< 戻る
Help Center
WalkMeヘルプセンターへようこそ

Please login in order to continue:

Reset password Reset EU password
Work flows better with WalkMe
Work flows better with WalkMe.
何かを検索

シングルサインオン(SSO)

Last Updated 6月 25, 2024
image_pdfDownload as PDF

概要

管理センターのシングルサインオンページでは、新しい認証基盤に基づいてエンタープライズグレードのセルフサービスSSOの設定管理を提供します。

ユースケース

  • Onboardingの時間を短縮
  • セルフサービスの設定と管理の有効化
  • 旧式のプロプライエタリなSSOの置き換え
  • 完全なSSO機能の有効化
  • セキュリティとコンプライアンスの強化

SSO用語集

アサーション :IdPが提供したデータのうち、以下のステートメントを1つ以上サービスプロバイダーへと供給するもの:

  • Authentication statements(認証ステートメント)は、アサーションで指定されたユーザーが実際にいつ認証に成功したかを主張します。
  • Attribute(属性)ステートメントは、ユーザーに係る属性値を与えます。 NameID(名前ID)属性は必須で、ユーザー名を指定しますが、他の属性も手動で設定することができます。
  • Authorization decision(認証の決定)ステートメントは、アサーション対象者が指定されたリソースへのアクセスを求める要求が承認または拒否されたことを宣言します。

Assertion Consumer Service(アサーションコンシューマーサービス、ACS):SAMLアサーションの受信と分析を担うサービスプロバイダーのエンドポイント(URL)。  一部のサービスプロバイダーは、ACSに別の用語を使用していることに留意してください。 OktaのSAMLテンプレートでは、こちらをシングルサインオンのURLフィールドに入力します。

Attribute(属性):ユーザーの名前、ファーストネーム(名)、従業員IDなどのユーザーに関するデータセット

Audience Restriction(オーディエンス制限):SAMLアサーションに含まれる値で、そのアサーションが対象とする人物(限定可能)を指定します。 [audience(オーディエンス)]はサービスプロバイダーであり、通常はURLですが、技術的には任意の文字列のデータとしてフォーマットすることができます。 この値がSPから提供されない場合は、ACSを使用します。

Default Relay State(デフォルトリレーの状態):SAMLによる認証が成功した後にユーザーが移動するURL。

エンドポイント:サービスプロバイダーとIDプロバイダーが互いに通信する際に使用されるURL。

Entity ID(エンティティID):IDプロバイダーまたはサービスプロバイダーのグローバルに固有な名前。 固有のOkta Entity IDはアプリケーションごとに生成され、Oktaアプリケーションの設定手順でIdentity Provider Issuer(IDプロバイダーの発行者)と呼ばれています。

Identity Provider(IDプロバイダー、IdP):ユーザーのIDと要求されたリソースへのアクセスを検証し、アサートする機関(サービスプロバイダー)。

Metadata(メタデータ):IdPがSPに提供する、および/またはその逆方向に提供するxmlフォーマットの一連の情報。

  • SPのメタデータは、ACS、オーディエンス制限、名前IDフォーマット、およびアーサーションを暗号化する必要がある場合にx.509証明書を提供します。 この場合、SPが提供するメタデータファイルをOktaにインポートすることはできません。
  • IdPのメタデータは、シングルサインオンURL、Entity(エンティティ)ID、およびSPがアサーションを復号するために必要とするx.509証明書ファイルを提供します。

NameID(名前ID):ユーザーネームを指定するために使用されるアサーション内の属性

サービスプロバイダー(SP):Box、Workday、Salesforce、カスタムアプリケーションなど、ユーザーがアクセスするホストリソースまたはサービス。

シングルサインオンURL:SAMLトランザクションを処理するためのエンドポイント。 Okta SAMLのテンプレートの設定画面では、SSO URLはサービスプロバイダーのACSを参照します。

使用方法

  1. admin.walkme.comで、アドミンセンターを開きます
    1. EUユーザーの場合は、eu-admin.walkme.com に移動します
  2. セキュリティページに移動し、次にシングルサインオンに移動します
  3. [+ SSOセットアップ]ボタンをクリックします
  4. SSOの名前を入力します
  5. [Save & Continue(保存して次へ)]をクリックします
  6. IDPの統合方法を選択します:
    • URL
    • Entity ID(エンティティID)
    • XMLメタデータ - この方法を選択すると、xmlをファイルとしてダウンロードすることができます
  7. 必要な情報を入力して、SSOの設定を完了します:
    • SAML SSOのURL
    • Identity Provider Issuer(IDプロバイダーの発行者)/Entity ID(エンティティID)
    • 公開証明書
  8. 関連するリクエストバインディングを選択します。
    • HTTPリダイレクト
    • HTTPポート
    • 💡ヒント:[Upload Metadata(メタデータをアップロード)]をクリックして、関連するすべてのフィールドを自動的に入力します
  9. SSOに割り当てるユーザーを選択します
    • 特定のユーザーを検索して割り当てるか、[Select All(すべて選択)]を選択できます
    • デフォルトのSSO IDはメールアドレスですが、必要に応じて変更することができます
    • [Test SSO Setup(テストSSOセットアップ)]ボタンを使用して、SSOセットアップを確認します
  10. Save & Finish(保存と終了)]をクリックします

SSO接続が正常に追加されたら、管理センターの[Single Sign-On(シングルサインオン)]ページで確認することができます。

Azure ADのSSO設定の詳細については、次の記事を参照してください:「Microsoftチュートリアル」

SSO証明書

注:

  • WalkMeは、ID管理のリーダーであるOktaが提供する新しいSSOソリューションに移行し、可用性、パフォーマンス、監視およびロギング機能が向上します。
  • アカウントが、現在、WalkMeの従来のSSOに登録されている場合は、内部でシングルサインオンを管理している人(通常はIDおよびアクセスの管理者またはITチーム)に連絡し、以下のプロセスに従ってもらうように依頼してください。
  • 彼らは、SSOを設定するために入力する必要がある情報を把握しています。

  1. 上記の手順に従って、新しいSSO接続を作成します
  2. 3番目のステップでは、新しい証明書をアップロードし、セットアップを完了する必要があります
  3. 新しいSSO接続が作成された後、古いSSOを使用している関連リンクはすべて、セットアップで作成された新しいリンクに変更する必要があります

SSO証明書を更新する方法

  1. https://admin.walkme.com/securityに移動します
  2. クリックして、シングルサインオンセクションを展開します
  3. 新しい証明書を必要とするSSO統合を選択し編集をクリックします
  4. IDP接続セクションに更新された認証を追加します
  5. Save(保存)]をクリックします。

SSOのトラブルシューティング

SAMLエラーの原因は何ですか?

SAMLエラーは通常、SAML設定中に入力された情報が欠落したか、または不正確な場合に発生します。 これらの問題のほとんどは、IDP設定から解決することができますが、一部の問題はWalkMeでSSO設定を同様に更新する必要があります。

SAMLエラーメッセージ

エラーメッセージ 修正方法
SAMLレスポンスには、正しいIdentity Provider Issuer(IDプロバイダーの発行者)が含まれていません。 [IDP]設定の発行者URLが、以下のIdentity Provider Issuer(IDプロバイダーの発行者)と一致していることを確認してください。 IDP設定を確認して、管理センターのSSO設定に適切な値がコピーされていることを確認します. IDPの発行者の値は、通常は 発行者URL または エンティティURL/ID です。
SAMLレスポンスは署名されていません。 [IDP]設定をご確認ください。 IDP設定で応答の署名有効化してください。 これらのオプションが表示されない場合は、IDPに連絡してください。
SAMLレスポンスに正しいオーディエンスが含まれていません。 [IDP]設定のService Provider(サービスプロバイダー)のURLが、以下の高度なオプションのService Provider Issuer(サービスプロバイダーの発行者)と一致していることを確認してください。 IDP設定で サービスプロバイダー発行者 オーディエンスと一致していることを確認してください。 起動と オーディエンス SPエンティティID または Relying Party Identifier と呼ばれることがあります。
SAMLレスポンスのアサーションが署名されていません。 [IDP]設定をご確認ください。 IDP設定で応答の署名アサーション有効化してください。 これらのオプションが表示されない場合は、IDPに連絡してください。
SAMLレスポンスには、https://auth.walkme.com/sso/saml2 のような正しい送信先が含まれていません。. [IDP]設定をご確認ください。 IDPで送信先を更新します。 値の名前は変わる場合がありますが、通常は以下のうちの1つです:Reply URL、ACS URL、Assertion Consumer Service URL、Trusted URL、またはEndpoint URL
SAMLレスポンスにはID属性がありません。 [IDP]設定をご確認ください。 NameID(名前ID)が、IDPで送信されたクレームとして正しい(永続的な)フォーマットであることを確認してください。
SAMLレスポンスとSAMLレスポンスのアサーションのどちらも署名されていません。 [IDP]設定をご確認ください。 IDPの設定から、レスポンスレスポンスのアサーション、またはその両方の署名を有効にします。 これらのオプションが表示されない場合は、IDPに連絡してください。
SAMLレスポンスは署名されていません(しかし、EncryptedIdで署名と暗号化されたアサーションが存在します)。 Apologies(アポロジー)ですが、WalkMeはこのフォーマットをサポートしていません。 [IDP]設定をご確認ください。 このフォーマットをサポートしていません。 レスポンスへの署名を有効にして、SSOを正しく設定するためのガイドラインに従っていることを確認してください。
SAMLレスポンスがバージョン2.0ではありません。 [IDP]設定をご確認ください。 IDPでSAML 2.0を使用していることを確認します。
署名の検証に失敗したようです。 [IDP]設定で、署名証明書を確認してください。 管理センターのSSO設定証明書更新して、IDPから送信された証明書と照合します。

この記事は役に立ちましたか?

はい いいえ
はい
いいえ
ご意見ありがとうございます!

関連記事

Be part of something bigger.

Engage with peers, ask questions, share ideas

Ask the Community
×