はじめに
ユーザーは、Domoの内蔵認証システム、またはサポートされているプロバイダーのシングルサインオン (SSO) ソリューションを使用して、Domoにサインインできます。DomoはこのようなSSOのソリューションとしてSAML(Security Assertion Markup Language)認証とOpenID Connectの2つを提供しています。SAMLとOIDC接続は同時に実行できます。その結果、内外のユーザーを区別しやすくなります。また、Domoのアクセスに使用するSSOソリューションとDomo Embedに使用するSSOソリューションを分離するためにも役立ちます。たとえば、Domoでの従業員のアクセス管理にはSAMLを使用し、ほかのウェブサイトやアプリケーションへのカード埋め込みにはOIDCを使用できます。この記事ではSAML認証について説明します。OpenID Connectについての詳細は、「OpenID ConnectでSSOを有効にする」を参照してください。
管理者はSAMLを使ってDomoへのシングルサインオン(SSO)を有効にすることができます。シングルサインオンが一度有効化されると、新しいユーザーはLDAPから自動的にプロビジョニングされ、既存のアイデンティティープロバイダー(IDP)からLDAPグループをインポートすることができます。
SAMLを使用するには、SAML2.0を通じた認証をサポートするクラウドアイデンティティープロバイダー(IDP)、またはフェデレーションサービスを持っている必要があります。SAML 2.0についての詳細は、http://en.m.wikipedia.org/wiki/SAML_2.0を参照してください。
特定のユーザーを直接サインオンリストに追加し、SSOをバイパスしてDomoに直接サインインできるようにします。これらのユーザーはDomoのログイン画面でログインモード(直接またはシングルサインオン)を切り替えることができます。これは、社内メールやディレクトリシステムにアカウントが与えられていない契約業者や社員以外のユーザーにDomoへのアクセスを付与する場合に特に便利です。
SAMLを有効にするには、「管理者」のデフォルトのセキュリティ権限か、「全てのカンパニー設定を管理」が有効になっているカスタム権限が必要です。デフォルトの権限について詳しくは、「デフォルトのセキュリティ権限リファレンス」を参照してください。カスタム権限について詳しくは、「カスタム権限を管理する」を参照してください。
Domoでは次の3つの方法でSSOを設定できます。
-
手動設定。これはDomoでSSOを設定するための「従来の」方法です。
-
メタデータのアップロード。この方法を使用すると、アイデンティティープロバイダーのURLを入力するだけで、設定情報とデジタル証明書を取得できます。すべてのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。
-
セットアップウィザード。このウィザードに従うことで、難しい専門用語やSSO設定に関する詳しい知識がなくても設定することができます。このウィザードでは、Okta、Ping、Microsoft Azure、Salesforceなど、多数の主要なアイデンティティープロバイダーサービスに対して、状況に応じた手順が用意されています。
アイデンティティープロバイダーのURLを入力するだけでよく、残りの作業は自動的に行われることから、これらの方法の中ではメタデータのアップロードを強く推奨します。この方法にアイデンティティープロバイダーが対応していない場合は、セットアップウィザードを使用することを推奨します。手動設定は、ほかの2つの方法のいずれもがニーズに合わない場合にのみ使用してください。
このトピックではまず、Domoのシングルサインオンタブのユーザーインターフェースのコンポーネントについて説明します。その後、利用可能な3つの方法を使用してSSOを設定するための手順を説明します。
注記:
-
SSOを有効にすると、従来のDomoログインはオフになります。一般的には、中断を回避するため、SSOを有効化する前にIDP内でアプリケーションにユーザーを割り当てておきます。
-
SSOが一度有効化されると、招待されたユーザーはアイデンティティープロバイダー内でDomoにアサインされていないとサインインできない場合があります(社内のIDPポリシーにより異なります)。
-
SSOが有効化されているのにもかかわらずログインできない場合は、以前のDomo認証を使ってhttps://
.domo.com/auth/index?domoManualLogin=true でログインすることができます。この手動ログインを使用するには、「管理者」のデフォルトのセキュリティ権限か、「全てのカンパニー設定を管理」が有効になっているカスタム権限を持っているか、直接サインオンリストに登録されていることが必要です。デフォルトの権限について詳しくは、「デフォルトのセキュリティ権限リファレンス」を参照してください。カスタム権限について詳しくは、「カスタム権限を管理する」を参照してください。 -
SSOはいつでも無効にすることができます。これにより、メールアドレスとパスワードを使用した従来のログインが有効になります。すでにログイン情報を所持しているユーザーは、従来のパスワードを使用することも、またはログインページからパスワードをリセットすることもできます。「管理者」セキュリティ権限のあるユーザーは、手動でユーザーパスワードをリセットすることもできます。管理者設定で特定のユーザーの [ユーザー]サブタブへ進み、[パスワードをリセット] をクリックします。
-
Domoモバイル端末アプリのユーザーは、会社のサブドメインを入力し、ウェブビューにIDPユーザー名とパスワードを入力することでDomoにログインできます。モバイルAppでSSOを使用するには、SP-initiatedの認証が必要です。
-
SSOがオンになっていると、「管理者」のデフォルトのセキュリティ権限を持っていても、ユーザーのメールアドレスを直接変更することはできません。これは、SSOからログインするユーザーとDomo内のユーザーを照合するためのキーとしてメールが使用されるためです。メールアドレスを変更すると、次回のサインイン時にそのユーザーに新しいユーザーが追加され、すべての権限が失われます。どうしてもユーザーのメールアドレスを変更する必要がある場合(ユーザーが結婚して姓が変わる場合など)は、[その他]> [管理者]>[ガバナンス]>[ユーザー]サブタブの [一括インポート] オプションを使用して変更することを推奨します。詳細は、「Domoにユーザーを追加する」を参照してください。
動画 - SAMLシングルサインオン(SSO)
[シングルサインオン] タブの各部分
以下の表に、Domoの [その他]>[管理者]>[認証]>[SAML(SSO)]タブの様々なコンポーネントのリストと説明を示します。
コンポーネント |
説明 |
---|---|
全て前の状態に戻す |
SSO設定を、最後に保存した設定に戻します。 |
設定を保存 |
現在の設定を保存します。 |
設定をテスト |
現在の設定をテストします。 |
ウィザードオプション |
SSO設定ウィザードを開きます。ウィザードは、イントロ画面で[設定開始]>[ウィザード]をクリックして開くこともできます(このイントロ画面は、SSOをまだ設定していない場合にのみ表示されます)。 |
[手動設定]タブ、[直接サインオンリスト] タブ、[属性]タブ |
SSO画面の様々なセクションへのアクセス権を設定します。
|
SSOを有効にする |
インスタンスでSSOのオンまたはオフを切り替えるための「マスタースイッチ」です。 |
[IdPからの情報] セクション |
アイデンティティープロバイダーから取得してDomoに入力する必要がある情報のフィールドとオプションがあります。これらのフィールドとオプションは次のとおりです。
注記:Google Chromeの場合、証明書は.pemの書式である必要があります。証明書が.cert形式の場合は、ファイル名の拡張子を.pemに変更してからアップロードします。
|
[IdPが必要とする情報] セクション |
アイデンティティープロバイダーへの入力が必要になる情報のフィールドとオプションがあります。これらのフィールドとオプションは次のとおりです。
|
詳細設定 |
次の設定があります。
|
シングルサインオンを設定する
Domo SSOは、次のいずれかの方法を使用して設定できます。
-
メタデータのダウンロード。推奨。アイデンティティープロバイダーのURLを入力するだけで、設定情報とデジタル証明書を取得できます。すべてのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。
-
セットアップウィザード。IDPでメタデータのアップロードがサポートされていない場合に推奨。このウィザードではわかりにくい専門用語とSSO設定の詳細を説明します。このウィザードでは、Okta、Ping、Microsoft Azure、Salesforceなど、多数の主要なアイデンティティープロバイダーサービスに関するコンテキストベースの手順を紹介します。
-
手動設定。これはDomoでSSOを設定するための「従来の」方法です。
メタデータのアップロード
IDPのURLを入力するだけで必要なすべての情報を取得できるため、Domo SSOの設定にはメタデータのアップロードを強く推奨します。IDPでこのオプションがサポートされていない場合は、次善策としてセットアップウィザードを使用することを推奨します。
メタデータのアップロードを使用してSSOを設定するには:
-
[その他]>[管理者]>[認証]>[SAML (SSO)]を選択します。
DomoにSSOがまだ設定されていない場合は、SSOのメリットが示されたイントロ画面が表示されます。すでに設定されている場合は、[シングルサインオン (SSO)]タブに直接移動します。 -
(条件付き)以下のいずれかを行ってください。
-
イントロ画面が表示されたら、一番下までスクロールして [設定開始]、[メタデータのアップロード]タイルの順にクリックします。
-
[シングルサインオン (SSO)]タブに直接移動した場合は、[メタデータのアップロード]([IdPからの情報] セクション内)をクリックします。
-
-
[メタデータのURL]フィールドに、アイデンティティープロバイダーのSAMLメタデータのURLを入力します。
セットアップウィザード
前のセクションで説明したように、アイデンティティープロバイダーがメタデータのアップロードをサポートしていない場合は、SSOセットアップウィザードを推奨します。
セットアップウィザードを使用してSSOを設定するには:
-
[その他]>[管理者]>[認証]>[SAML (SSO)]を選択します。
DomoにSSOがまだ設定されていない場合は、SSOのメリットが示されたイントロ画面が表示されます。すでに設定されている場合は、[シングルサインオン (SSO)]タブに直接移動します。 -
(条件付き)以下のいずれかを行ってください。
-
イントロ画面が表示されたら、一番下までスクロールして [設定開始]、[ウィザード]タイルの順にクリックします。
-
[シングルサインオン (SSO)] タブに直接移動した場合は、タブの上部近くにある太字の「ウィザード」の文字をクリックします。
これでセットアップウィザードが開きます。
-
-
ウィザードの手順に従って、DomoでSSOを設定します。
ヒント:設定を完了する前にウィザードを終了しなければならない場合でも、ウィザードには終了時の画面が記憶されるため、戻ったときにその画面が開きます。
手動設定
DomoにSAMLを使用したシングルサインオンを手動設定を使用して適切に実装するには、アイデンティティープロバイダーと、Domoの [その他]>[管理者]>[認証]>[SAML (SSO)]の両方でSSOを設定する必要があります。
シングルサインオンを設定するには:
-
自分のIDPでDomoのシングルサインオンを設定します。
IDPによりアプリケーションの設定方法は異なるため、具体的な設定方法はご自分のIDPの資料を参考にしてください。ただし、以下のリストでほとんどのIDPに共通するSSOコンポーネントの構築法を説明しています。コンポーネント
説明
統合のタイプ
統合タイプとしてSAML 2.0を選択します。
アプリケーションロゴ
アプリケーションロゴの提供を求められた場合、以下の方法を使用することができます。
アイデンティティープロバイダーのSSO URL
DomoがSAMLRequestを送信する場所のURLです。Domoの[その他]>[管理者]>[認証]>[SAML (SSO)]の[SAMLアサーションのエンドポイントURL]フィールドからURLをコピーして貼り付けます。
オーディエンスURI(SPエンティティID)
対象となるオーディエンスのURLを入力します。
デフォルトのRelay State
DomoのApp設定では使用しないため、このフィールドは空白のままにします。
アプリケーションのユーザー名
ユーザーのメールアドレスをユーザー名として入力します。
SAML属性
どの属性をDomoに移動するか決定するときに、以下の各属性の名前を使用します(SAML_SUBJECTを除き、属性の名前はすべて小文字である必要があります。「email」 属性は必須です。その他はすべてオプションです)。
属性名
説明
フォーマット
email
メール
someone@acme.com
email.secondary
メール
someone@acme.com
group
ディレクトリグループ
CN = 何かのグループ、OU = 何かの団体、DC = Acme、DC = com
title
役職名
製品マネージャー
user.phone
個人の電話番号
あらゆるフォーマット
desk.phone
固定電話の番号
あらゆるフォーマット
name
フルネーム
Jon Smith
name.personal
名(このフィールドとname.familyフィールドが連結されてnameになります)
Jon
name.family
姓(このフィールドとname.personalフィールドが連結されてnameになります)
Smith
employee.id
社員ID
521
hire.date
雇用日
role
権限
教育デザイナー
department
部署
エンジニアリング
timezone
タイムゾーン
証明書
IDP提供の証明書をダウンロードします。DomoでSSOを設定するときに、Domoにこの証明書をアップロードします。
-
IDP内で適切なユーザーがDomoへのアクセスを許可されているか確認します。
-
Domoで、[その他]>[管理者] を選択します。
[管理者設定]が開きます。 -
[認証]を展開し、[SAML(SSO)]を選択します。
-
[SSOを有効にする]をクリックします。
-
[アイデンティティープロバイダーのエンドポイントURL] フィールドに、SAMLRequestが送信される場所のURLを入力します。
-
[エンティティーID]フィールドに、SAMLRequestを作成するDomoインスタンスの識別子を入力します。自分のIDPに入力した「Audience URI」と一致している必要があります。
-
をクリックし、自分のハードドライブにある証明書を参照し、[開く]をクリックしてX.509証明書をアップロードします。
-
(オプション)自分のIDPからグループを自動的にインポートする場合は、[アイデンティティープロバイダーからグループをインポート] ボックスをチェックします。
-
まだURLをコピーしていない場合は、[SAMLアサーションのエンドポイントURL]フィールドからURLをコピーして、自分のIDPの[アイデンティティープロバイダーのSSO URL]に貼り付けます。
-
[接続をテスト]をクリックして、すべてが適切に設定されているか確認します。
-
[接続をテスト]をクリックすると、自分の認証情報で実際にログインできるかシミュレーションを行い、SAMLアサーションが想定したとおりに返されるかどうか検証されます。
注記:接続テストは、IDPでDomoへのアクセス権を与えられていない場合は実行できません。
-
(オプション)返された属性を確認する場合は、[詳細を表示]をクリックします。
-
[変更を保存]をクリックしてSSOを有効にします。
これで接続テストが成功したことが確認され、そしてその環境でSSOがオンになります。 -
Domoからサインアウトし、ブラウザーを閉じてブラウザーのCookieを削除します(もしくはほかのブラウザーを開きます)。
サインアウトして、Cookieを削除せずに再度サインインすると、セッショントークンの問題が発生し、エラーになります。
直接サインオンにユーザーを追加する
特定のユーザーを直接サインオンリストに追加し、SSOをバイパスしてDomoに直接サインインできるようにします。これらのユーザーはDomoのログイン画面でログインモード(直接またはシングルサインオン)を切り替えることができます。これは、社内メールやディレクトリシステムにアカウントが与えられていない契約業者や社員以外のユーザーにDomoへのアクセスを付与する場合に特に便利です。
ユーザーを直接サインオンリストに追加するには:
-
[その他]>[管理者]>[認証]>[SAML(SSO)]で、[直接サインオンリスト]ヘッダをクリックし、[直接サインオンにユーザーを追加]ボタンをクリックします。
-
[ユーザーを検索]フィールドをクリックし、直接サインオンリストに追加するユーザー名またはグループを探します。
-
ユーザーやグループの名前をクリックして追加します。
-
必要に応じてステップの2と3を繰り返し、必要なすべてのユーザーとグループの名前をフィールドに追加します。
-
(オプション)これらのユーザーを直接サインオンリストに追加した理由を示すメモを [メモ]フィールドに追加します。
-
[追加]をクリックします。
追加したすべてのユーザーとグループの名前がこのタブのリストに表示されます。メモを追加した場合は、それらも表示されます。横にある[X]をクリックすると、リストからユーザーまたはグループを削除できます。
シングルサインオンに移行する
Domoのビルトイン認証システムからシングルサインオンへ移行する場合、以下に注意してください。
-
シングルサインオンを実装する前に、Domoアカウントのメールアドレスが自分のシステムのメールアドレスと一致するか確認します。
-
ユーザーがサインインする際、Domoは既存のメールアドレスのみを基にしてユーザーを認識します。
-
ユーザーがシングルサインオンでログインし、そのメールアドレスが既存アカウントのメールアドレスと一致しない場合、Domoは新しいアカウントを作成します。このアカウントについて、グループメンバーシップとコンテンツへのアクセスを設定する必要があります。
Domoでシングルサインオンを使用する
Domoでシングルサインオン(SSO)を使用する場合、Domoのビルトイン認証システムを使う場合とはサインインとサインアウトの方法が異なります。
シングルサインオンを使ってDomoにサインインする
-
システムへのアクセスが認証されたら、ユーザーは既存の認証情報を使ってDomoに接続できます。
ディレクトリやオペレーティングシステム、ウェブブラウザーのタイプによっては、ユーザーが認証情報を入力しなくてもシームレスにサインインできる場合もあります。 -
Domoに接続する時に、まだシステムに認証されていない場合は、Domoへの接続前に、シンプルなシステムへのサインイン画面が表示されます。
シングルサインオンを使ってWorkbenchからDomoにサインインする
Workbenchは、認証にアクセストークンを使用するようになりました。シングルサインオンでは、Workbenchのインスタンスを認証できなくなりました。
シングルサインオン使用時にDomoからサインアウトする
完全にサインアウトするには、Domoからサインアウトしてウェブブラウザーを閉じる必要があります。
シングルサインオン使用時にDomoからサインアウトするには:
-
ユーザー
メニューにマウスポインタを合わせ、[サインアウト]をクリックします。
サインアウト後、サインインページが表示されます。 -
ウェブブラウザーを閉じます。
サインアウトプロセスを完了するには、ウェブ ブラウザーを閉じてください。
シングルサインオンでDomoを使用する
シングルサインオンでDomoを使用する場合、以下は行うことができません。
-
忘れたパスワードをメールで受け取る
-
プロフィール内でパスワードを変更する
-
[セキュリティ]タブでパスワードの要件を見る
-
Domoにサインインする前にほかのユーザーを見る
コメント
0件のコメント
サインインしてコメントを残してください。