シングルサインオン(SSO)
このトピックでは、企業向けのRescaleでシングルサインオンを設定し構成する方法を説明します。
シングルサインオンの概要
シングルサインオン(SSO)とは、1組の認証情報で複数の異なるアプリケーションにログインできるユーザー認証の方法です。これは特に企業において、従業員が会社の認証情報を使って様々なアプリケーションにアクセスできるようにする場合に有効です。
SSOのRescale対応
SSO認証は、すべてのOrganizationで利用可能です。
シングルサインオンの設定
シングルサインオンの導入
シングルサインオンを設定するには、組織管理者であることが必要です。
注:RescaleのSSOは、組織単位で適用されます。一度設定すれば、すべてのワークスペースがSSOで認証できるようになります。
シングルサインオンを設定するには
- Organaization Adminから、セキュリティに移動し、シングルサインオン(SSO)タブをクリックします。
- シングルサインオンの設定ボタンをクリックして、設定を開始します。
以前にSSOを設定したことがある場合は、歯車のアイコンをクリックして、このフォームに戻ります
- メタデータ交換の設定を行うことを強く推奨しますが、手動設定を選択することもでき、その場合は詳細設定セクションに進みます
メタデータ交換
- 提供されたリンクを使用して、RescaleのメタデータをIDプロバイダ(IdP)にインポートします。
ホスト型サービスを使用している場合、その設定にこのURLの入力が含まれている可能性があります。
IdPの設定によりフィールドを手動で入力する必要がある場合は、ここでShow Detailsをクリックすると、それらのデータを表示することができます。表示されないフィールドが必要な場合は、Rescaleのサポートにお問い合わせください。
Field | Value |
Entity ID | https://platform.rescale.com/sso/metadata/ |
Assertion Consumer Service | https://platform.rescale.com/sso/login/callback/ |
Sign-On URL | https://platform.rescale.com/login/ |
Single Logout Service | https://platform.rescale.com/sso/logout/ |
- Identity Provider’s Metadataの入力欄に、IdPのメタデータへのURLを貼り付けます。
このXMLの格納場所は、IdPのソフトウェア構成に依存する。
- Verify Settingsをクリックして次に進みます。
入力されたURLが読み込まれない場合は、戻って修正する必要があります。空欄の項目は必ず入力してください。ただし、既知の項目は読み取り専用で、あくまで参考です。
- 次のステップに進むには、Attributesをクリックします。属性とは、Rescaleでプロフィールを設定するために、IdPが公開したユーザに関するデータです。
- (推奨)提供されたリンクを使用して、別のタブでテストログインを実行します。これにより、IdPとRescaleの間の基本的な通信設定が正しいことを確認し、どの属性がRescaleに解放されたかを示すので、この手順の残りの部分を完了することができます。
テストログインが成功すると、テストログインに使用したタブとフォームの両方に、選択可能な属性の表が表示されます。少なくともメールアドレスを含む属性が表示されない場合は、IdPがそれを公開するように設定する必要があります。
- E-Mail Addressの属性名を選択または入力します。また、フルネーム属性がある場合は、それを選択します。
- Policiesをクリックし、以下のアクセスポリシーのセクションに進みます。
詳細設定
サインオプション
サインオンのオプションを定義することで、組織の従業員がシングルサインオン(SSO)のみでサインインすることも、シングルサインオン(SSO)と電子メールの両方でサインインすることも、柔軟に対応できます。
アクセスポリシー
アクセスポリシーには2種類あります。
- あなたの組織の誰でも使えるようにする (Allow anyone from your organization)
- 招待されたユーザーのみサインオンを許可する (Only allow invited users to sign on)
Allow anyone from your organization設定では、シングルサインオンを持つ従業員なら誰でもRescale組織に参加できるようになります。
Only allow invited users to sign on設定は、2つの条件が真であることが必要です。
- 従業員は、まず管理者からRescaleに招待される必要があります。
- サインオン・オプションがシングルサインオンのみに設定されている場合、従業員にはSSOが設定されている必要があります。
シングルサインオンのログ取得
シングルサインオンを設定したら、管理者ポータル→セキュリティと進み、シングルサインオン(SSO)タブをクリックすると、最近のサインインの成功・失敗を確認することができます。
ログインの成功・失敗・未完了を確認することができます。
ステータスアイコン
- 緑色のチェックマークは、ログインに成功したことを示します。
- 赤い十字は、ログインに失敗したことを示します(拡大すると詳細が表示されます)
- 黄色の線は、ロジックが不完全であることを示します。このケースでは、誰かがSSO経由でログインを開始し、IdPにリダイレクトされましたが、その後Rescaleにリダイレクトされることはありませんでした。これは必ずしも問題ではなく、ユーザーはIdPリダイレクトの後にタブを閉じた可能性があります。
ログインの成功・失敗・未完了の詳細情報を見るには、ユーザーをクリックするだけで時系列ログが表示されます。
FAQ
私のIDプロバイダー(IdP)とSSOを設定する方法についてのドキュメントはありますか?
はい、一部のIDプロバイダーとの間でドキュメントを作成しています。
- Microsoft Active Directory Identity Providerを使用したRescaleへのログインはこちら
- マイクロソフトのチュートリアル。Azure Active DirectoryとScaleX Enterpriseの統合はこちら
私のリージョンでもSSOを使用できますか?
国際的な地域にお住まいで、Rescaleの国際的なプラットフォームのいずれかを使用している場合、正しいプラットフォームのドメインとURLを使用していることを確認してください。これは、Azure AD SSOを構成する際に非常に重要です。Microsoftのドキュメントでは、USプラットフォームを使用していることに注意してください。
SSOを有効にした後、既存のRescaleユーザーはそのままログインできるのでしょうか?
はい、既存のユーザーは、RescaleとSSO IdPに同一のメールアドレスがあれば、SSO有効化後も引き続きアクセス可能です。
同じメールアドレスを使用しているアカウントを統合することはできますか?
いいえ、現在のところアカウントの統合はできません。
SSOを有効にした後、Rescaleのユーザーアカウントに関連する電子メールアドレスが変更されない場合、アカウントデータは引き続き利用できますか?
メールアドレスが変更されていないアカウントについては、SSO有効後もデータおよびすべての属性が利用可能です。
SSOを有効にすると、既存のAPIトークンに影響がありますか?
いいえ、既存のAPIトークンは影響を受けません。これまで通り機能します。