メインコンテンツに移動

SSOの構成

シングルサインオン(SSO)により、組織メンバーは既存の企業認証情報を使用してk-IDにアクセスでき、以下の主要な利点を提供します:

  • セキュリティの強化 - 集中認証と組織のセキュリティポリシーの適用
  • アクセス管理の簡素化 - 単一の場所からユーザーアクセスの追加または削除
  • ユーザーエクスペリエンスの向上 - すべての企業アプリケーションで1つの認証情報セット
  • パスワード疲労の軽減 - 別々のパスワードを覚える必要を排除
  • コンプライアンス - アクセス制御と監査証跡の規制要件を満たす

SSOとは?

シングルサインオン(SSO)により、ユーザーは組織のアイデンティティプロバイダー(Okta、Azure AD、Google Workspace、OneLoginなど)で一度認証し、別々の認証情報を入力することなく、k-ID Compliance Studioを含む複数のアプリケーションにアクセスできます。

前提条件

組織のSSOを構成する前に:

  • k-IDでAdminまたはOwnerロールを持っている必要がある
  • 組織にはSAML 2.0またはEASIEをサポートするアイデンティティプロバイダー(IdP)が必要
  • アイデンティティプロバイダーへの管理者アクセスが必要
  • k-ID組織で少なくとも1つの検証済みドメインが構成されている必要がある

SSO構成プロセス

ステップ1:k-IDサポートに連絡

k-ID担当者に連絡してSSOセットアッププロセスを開始:

  • 専用アカウントマネージャーを通じて連絡するか、
  • サポートポータルを通じてk-IDサポートに連絡
  • 組織でSSOを有効にしたいことを示す

ステップ2:k-ID構成詳細の受信

k-ID担当者は、アイデンティティプロバイダーでk-IDをサービスプロバイダーとして構成するために必要な以下の情報を提供します:

  1. シングルサインオン(ACS)URL - IdPが認証応答を送信するAssertion Consumer Service URL
  2. オーディエンスURI(SP Entity ID) - サービスプロバイダーとしてのk-IDの一意識別子
  3. メタデータURL - k-IDのサービスプロバイダーメタデータを含むURL

重要: これらの詳細を安全に保管し、次のステップで必要になるためアクセス可能にしておいてください。

ステップ3:アイデンティティプロバイダーでk-IDアプリを構成

具体的な手順はアイデンティティプロバイダーによって異なりますが、一般的なプロセスは以下の通りです:

  1. アイデンティティプロバイダーの管理コンソールにログイン

    • 例:Okta Admin、Azure AD Portal、Google Admin Console、OneLogin Admin Portal

  2. 新しいアプリケーションを作成

    • 「アプリケーションを追加」、「アプリを作成」、「新しいSAMLアプリ」などのオプションを探す
    • プロトコルとしてSAML 2.0またはEASIEを選択(IdPがサポートしているものに応じて)

  3. k-ID構成詳細を入力

    • ACS URL: k-IDから提供されたシングルサインオンURLを入力
    • Entity ID: k-IDから提供されたオーディエンスURIを入力
    • または、一部のIdPではメタデータURLを直接インポートできる

  4. 属性マッピングを構成(必要な場合)

    • メールアドレス(必須)

  5. ユーザーまたはグループを割り当て

    • k-ID Compliance Studioにアクセスすべきユーザーを指定

  6. アプリケーションを保存してアクティブ化

ステップ4:IdPメタデータをk-IDと共有

アイデンティティプロバイダーでk-IDアプリケーションを作成した後:

  1. IdPのメタデータURLを見つける

    • ほとんどのアイデンティティプロバイダーはメタデータURLを提供するか、XMLメタデータファイルのダウンロードを許可する
    • このメタデータには以下が含まれる:
      • IdPのEntity ID
      • SSOエンドポイントURL
      • 署名検証用の公開証明書

  2. メタデータをk-ID担当者に送信

    • メタデータURLまたはダウンロードしたXMLファイルを提供
    • k-ID担当者はこれを使用してSSO構成を完了する

ステップ5:k-IDがSSOを有効化

k-IDがIdPメタデータを受信すると:

  1. k-ID担当者が組織のSSOを構成
  2. 適切な接続性を確保するために構成をテスト
  3. SSOがアクティブになったときに通知される

重要な考慮事項

ユーザー認証への影響

SSOが有効になると:

  • 検証済みドメインのメールアドレスを持つユーザーは、k-IDパスワードでログインできなくなる
  • すべての認証はアイデンティティプロバイダーによって処理される
  • ユーザーはSSOを使用してk-ID Compliance Studioにアクセスする必要がある

トラブルシューティング

SSOが有効になった後にユーザーがログインで問題を経験する場合:

  • ユーザーがアイデンティティプロバイダーのk-IDアプリに割り当てられていることを確認
  • ユーザーのメールドメインがk-IDの検証済みドメインと一致することを確認
  • IdPで属性マッピングが正しく構成されていることを確認
  • 認証エラーのためにIdPのログを確認
  • サポートについてはk-IDサポートに連絡

ヘルプの取得

SSO構成でサポートが必要な場合:

  • k-IDアカウント担当者に連絡
  • 開発者ポータルを通じてk-IDサポートに連絡
  • IdP固有のガイダンスについては、アイデンティティプロバイダーのドキュメントを参照