はじめに
ユーザーは、Domoの内蔵認証システム、またはサポートされているプロバイダーのシングルサインオン (SSO) ソリューションを使用して、Domoにサインインできます。DomoはこのようなSSOのソリューションとしてSAML(Security Assertion Markup Language)認証とOpenID Connectの2つを提供しています。SAMLとOIDC接続は同時に実行できます。その結果、内外のユーザーを区別しやすくなります。This is also useful for separating the SSO solutions you use for Domo access and Domo Embed. For example, you can use SAML for controlling employee access in Domo and OIDC for embedding cards into other websites and applications. この記事ではSAML認証について説明します。For information about OpenID Connect, see Enabling SSO with OpenID Connect.
管理者はSAMLを使ってDomoでシングルサインオン(SSO)を有効にすることができます。シングルサインオンが一度有効化されると、新しいユーザーはLDAPから自動的にプロビジョニングが提供され、LDAPグループは既存のアイデンティティープロバイダー(IdP)からインポートすることができます。
SAMLを使用するには、SAML2.0を通じた認証をサポートするクラウド・アイデンティティープロバイダー(IDP)、または、フェデレーションサービスを持っている必要があります。SAML 2.0についての詳細は、http://en.m.wikipedia.org/wiki/SAML_2.0を参照してください。
特定のユーザーを直接サインオンリストに追加し、SSOをバイパスしてDomoに直接サインインできるようにします。これらのユーザーはDomoのログイン画面でログインモード(直接またはシングルサインオン)を切り替えることができます。これは、社内メールやディレクトリシステムにアカウントが与えられていない契約業者や社員以外のユーザーにDomoへのアクセスを付与する場合に特に便利です。
SAMLを有効にするには、「管理者」のデフォルトのセキュリティロールか、「カンパニー設定を管理」が有効になっているカスタムロールが必要です。デフォルトのロールの詳細については「デフォルトのセキュリティロールリファレンス」を参照してください。カスタムロールについて詳しくは「カスタムロールを管理する」を参照してください。
Domoでは次の3つの方法でSSOを設定できます。
-
手動設定。これはDomoでSSOを設定するための「従来の」方法です。
-
メタデータのアップロード。この方法を使用すると、アイデンティティープロバイダーのURLを入力するだけで、設定情報とデジタル証明書を取得できます。全てのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。
-
セットアップウィザード。このウィザードに従うことで、難しい専門用語やSSO設定に関する詳しい知識がなくても設定することができます。このウィザードでは、Okta、Ping、Microsoft Azure、Salesforceなど、多数の主要なアイデンティティープロバイダーサービスに対して、状況に応じた手順が用意されています。
アイデンティティープロバイダーのURLを入力するだけでよく、残りの作業は自動的に行われることから、これらの方法の中ではメタデータのアップロードを強くお勧めします。この方法にアイデンティティープロバイダーが対応していない場合は、セットアップウィザードを使用することをお勧めします。手動設定は、他の2つの方法のいずれもがニーズに合わない場合にのみ使用してください。
このトピックではまず、Domoのシングルサインオンタブのユーザーインターフェースのコンポーネントについて説明します。その後、利用可能な3つの方法を使用してSSOを設定するための手順を説明します。
注記:
-
SSOを有効にすると、従来のDomoログインはオフになります。一般的には、中断を回避するためSSOを有効化する前にIDP内でそのアプリケーションにユーザーを割り当てておきます。
-
SSOが一度有効化されると、招待されたユーザーはアイデンティティープロバイダー内でDomoにアサインされていないとサインインできない場合があります(社内のIDPポリシーにより異なります)。
-
SSOが有効化されているのにもかかわらずログインできない場合は、以前のDomo認証を使ってhttps://
.domo.com/auth/index?domoManualLogin=true でログインすることができます。この手動ログインを使用するには、「管理者」のデフォルトのセキュリティロールか、「カンパニー設定を管理」が有効になっているカスタムロールを持っているか、直接サインオンリストに登録されていることが必要です。デフォルトのロールの詳細については「デフォルトのセキュリティロールリファレンス」を参照してください。カスタムロールについて詳しくは「カスタムロールを管理する」を参照してください。 -
SSOはいつでも無効にすることができます。これにより、メールアドレスとパスワードを使用した従来のログインが発動します。すでにログイン情報を所持しているユーザーは、従来のパスワードを使用することも、またはログインページからパスワードをリセットすることもできます。Users with "Admin" security roles can also manually reset user passwords by going to the People sub-tab for the specific individual in Admin Settings and clicking Reset Password.
-
Domoモバイル端末アプリのユーザーは、会社のサブドメインを入力し、ウェブビューでのIDPユーザーネームとパスワードを入力することでDomoにログインできます。モバイルAppでSSOを使用するには、SP-initiatedの認証が必要です。
-
SSOがオンになっていると、「管理者」のデフォルトのセキュリティロールを持っていても、ユーザーのメールアドレスを直接変更することはできません。これは、SSOからログインするユーザーとDomo内のユーザーを照合するためのキーとしてメールが使用されることが理由です。メールを変更すると、次回のサインイン時にそのユーザーに新しいユーザーが追加され、全ての権限が失われます。 If you absolutely must change a user's email address (for example, perhaps a user gets married and her last name changes), the best way to do so is by using the Bulk Import option in the More > Admin > Governance > People sub-tab. 詳細は、「Domoにユーザーを追加する」を参照してください。
Video-SAMLシングルサインオン(SSO)
[シングルサインオン] タブの部分の説明
The following table lists and describes the various components of the More > Admin > Authentication > SAML (SSO) tab in Domo:
コンポーネント |
説明 |
---|---|
全て前の状態に戻す |
SSO設定を、最後に保存した設定に戻します。 |
設定を保存 |
現在の設定を保存します。 |
設定をテスト |
現在の設定をテストします。 |
ウィザードオプション |
SSO設定ウィザードを開きます。ウィザードは、イントロ画面で [設定開始] > [ウィザード] をクリックして開くこともできます(このイントロ画面は、SSOをまだ設定していない場合にのみ表示されます)。 |
[手動設定] タブ、[直接サインオンリスト] タブ、[属性] タブ |
SSO画面のさまざまなセクションへのアクセス権を設定します。
|
SSOを有効にする |
インスタンスでSSOのオンまたはオフを切り替えるための「マスタースイッチ」です。 |
[IdPからの情報] セクション |
アイデンティティープロバイダーから取得してDomoに入力する必要がある情報のフィールドとオプションがあります。これらのフィールドとオプションは次のとおりです。
注記:Google Chromeの場合、証明書は.pemの書式である必要があります。.cert書式の証明書がある場合は、.pem拡張子にファイル名を変更してからアップロードします。
|
[IdPが必要とする情報] セクション |
アイデンティティープロバイダーへの入力が必要になる情報のフィールドとオプションがあります。これらのフィールドとオプションは次のとおりです。
|
詳細設定 |
次の設定があります。
|
シングルサインオンを設定する
Domo SSOは、次のいずれかの方法を使用して設定できます。
-
メタデータのダウンロード。推奨。アイデンティティープロバイダーのURLを入力するだけで、設定情報とデジタル証明書を取得できます。全てのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。
-
セットアップウィザード。IdPでメタデータのアップロードがサポートされていない場合に推奨。このウィザードではわかりにくい専門用語とSSO設定の詳細を説明します。このウィザードでは、Okta、Ping、Microsoft Azure、Salesforceなど、多数の主要なアイデンティティープロバイダーサービスに関するコンテキストベースの手順を紹介します。
-
手動設定。これはDomoでSSOを設定するための「従来の」方法です。
メタデータのアップロード
IdPのURLを入力するだけで必要な全ての情報を取得できるため、Domo SSOの設定にはメタデータのアップロードを強くお勧めします。IdPでこのオプションがサポートされていない場合は、次善策としてセットアップウィザードを使用することをお勧めします。
メタデータのアップロードを使用してSSOを設定するには
-
Select More > Admin > Authentication > SAML (SSO).
If SSO has not yet been set up for your Domo, an intro screen appears listing the benefits of SSO. すでに設定されている場合は、[シングルサインオン (SSO)] タブに直接移動します。 -
(条件付き)以下のいずれかを行ってください。
-
イントロ画面が表示されたら、一番下までスクロールして [設定開始]、[メタデータのアップロード] タイルの順にクリックします。
-
[シングルサインオン (SSO)] タブに直接移動した場合は、[メタデータのアップロード]([IdPからの情報] セクション)をクリックします。
-
-
[メタデータのURL] フィールドに、アイデンティティープロバイダーのSAMLメタデータのURLを入力します。
セットアップウィザード
前のセクションで説明したように、アイデンティティープロバイダーがメタデータのアップロードをサポートしていない場合は、SSOセットアップウィザードをお勧めします。
セットアップウィザードを使用してSSOを設定するには
-
Select More > Admin > Authentication > SAML (SSO).
If SSO has not yet been set up for your Domo, an intro screen appears listing the benefits of SSO. すでに設定されている場合は、[シングルサインオン (SSO)] タブに直接移動します。 -
(条件付き)以下のいずれかを行ってください。
-
イントロ画面が表示されたら、一番下までスクロールして [設定開始]、[ウィザード] タイルの順にクリックします。
-
If you are taken directly to the Single Sign-On (SSO) tab, click the bolded word "wizard" near the top of the tab.
The Setup Wizard now opens.
-
-
ウィザードの手順に従って、DomoでSSOを設定します。
ヒント:設定を完了する前にウィザードを終了しなければならない場合でも、ウィザードには終了時の画面が記憶されるため、戻ったときにその画面が開きます。
手動設定
To properly implement Single Sign-On with SAML in Domo using manual setup, you must configure SSO in both your Identity Provider and in the More > Admin > Authentication > SAML (SSO) tab in Domo.
シングルサインオンを設定するには
-
自分のIDPでDomoのシングルサインオンを設定します。
IdPによりアプリケーションの設定方法は異なるため、具体的な設定方法はご自分のIdPの資料を参考にしてください。ただし、以下のリストでほとんどのIDPに共通するSSOコンポーネントの構築法を説明しています。コンポーネント
説明
統合のタイプ
統合タイプとしてSAML 2.0を選択します。
アプリケーションロゴ
アプリケーションロゴの提供を求められた場合、以下の方法を使用することができます。
アイデンティティープロバイダーのSSO URL
DomoがSAMLRequestを送信する場所のURLです。Copy and paste this URL from the SAML Assertion Endpoint URL field in More > Admin > Authentication > SAML (SSO) in Domo.
オーディエンスURI (SPエンティティーID)
対象となるオーディエンスのURLを入力します。
デフォルトのRelay State
App設定でDomoは使用しないため、このフィールドは空白のままにします。
アプリケーションのユーザー名
ユーザーのメールアドレスをユーザー名として入力します。
SAML属性
どの属性をDomoに移動するか決定するときに、以下の各属性の名前を使用します(SAML_SUBJECTを除き、属性の名前は全て小文字である必要があります。「email」 属性は必須です。その他は全てオプションです)。
属性名
説明
フォーマット
メール
メール
someone@acme.com
email.secondary
メール
someone@acme.com
group
ディレクトリグループ
CN = 何かのグループ、OU = 何かの団体、DC = Acme、DC = com
title
役職名
製品マネージャー
user.phone
個人の電話番号
あらゆるフォーマット
desk.phone
固定電話の番号
あらゆるフォーマット
name
フルネーム
Jon Smith
name.personal
名(このフィールドとname.familyフィールドが連結されてnameになります)
Jon
name.family
姓(このフィールドとname.personalフィールドが連結されてnameになります)
Smith
employee.id
社員ID
521
hire.date
雇用日
role
権限
教育デザイナー
department
部署
エンジニアリング
timezone
タイムゾーン
証明書
IDP提供の証明書をダウンロードします。DomoでSSOを設定するときに、Domoにこの証明書をアップロードします。
-
IDP内で適切なユーザーがDomoへのアクセスを許可されているか確認します。
-
In Domo, select More > Admin.
The Admin Settings opens. -
Expand Authentication, then select SAML (SSO).
-
[SSOを開始]をクリックします。
-
[アイデンティティープロバイダーのエンドポイントURL] フィールドに、SAMLRequestが送信される場所のURLを入力します。
-
[エンティティーID] フィールドに、SAMLRequestを作成するDomoインスタンスの識別子を入力します。自分のIDPに入力した「Audience URI」と一致している必要があります。
-
Upload the X.509 certificate by clicking
, browsing to the certificate on your hard drive, and clicking Open.
-
(Optional) If you want to automatically import groups from your IDP, check the box that reads Import groups from identity provider.
-
まだ実行していない場合は、[SAMLアサーションエンドポイントURL] フィールドからURLをコピーし、自分のIDPの [アイデンティティープロバイダーのSSO URL] に貼り付けます。
-
[接続をテスト] をクリックして全てが適切に設定されていることを確認します。
-
[接続をテスト] をクリックすると、自分の認証情報で実際にログインできるかシミュレーションを行い、SAMLアサーションが想定したとおりに返されるかどうか検証されます。
注記:接続テストは、IDPでDomoへのアクセス権を与えられていない場合は実行できません。
-
(オプション)返された属性を確認する場合は、[詳細を表示] をクリックします。
-
[変更を保存] をクリックしてSSOを有効にします。
これでテスト接続が成功したことが確認され、そしてその環境で SSO がオンになります。 -
Domoからログアウトし、ブラウザを閉じてブラウザのCookieを削除します(もしくは他のブラウザを開きます。)
ログアウトして、クッキーを削除せずに再度ログインすると、セッショントークンの問題が発生し、エラーになります。
直接サインオンにユーザーを追加する
特定のユーザーを直接サインオンリストに追加し、SSOをバイパスしてDomoに直接サインインできるようにします。これらのユーザーはDomoのログイン画面でログインモード(直接またはシングルサインオン)を切り替えることができます。これは、社内メールやディレクトリシステムにアカウントが与えられていない契約業者や社員以外のユーザーにDomoへのアクセスを付与する場合に特に便利です。
ユーザーを直接サインオンリストに追加するには
-
その他>管理者>認証>SAML(SSO)では、直接サインオンリストのヘッダをクリックし、直接サインオンボタンにユーザーを追加します。
-
[ユーザーを検索] フィールドをクリックしてユーザー名または直接サインオンリストに追加するグループを探します。
-
ユーザーやグループの名前をクリックして追加します。
-
必要に応じてステップの2と3を繰り返し、必要な全てのユーザーとグループの名前をフィールドに追加します。
-
(オプション)これらのユーザーを直接サインオンリストに追加した理由を示すメモを [メモ] フィールドに追加ます。
-
[追加] をクリックします。
追加した全てのユーザーとグループの名前がこのタブのリストに表示されます。メモを追加した場合は、それらも表示されます。横にある [X] をクリックすると、リストからユーザーまたはグループを削除できます。
シングルサインオンに移行する
Domoの搭載されている認証システムからシングルサインオンへ移行する場合、以下に注意してください。
-
シングルサインオンを実装する前に、Domoアカウントのメールアドレスが自分のシステムのメールアドレスと一致するか確認します。
-
ユーザーがサインインする際、Domoは既存のメールアドレスのみを基にしてユーザーを認識します。
-
ユーザーがシングルサインオンでログインし、そのメールアドレスが既存アカウントのメールアドレスと一致しない場合、Domoは新しいアカウントを作成します。このアカウントのグループメンバーシップとコンテンツへのアクセスを設定する必要があります。
Domoでシングルサインオンを使用する
Domoでシングルサインオン(SSO)を使用する場合、Domoのビルトイン認証システムを使う場合とはサインインとサインアウトの方法が異なります。
シングルサインオンを使ってDomoにサインインする
-
システムへのアクセスが認証されたら、ユーザーは既存の認証情報を使ってDomoに接続できます。
ディレクトリやオペレーティングシステム、Web ブラウザのタイプによっては、ユーザーが認証情報を入力しなくてもシームレスにサインインできる場合もあります。 -
Domoに接続する時に既にシステムに認証されていない場合は、Domoへの接続前に、シンプルなシステムへのログイン画面が表示されます。
シングルサインオンを使ってWorkbenchからDomoにサインインする
Workbenchは、認証にアクセストークンを使用するようになりました。シングルサインオンでは、Workbenchのインスタンスを認証できなくなりました。
シングルサインオン使用時にDomoからサインアウトする
完全にサインアウトするには、Domoからサインアウトしてウェブブラウザを閉じる必要があります。
シングルサインオン使用時にDomoからサインアウトするには
-
Mouse over your user menu
, then select Sign Out.
ログアウト後、ログインページが表示されます。 -
ウェブブラウザを閉じます。
ログアウトプロセスを完了するには、ウェブ ブラウザを閉じてください。
シングルサインオンでDomoを使用する
シングルサインオンでDomoを使用する場合、以下は行うことができません。
-
忘れたパスワードをメールで受け取る
-
プロフィール内でパスワードを変更する
-
[セキュリティ] タブでパスワードの要件を見る
-
Domoにサインインする前に他のユーザーを見る
コメント
0件のコメント
サインインしてコメントを残してください。