityに移動します
  2. クリックして、シングルサインオンセクションを展開します
  3. 新しい証明書を必要とするSSO統合を選択し編集をクリックします
  4. IDP接続セクションに更新された認証を追加します
  5. Save(保存)]をクリックします。

SSOのトラブルシューティング

SAMLエラーの原因は何ですか?

SAMLエラーは通常、SAML設定中に入力された情報が欠落したか、または不正確な場合に発生します。 これらの問題のほとんどは、IDP設定から解決することができますが、一部の問題はWalkMeでSSO設定を同様に更新する必要があります。

SAMLエラーメッセージ

エラーメッセージ 修正方法
SAMLレスポンスには、正しいIdentity Provider Issuer(IDプロバイダーの発行者)が含まれていません。 [IDP]設定の発行者URLが、以下のIdentity Provider Issuer(IDプロバイダーの発行者)と一致していることを確認してください。 IDP設定を確認して、管理センターのSSO設定に適切な値がコピーされていることを確認します. IDPの発行者の値は、通常は 発行者URL または エンティティURL/ID です。
SAMLレスポンスは署名されていません。 [IDP]設定をご確認ください。 IDP設定で応答の署名有効化してください。 これらのオプションが表示されない場合は、IDPに連絡してください。
SAMLレスポンスに正しいオーディエンスが含まれていません。 [IDP]設定のService Provider(サービスプロバイダー)のURLが、以下の高度なオプションのService Provider Issuer(サービスプロバイダーの発行者)と一致していることを確認してください。 IDP設定で サービスプロバイダー発行者 オーディエンスと一致していることを確認してください。 起動と オーディエンス SPエンティティID または Relying Party Identifier と呼ばれることがあります。
SAMLレスポンスのアサーションが署名されていません。 [IDP]設定をご確認ください。 IDP設定で応答の署名アサーション有効化してください。 これらのオプションが表示されない場合は、IDPに連絡してください。
SAMLレスポンスには、https://auth.walkme.com/sso/saml2 のような正しい送信先が含まれていません。. [IDP]設定をご確認ください。 IDPで送信先を更新します。 値の名前は変わる場合がありますが、通常は以下のうちの1つです:Reply URL、ACS URL、Assertion Consumer Service URL、Trusted URL、またはEndpoint URL
SAMLレスポンスにはID属性がありません。 [IDP]設定をご確認ください。 NameID(名前ID)が、IDPで送信されたクレームとして正しい(永続的な)フォーマットであることを確認してください。
SAMLレスポンスとSAMLレスポンスのアサーションのどちらも署名されていません。 [IDP]設定をご確認ください。 IDPの設定から、レスポンスレスポンスのアサーション、またはその両方の署名を有効にします。 これらのオプションが表示されない場合は、IDPに連絡してください。
SAMLレスポンスは署名されていません(しかし、EncryptedIdで署名と暗号化されたアサーションが存在します)。 Apologies(アポロジー)ですが、WalkMeはこのフォーマットをサポートしていません。 [IDP]設定をご確認ください。 このフォーマットをサポートしていません。 レスポンスへの署名を有効にして、SSOを正しく設定するためのガイドラインに従っていることを確認してください。
SAMLレスポンスがバージョン2.0ではありません。 [IDP]設定をご確認ください。 IDPでSAML 2.0を使用していることを確認します。
署名の検証に失敗したようです。 [IDP]設定で、署名証明書を確認してください。 管理センターのSSO設定証明書を更新して、IDPから送信された証明書と一致させます。

一般的なエラー

  1. IDPダッシュボードにタイルを追加し、そこからWalkMeにアクセスしようとします。
    • これはIDPが開始されたと見なされ、WalkMeはサポートされていません。
    • ソリューション:WalkMeタイルを削除し、SPが開始されたログインを使用します。 つまり、ユーザーはWalkMeサイトにアクセスし、メールを入力する必要があります。WalkMeは自動的にユーザーを認識し、SSOを介してログインします。
  2. セットアップにリレー状態を追加します。
    • ソリューション:リレー状態を削除し、もう一度試します。 WalkMeはリレー状態を必要としません。

この記事は役に立ちましたか?

ご意見ありがとうございます!

Be part of something bigger.

Engage with peers, ask questions, share ideas

Ask the Community
×