Help Center
Training
Knowledge Base
Community
Developers
Support

DomoのシングルサインオンとDomoのシングルサインオンのSAMLを使用した設定について

Domo University
  • 更新
フォローする

はじめに

ユーザーは、Domoの内蔵認証システム、またはサポートされているプロバイダーのシングルサインオン (SSO) ソリューションを使用して、Domoにサインインできます。DomoはこのようなSSOのソリューションとしてSAML(Security Assertion Markup Language)認証とOpenID Connectの2つを提供しています。SAMLとOIDC接続は同時に実行できます。その結果、内外のユーザーを区別しやすくなります。また、Domoのアクセスに使用するSSOソリューションとDomo Embedに使用するSSOソリューションを分離するためにも役立ちます。たとえば、Domoでの従業員のアクセス管理にはSAMLを使用し、ほかのウェブサイトやアプリケーションへのカード埋め込みにはOIDCを使用できます。この記事ではSAML認証について説明します。OpenID Connectについての詳細は、「OpenID ConnectでSSOを有効にする」を参照してください。   

管理者はSAMLを使ってDomoへのシングルサインオン(SSO)を有効にすることができます。シングルサインオンが一度有効化されると、新しいユーザーはLDAPから自動的にプロビジョニングされ、既存のアイデンティティープロバイダー(IDP)からLDAPグループをインポートすることができます。

SAMLを使用するには、SAML2.0を通じた認証をサポートするクラウドアイデンティティープロバイダー(IDP)、またはフェデレーションサービスを持っている必要があります。SAML 2.0についての詳細は、http://en.m.wikipedia.org/wiki/SAML_2.0を参照してください。

特定のユーザーを直接サインオンリストに追加し、SSOをバイパスしてDomoに直接サインインできるようにします。これらのユーザーはDomoのログイン画面でログインモード(直接またはシングルサインオン)を切り替えることができます。これは、社内メールやディレクトリシステムにアカウントが与えられていない契約業者や社員以外のユーザーにDomoへのアクセスを付与する場合に特に便利です。

SAMLを有効にするには、「管理者」のデフォルトのセキュリティ権限か、「全てのカンパニー設定を管理」が有効になっているカスタム権限が必要です。デフォルトの権限について詳しくは、「デフォルトのセキュリティ権限リファレンス」を参照してください。カスタム権限について詳しくは、「カスタム権限を管理する」を参照してください。

Domoでは次の3つの方法でSSOを設定できます。

  • 手動設定。これはDomoでSSOを設定するための「従来の」方法です。 

  • メタデータのアップロード。この方法を使用すると、アイデンティティープロバイダーのURLを入力するだけで、設定情報とデジタル証明書を取得できます。すべてのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。

  • セットアップウィザード。このウィザードに従うことで、難しい専門用語やSSO設定に関する詳しい知識がなくても設定することができます。このウィザードでは、Okta、Ping、Microsoft Azure、Salesforceなど、多数の主要なアイデンティティープロバイダーサービスに対して、状況に応じた手順が用意されています。

アイデンティティープロバイダーのURLを入力するだけでよく、残りの作業は自動的に行われることから、これらの方法の中ではメタデータのアップロードを強く推奨します。この方法にアイデンティティープロバイダーが対応していない場合は、セットアップウィザードを使用することを推奨します。手動設定は、ほかの2つの方法のいずれもがニーズに合わない場合にのみ使用してください。  

このトピックではまず、Domoのシングルサインオンタブのユーザーインターフェースのコンポーネントについて説明します。その後、利用可能な3つの方法を使用してSSOを設定するための手順を説明します。

注記:

  • SSOを有効にすると、従来のDomoログインはオフになります。一般的には、中断を回避するため、SSOを有効化する前にIDP内でアプリケーションにユーザーを割り当てておきます。

  • SSOが一度有効化されると、招待されたユーザーはアイデンティティープロバイダー内でDomoにアサインされていないとサインインできない場合があります(社内のIDPポリシーにより異なります)。

  • SSOが有効化されているのにもかかわらずログインできない場合は、以前のDomo認証を使ってhttps://.domo.com/auth/index?domoManualLogin=trueでログインすることができます。この手動ログインを使用するには、「管理者」のデフォルトのセキュリティ権限か、「全てのカンパニー設定を管理」が有効になっているカスタム権限を持っているか、直接サインオンリストに登録されていることが必要です。デフォルトの権限について詳しくは、「デフォルトのセキュリティ権限リファレンス」を参照してください。カスタム権限について詳しくは、「カスタム権限を管理する」を参照してください。

  • SSOはいつでも無効にすることができます。これにより、メールアドレスとパスワードを使用した従来のログインが有効になります。すでにログイン情報を所持しているユーザーは、従来のパスワードを使用することも、またはログインページからパスワードをリセットすることもできます。「管理者」セキュリティ権限のあるユーザーは、手動でユーザーパスワードをリセットすることもできます。管理者設定で特定のユーザーの [ユーザー]サブタブへ進み、[パスワードをリセット] をクリックします。

  • Domoモバイル端末アプリのユーザーは、会社のサブドメインを入力し、ウェブビューにIDPユーザー名とパスワードを入力することでDomoにログインできます。モバイルAppでSSOを使用するには、SP-initiatedの認証が必要です。

  • SSOがオンになっていると、「管理者」のデフォルトのセキュリティ権限を持っていても、ユーザーのメールアドレスを直接変更することはできません。これは、SSOからログインするユーザーとDomo内のユーザーを照合するためのキーとしてメールが使用されるためです。メールアドレスを変更すると、次回のサインイン時にそのユーザーに新しいユーザーが追加され、すべての権限が失われます。どうしてもユーザーのメールアドレスを変更する必要がある場合(ユーザーが結婚して姓が変わる場合など)は、[その他]> [管理者]>[ガバナンス]>[ユーザー]サブタブの [一括インポート] オプションを使用して変更することを推奨します。詳細は、「Domoにユーザーを追加する」を参照してください。

動画 - SAMLシングルサインオン(SSO)

 

[シングルサインオン] タブの各部分

sso_ui.png

以下の表に、Domoの [その他]>[管理者]>[認証]>[SAML(SSO)]タブの様々なコンポーネントのリストと説明を示します。

コンポーネント

説明

全て前の状態に戻す

SSO設定を、最後に保存した設定に戻します。 

設定を保存

現在の設定を保存します。

設定をテスト

現在の設定をテストします。

ウィザードオプション

SSO設定ウィザードを開きます。ウィザードは、イントロ画面で[設定開始]>[ウィザード]をクリックして開くこともできます(このイントロ画面は、SSOをまだ設定していない場合にのみ表示されます)。

[手動設定]タブ、[直接サインオンリスト] タブ、[属性]タブ

SSO画面の様々なセクションへのアクセス権を設定します。

  • 手動設定。SSO画面を開いたときに、デフォルトで開くタブです(上のスクリーンショットを参照)。ここでは、IDPとの間でやりとりする情報を入力したり、様々な詳細設定を指定できます。 

  • 直接サインオンリスト。特定のユーザーがSSOをバイパスしてDomoに直接サインインできるようにします。これらのユーザーはDomoのログイン画面でログインモード(直接またはシングルサインオン)を切り替えることができます。

  • 属性。Domoがサポートする属性と形式のリストが表示されます。 

SSOを有効にする

インスタンスでSSOのオンまたはオフを切り替えるための「マスタースイッチ」です。 

[IdPからの情報] セクション

アイデンティティープロバイダーから取得してDomoに入力する必要がある情報のフィールドとオプションがあります。これらのフィールドとオプションは次のとおりです。

      • メタデータのアップロード。アイデンティティープロバイダーのURLを入力するだけで、設定情報とデジタル証明書を取得できます。すべてのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。(このリンクをクリックすると、テキストが「手動で入力」に変わります。手動入力を使用してSSOを設定する場合は、このリンクをクリックします)。

      • アイデンティティープロバイダーのエンドポイントURL。自分のSAMLRequestが送信される場所のURL。このURLは、自分のIDPまたはフェデレーションサービスによって提供されます。

      • エンティティーID。SAMLRequestを作成するDomoインスタンスの固有の識別子です。これは「Issuer ID」または「Identity ID」としてIDPにより提供されることがあり、通常URLのフォーマットになっています。この値は、「SPエンティティID」と呼ばれることもあります。このフィールドはすべての設定で必要とされるわけではありません。その場合、空フィールドのままにしておくこともできます。Help_Icon.pngアイコンをクリックしたときの例を示します。

      • X.509証明書。アイデンティティープロバイダーによって署名された証明書で、DomoとIDP間の信用を証明するものです。この証明書は常にIDPによって発行され、Domoにアップロードされます。

注記:Google Chromeの場合、証明書は.pemの書式である必要があります。証明書が.cert形式の場合は、ファイル名の拡張子を.pemに変更してからアップロードします。  

[IdPが必要とする情報] セクション

アイデンティティープロバイダーへの入力が必要になる情報のフィールドとオプションがあります。これらのフィールドとオプションは次のとおりです。

  • メタデータのダウンロード。設定を完了するためにIdPにアップロードするXMLファイルをダウンロードできます。ただし、すべてのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。

  • SAMLアサーションのエンドポイントURL。IDPがSAML要求を送信する場所のエンドポイントです。設定を完了させるには、このURLをアイデンティティープロバイダーにコピーして貼り付ける必要があります。場合によっては、IDPでサブドメイン(「acmecorp」など)のみ入力を求められることがあります。

  • 認証リクエストに署名。サービスプロバイダーが開始したSSOの認証リクエストに署名できます。有効にするには、次の操作が必要です。

    1. Domoの署名証明書をダウンロードします([認証リクエストに署名] ボックスにチェックを入れると、リンクが表示されます)。

    2. 証明書をIDPにインストールします。

    3. IDPからインストールの確認が来るのを待ちます。

    4. [保存] をクリックして、認証リクエストの署名を開始します。

詳細設定

次の設定があります。

    • 招待された方のみDomoにアクセスできます。Domoへのアクセスを、Domoに招待されたユーザーのみに制限します。

      注記:このボックスをチェックしないと、デフォルトの「パワーユーザー」セキュリティ権限でユーザーが作成されます。招待されていないユーザーにDomoへのアクセスを許可するには、デフォルトのセキュリティ権限を「閲覧ユーザー」に変更することを推奨します。デフォルトのセキュリティ権限の詳細については、「デフォルトのセキュリティ権限リファレンス」を参照してください。

    • ログアウト時にユーザーを次のURLに誘導します:DomoからログアウトしたユーザーがリダイレクトされるURLを指定できます。

    • SAML Relay Stateを使用してリダイレクトする。SAML Relay Stateパラメーターを使用して、特定のDomoコンテンツにディープリンクを設定できます。これは、同じページに多数のカードを埋め込む必要があるときに便利です(詳細は、「Domo外でカードをシェアする」を参照してください)。ただし、IDPによってはこのオプションがサポートされていない場合があります。  

    • アイデンティティープロバイダーからグループをインポート。Domoが、グループメンバーシップのデータをSAMLアサーションからDomoにインポートできるようにします。これらのインポートされたグループは、「グループ」ページ内で「ディレクトリグループ」として表示され、Domoで作成したグループと同様に使用することができます。このグループはIDPからのものであるため、Domoで編集することはできません。この機能を使用するには、「グループ」が IDPから属性として渡される必要があります。

    • Domoのサインイン画面を表示/アイデンティティープロバイダーにスキップ。Domoのサインイン画面を表示するか、代わりにアイデンティティープロバイダーを表示するかを設定します。 

  • 注記:[アイデンティティープロバイダーにスキップ]を選択した場合、直接サインオンリストに登録されているユーザーが直接サインオン認証情報を使用してログインするには、次のURLを使用する必要があります。https://.domo.com/auth/index?domoManualLogin=true

  • 混在モードログイン。現在のユーザーが使用しているログイン方法を変更することなく、埋め込み機能セットへのログインを自動化するためのSSOの使用を許可します。このオプションを選択すると、.domo.comに移動するユーザーには、SSOサインインボタンではなく、通常のユーザー名/パスワードによるサインインオプションが表示されます。

シングルサインオンを設定する

Domo SSOは、次のいずれかの方法を使用して設定できます。

  • メタデータのダウンロード推奨。アイデンティティープロバイダーのURLを入力するだけで、設定情報とデジタル証明書を取得できます。すべてのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。 

  • セットアップウィザードIDPでメタデータのアップロードがサポートされていない場合に推奨。このウィザードではわかりにくい専門用語とSSO設定の詳細を説明します。このウィザードでは、Okta、Ping、Microsoft Azure、Salesforceなど、多数の主要なアイデンティティープロバイダーサービスに関するコンテキストベースの手順を紹介します。

  • 手動設定。これはDomoでSSOを設定するための「従来の」方法です。 

メタデータのアップロード

IDPのURLを入力するだけで必要なすべての情報を取得できるため、Domo SSOの設定にはメタデータのアップロードを強く推奨します。IDPでこのオプションがサポートされていない場合は、次善策としてセットアップウィザードを使用することを推奨します。 

メタデータのアップロードを使用してSSOを設定するには:

  1. [その他]>[管理者]>[認証]>[SAML (SSO)]を選択します。
    DomoにSSOがまだ設定されていない場合は、SSOのメリットが示されたイントロ画面が表示されます。すでに設定されている場合は、[シングルサインオン (SSO)]タブに直接移動します。

  2. (条件付き)以下のいずれかを行ってください。

    • イントロ画面が表示されたら、一番下までスクロールして [設定開始][メタデータのアップロード]タイルの順にクリックします。

    • [シングルサインオン (SSO)]タブに直接移動した場合は、[メタデータのアップロード]([IdPからの情報] セクション内)をクリックします。

  3. [メタデータのURL]フィールドに、アイデンティティープロバイダーのSAMLメタデータのURLを入力します。   

セットアップウィザード

前のセクションで説明したように、アイデンティティープロバイダーがメタデータのアップロードをサポートしていない場合は、SSOセットアップウィザードを推奨します。

セットアップウィザードを使用してSSOを設定するには:

  1. [その他]>[管理者]>[認証]>[SAML (SSO)]を選択します。
    DomoにSSOがまだ設定されていない場合は、SSOのメリットが示されたイントロ画面が表示されます。すでに設定されている場合は、[シングルサインオン (SSO)]タブに直接移動します。

  2. (条件付き)以下のいずれかを行ってください。

    • イントロ画面が表示されたら、一番下までスクロールして [設定開始][ウィザード]タイルの順にクリックします。

    • [シングルサインオン (SSO)] タブに直接移動した場合は、タブの上部近くにある太字の「ウィザード」の文字をクリックします。

      sso_wizard_option.png

      これでセットアップウィザードが開きます。

  3. ウィザードの手順に従って、DomoでSSOを設定します。

    ヒント:設定を完了する前にウィザードを終了しなければならない場合でも、ウィザードには終了時の画面が記憶されるため、戻ったときにその画面が開きます。

手動設定

DomoにSAMLを使用したシングルサインオンを手動設定を使用して適切に実装するには、アイデンティティープロバイダーと、Domoの [その他]>[管理者]>[認証]>[SAML (SSO)]の両方でSSOを設定する必要があります。

シングルサインオンを設定するには:

  1. 自分のIDPでDomoのシングルサインオンを設定します。
    IDPによりアプリケーションの設定方法は異なるため、具体的な設定方法はご自分のIDPの資料を参考にしてください。ただし、以下のリストでほとんどのIDPに共通するSSOコンポーネントの構築法を説明しています。

    コンポーネント

    説明

    統合のタイプ

    統合タイプとしてSAML 2.0を選択します。

    アプリケーションロゴ

    アプリケーションロゴの提供を求められた場合、以下の方法を使用することができます。

    アイデンティティープロバイダーのSSO URL

    DomoがSAMLRequestを送信する場所のURLです。Domoの[その他]>[管理者]>[認証]>[SAML (SSO)]の[SAMLアサーションのエンドポイントURL]フィールドからURLをコピーして貼り付けます。

    オーディエンスURI(SPエンティティID)

    対象となるオーディエンスのURLを入力します。

    デフォルトのRelay State

    DomoのApp設定では使用しないため、このフィールドは空白のままにします。

    アプリケーションのユーザー名

    ユーザーのメールアドレスをユーザー名として入力します。

    SAML属性

    どの属性をDomoに移動するか決定するときに、以下の各属性の名前を使用します(SAML_SUBJECTを除き、属性の名前はすべて小文字である必要があります。「email」 属性は必須です。その他はすべてオプションです)。

    属性名

    説明

    フォーマット

    email

    メール

    someone@acme.com

    email.secondary

    メール

    someone@acme.com

    group

    ディレクトリグループ

    CN = 何かのグループ、OU = 何かの団体、DC = Acme、DC = com

    title

    役職名

    製品マネージャー

    user.phone

    個人の電話番号

    あらゆるフォーマット

    desk.phone

    固定電話の番号

    あらゆるフォーマット

    name

    フルネーム

    Jon Smith

    name.personal

    名(このフィールドとname.familyフィールドが連結されてnameになります)

    Jon

    name.family

    姓(このフィールドとname.personalフィールドが連結されてnameになります)

    Smith

    employee.id

    社員ID

    521

    hire.date

    雇用日

     

    role

    権限

    教育デザイナー

    department

    部署

    エンジニアリング

    timezone

    タイムゾーン

     

     

    証明書

    IDP提供の証明書をダウンロードします。DomoでSSOを設定するときに、Domoにこの証明書をアップロードします。

     

  2. IDP内で適切なユーザーがDomoへのアクセスを許可されているか確認します。

  3. Domoで、[その他]>[管理者] を選択します。
    [管理者設定]が開きます。

  4. [認証]を展開し、[SAML(SSO)]を選択します。

  5. [SSOを有効にする]をクリックします。

  6. [アイデンティティープロバイダーのエンドポイントURL] フィールドに、SAMLRequestが送信される場所のURLを入力します。

  7. [エンティティーID]フィールドに、SAMLRequestを作成するDomoインスタンスの識別子を入力します。自分のIDPに入力した「Audience URI」と一致している必要があります。

  8. をクリックし、自分のハードドライブにある証明書を参照し、[開く]をクリックしてX.509証明書をアップロードします。

  9. (オプション)自分のIDPからグループを自動的にインポートする場合は、[アイデンティティープロバイダーからグループをインポート] ボックスをチェックします。

  10. まだURLをコピーしていない場合は、[SAMLアサーションのエンドポイントURL]フィールドからURLをコピーして、自分のIDPの[アイデンティティープロバイダーのSSO URL]に貼り付けます。

  11. [接続をテスト]をクリックして、すべてが適切に設定されているか確認します。

  12. [接続をテスト]をクリックすると、自分の認証情報で実際にログインできるかシミュレーションを行い、SAMLアサーションが想定したとおりに返されるかどうか検証されます。

    注記:接続テストは、IDPでDomoへのアクセス権を与えられていない場合は実行できません。

  13. (オプション)返された属性を確認する場合は、[詳細を表示]をクリックします。

  14. [変更を保存]をクリックしてSSOを有効にします。
    これで接続テストが成功したことが確認され、そしてその環境でSSOがオンになります。

  15. Domoからサインアウトし、ブラウザーを閉じてブラウザーのCookieを削除します(もしくはほかのブラウザーを開きます)。
    サインアウトして、Cookieを削除せずに再度サインインすると、セッショントークンの問題が発生し、エラーになります。

直接サインオンにユーザーを追加する

特定のユーザーを直接サインオンリストに追加し、SSOをバイパスしてDomoに直接サインインできるようにします。これらのユーザーはDomoのログイン画面でログインモード(直接またはシングルサインオン)を切り替えることができます。これは、社内メールやディレクトリシステムにアカウントが与えられていない契約業者や社員以外のユーザーにDomoへのアクセスを付与する場合に特に便利です。

ユーザーを直接サインオンリストに追加するには:

  1. [その他]>[管理者]>[認証]>[SAML(SSO)]で、[直接サインオンリスト]ヘッダをクリックし、[直接サインオンにユーザーを追加]ボタンをクリックします。

  2. [ユーザーを検索]フィールドをクリックし、直接サインオンリストに追加するユーザー名またはグループを探します。

  3. ユーザーやグループの名前をクリックして追加します。

  4. 必要に応じてステップの2と3を繰り返し、必要なすべてのユーザーとグループの名前をフィールドに追加します。

  5. (オプション)これらのユーザーを直接サインオンリストに追加した理由を示すメモを [メモ]フィールドに追加します。

  6. [追加]をクリックします。

追加したすべてのユーザーとグループの名前がこのタブのリストに表示されます。メモを追加した場合は、それらも表示されます。横にある[X]をクリックすると、リストからユーザーまたはグループを削除できます。

注記:インスタンスのすべての管理者ユーザーは、直接サインオンリストに追加されていなくても、直接サインオンリスト方法を使用してログインできます。ただし、ログイン中に[直接サインオンを使用]オプションを表示するには、直接サインオンリストに1人以上のユーザーが登録されている必要があります。

シングルサインオンに移行する

Domoのビルトイン認証システムからシングルサインオンへ移行する場合、以下に注意してください。

  • シングルサインオンを実装する前に、Domoアカウントのメールアドレスが自分のシステムのメールアドレスと一致するか確認します。

  • ユーザーがサインインする際、Domoは既存のメールアドレスのみを基にしてユーザーを認識します。

  • ユーザーがシングルサインオンでログインし、そのメールアドレスが既存アカウントのメールアドレスと一致しない場合、Domoは新しいアカウントを作成します。このアカウントについて、グループメンバーシップとコンテンツへのアクセスを設定する必要があります。

Domoでシングルサインオンを使用する

Domoでシングルサインオン(SSO)を使用する場合、Domoのビルトイン認証システムを使う場合とはサインインとサインアウトの方法が異なります。

シングルサインオンを使ってDomoにサインインする

  • システムへのアクセスが認証されたら、ユーザーは既存の認証情報を使ってDomoに接続できます。
    ディレクトリやオペレーティングシステム、ウェブブラウザーのタイプによっては、ユーザーが認証情報を入力しなくてもシームレスにサインインできる場合もあります。

  • Domoに接続する時に、まだシステムに認証されていない場合は、Domoへの接続前に、シンプルなシステムへのサインイン画面が表示されます。

シングルサインオンを使ってWorkbenchからDomoにサインインする

Workbenchは、認証にアクセストークンを使用するようになりました。シングルサインオンでは、Workbenchのインスタンスを認証できなくなりました。 

シングルサインオン使用時にDomoからサインアウトする

完全にサインアウトするには、Domoからサインアウトしてウェブブラウザーを閉じる必要があります。

シングルサインオン使用時にDomoからサインアウトするには:

  1. ユーザーメニューにマウスポインタを合わせ、[サインアウト]をクリックします。
    サインアウト後、サインインページが表示されます。

  2. ウェブブラウザーを閉じます。
    サインアウトプロセスを完了するには、ウェブ ブラウザーを閉じてください。

シングルサインオンでDomoを使用する

シングルサインオンでDomoを使用する場合、以下は行うことができません。

  • 忘れたパスワードをメールで受け取る

  • プロフィール内でパスワードを変更する

  • [セキュリティ]タブでパスワードの要件を見る

  • Domoにサインインする前にほかのユーザーを見る

関連記事

コメント

0件のコメント

サインインしてコメントを残してください。