Help Center
Training
Knowledge Base
Community
Developers
Support

DomoのシングルサインオンとDomoのシングルサインオンのSAMLを使用した設定について

Domo University
  • 更新
フォローする

はじめに

ユーザーは、Domoの内蔵認証システム、またはサポートされているプロバイダーのシングルサインオン (SSO) ソリューションを使用して、Domoにサインインできます。DomoはこのようなSSOのソリューションとしてSAML(Security Assertion Markup Language)認証とOpenID Connectの2つを提供しています。SAMLとOIDC接続は同時に実行できます。その結果、内外のユーザーを区別しやすくなります。This is also useful for separating the SSO solutions you use for Domo access and Domo Embed. For example, you can use SAML for controlling employee access in Domo and OIDC for embedding cards into other websites and applications. この記事ではSAML認証について説明します。For information about OpenID Connect, see Enabling SSO with OpenID Connect.   

管理者はSAMLを使ってDomoでシングルサインオン(SSO)を有効にすることができます。シングルサインオンが一度有効化されると、新しいユーザーはLDAPから自動的にプロビジョニングが提供され、LDAPグループは既存のアイデンティティープロバイダー(IdP)からインポートすることができます。

SAMLを使用するには、SAML2.0を通じた認証をサポートするクラウド・アイデンティティープロバイダー(IDP)、または、フェデレーションサービスを持っている必要があります。SAML 2.0についての詳細は、http://en.m.wikipedia.org/wiki/SAML_2.0を参照してください。

特定のユーザーを直接サインオンリストに追加し、SSOをバイパスしてDomoに直接サインインできるようにします。これらのユーザーはDomoのログイン画面でログインモード(直接またはシングルサインオン)を切り替えることができます。これは、社内メールやディレクトリシステムにアカウントが与えられていない契約業者や社員以外のユーザーにDomoへのアクセスを付与する場合に特に便利です。

SAMLを有効にするには、「管理者」のデフォルトのセキュリティロールか、「カンパニー設定を管理」が有効になっているカスタムロールが必要です。デフォルトのロールの詳細については「デフォルトのセキュリティロールリファレンス」を参照してください。カスタムロールについて詳しくは「カスタムロールを管理する」を参照してください。

Domoでは次の3つの方法でSSOを設定できます。

  • 手動設定。これはDomoでSSOを設定するための「従来の」方法です。 

  • メタデータのアップロード。この方法を使用すると、アイデンティティープロバイダーのURLを入力するだけで、設定情報とデジタル証明書を取得できます。全てのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。

  • セットアップウィザード。このウィザードに従うことで、難しい専門用語やSSO設定に関する詳しい知識がなくても設定することができます。このウィザードでは、Okta、Ping、Microsoft Azure、Salesforceなど、多数の主要なアイデンティティープロバイダーサービスに対して、状況に応じた手順が用意されています。

アイデンティティープロバイダーのURLを入力するだけでよく、残りの作業は自動的に行われることから、これらの方法の中ではメタデータのアップロードを強くお勧めします。この方法にアイデンティティープロバイダーが対応していない場合は、セットアップウィザードを使用することをお勧めします。手動設定は、他の2つの方法のいずれもがニーズに合わない場合にのみ使用してください。  

このトピックではまず、Domoのシングルサインオンタブのユーザーインターフェースのコンポーネントについて説明します。その後、利用可能な3つの方法を使用してSSOを設定するための手順を説明します。

注記:

  • SSOを有効にすると、従来のDomoログインはオフになります。一般的には、中断を回避するためSSOを有効化する前にIDP内でそのアプリケーションにユーザーを割り当てておきます。

  • SSOが一度有効化されると、招待されたユーザーはアイデンティティープロバイダー内でDomoにアサインされていないとサインインできない場合があります(社内のIDPポリシーにより異なります)。

  • SSOが有効化されているのにもかかわらずログインできない場合は、以前のDomo認証を使ってhttps://.domo.com/auth/index?domoManualLogin=trueでログインすることができます。この手動ログインを使用するには、「管理者」のデフォルトのセキュリティロールか、「カンパニー設定を管理」が有効になっているカスタムロールを持っているか、直接サインオンリストに登録されていることが必要です。デフォルトのロールの詳細については「デフォルトのセキュリティロールリファレンス」を参照してください。カスタムロールについて詳しくは「カスタムロールを管理する」を参照してください。

  • SSOはいつでも無効にすることができます。これにより、メールアドレスとパスワードを使用した従来のログインが発動します。すでにログイン情報を所持しているユーザーは、従来のパスワードを使用することも、またはログインページからパスワードをリセットすることもできます。Users with "Admin" security roles can also manually reset user passwords by going to the People sub-tab for the specific individual in Admin Settings and clicking Reset Password.

  • Domoモバイル端末アプリのユーザーは、会社のサブドメインを入力し、ウェブビューでのIDPユーザーネームとパスワードを入力することでDomoにログインできます。モバイルAppでSSOを使用するには、SP-initiatedの認証が必要です。

  • SSOがオンになっていると、「管理者」のデフォルトのセキュリティロールを持っていても、ユーザーのメールアドレスを直接変更することはできません。これは、SSOからログインするユーザーとDomo内のユーザーを照合するためのキーとしてメールが使用されることが理由です。メールを変更すると、次回のサインイン時にそのユーザーに新しいユーザーが追加され、全ての権限が失われます。 If you absolutely must change a user's email address (for example, perhaps a user gets married and her last name changes), the best way to do so is by using the Bulk Import option in the More > Admin > Governance > People sub-tab. 詳細は、「Domoにユーザーを追加する」を参照してください。

Video-SAMLシングルサインオン(SSO)

 

[シングルサインオン] タブの部分の説明

sso_ui.png

The following table lists and describes the various components of the More > Admin > Authentication > SAML (SSO) tab in Domo:

コンポーネント

説明

全て前の状態に戻す

SSO設定を、最後に保存した設定に戻します。 

設定を保存

現在の設定を保存します。

設定をテスト

現在の設定をテストします。

ウィザードオプション

SSO設定ウィザードを開きます。ウィザードは、イントロ画面で [設定開始] > [ウィザード] をクリックして開くこともできます(このイントロ画面は、SSOをまだ設定していない場合にのみ表示されます)。

[手動設定] タブ、[直接サインオンリスト] タブ、[属性] タブ

SSO画面のさまざまなセクションへのアクセス権を設定します。

  • 手動設定。SSO画面を開いたときに、デフォルトで開くタブです(上のスクリーンショットを参照)。ここでは、IdPとの間でやりとりする情報を入力したり、さまざまな詳細設定を指定できます。 

  • 直接サインオンリスト。特定のユーザーがSSOをバイパスしてDomoに直接サインインできるようにします。これらのユーザーはDomoのログイン画面でログインモード(直接またはシングルサインオン)を切り替えることができます。

  • 属性。Domoがサポートする属性と形式のリストが表示されます。 

SSOを有効にする

インスタンスでSSOのオンまたはオフを切り替えるための「マスタースイッチ」です。 

[IdPからの情報] セクション

アイデンティティープロバイダーから取得してDomoに入力する必要がある情報のフィールドとオプションがあります。これらのフィールドとオプションは次のとおりです。

      • メタデータのアップロード。アイデンティティープロバイダーのURLを入力するだけで、設定情報とデジタル証明書を取得できます。全てのアイデンティティープロバイダーがこのサービスを提供しているわけではありません(このリンクをクリックすると、テキストが「手動で入力」に変わります。手動入力を使用してSSOを設定する場合は、このリンクをクリックします)。

      • アイデンティティープロバイダーのエンドポイントURL。自分のSAMLRequestが送信される場所のURL このURLは、自分のIDPまたはフェデレーションサービスによって提供されます。

      • エンティティーID。SAMLRequest を作成する Domo インスタンスの固有の識別子です。これは「Issuer ID」または「Identity ID」としてIDPにより提供されることがあり、通常URLのフォーマットになっています。この値は、「SP Entity ID」と呼ばれることもあります。このフィールドは全ての設定で必要とされるわけではありません。その場合、空フィールドのままにしておくこともできます。Examples are given when you click the Help_Icon.png icon.

      • X.509証明書。アイデンティティープロバイダーによって署名された証明書で、DomoとIDP間の信用を証明するものです。この証明書は常にIDPによって発行され、Domoにアップロードされます。

注記:Google Chromeの場合、証明書は.pemの書式である必要があります。.cert書式の証明書がある場合は、.pem拡張子にファイル名を変更してからアップロードします。  

[IdPが必要とする情報] セクション

アイデンティティープロバイダーへの入力が必要になる情報のフィールドとオプションがあります。これらのフィールドとオプションは次のとおりです。

  • メタデータのダウンロード。設定を完了するためにIdPにアップロードするXMLファイルをダウンロードできます。ただし、全てのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。

  • SAMLアサーションエンドポイントURL。IDPがSAML要求を送信する場所のエンドポイントです。設定を完了させるには、このURLをアイデンティティープロバイダーにコピーして貼り付ける必要があります。場合によっては、IDPでサブドメイン(「acmecorp」など)のみ入力を求められることがあります。

  • 認証リクエストに署名。サービスプロバイダーが開始したSSOの認証リクエストに署名できます。有効にするには、次の操作が必要です。

    1. Domoの署名証明書をダウンロードします([認証リクエストに署名] ボックスにチェックを入れると、リンクが表示されます)。

    2. 証明書をIDPにインストールします。

    3. IDPからインストールの確認が来るのを待ちます。

    4. [保存] をクリックして、認証リクエストの署名を開始します。

詳細設定

次の設定があります。

    • 招待された方のみDomoにアクセスできます。Domoへのアクセスを、Domoに招待されたユーザーのみに制限します。

      Note: If you do not check this box, users will be created with the default security role of Priviliged. 招待していないユーザーにDomoにアクセスさせるには、デフォルトのセキュリティ権限を閲覧ユーザーに変更することをお勧めします。For more information, see Default Security Role Reference.

    • ログアウト時にユーザーを次のURLに誘導します:DomoからログアウトしたユーザーがリダイレクトされるURLを指定できます。

    • SAML Relay Stateを使用してリダイレクトする。SAML Relay Stateパラメーターを使用して、特定のDomoコンテンツにディープリンクを設定できます。これは、同じページに多数のカードを埋め込む必要があるときに便利です(詳細は、「Domo外でカードをシェアする」を参照してください)。ただし、IdPによってはこのオプションがサポートされていない場合があります。  

    • アイデンティティープロバイダーからグループをインポート。Domoが、グループメンバーシップのデータをSAMLアサーションからDomoにインポートできるようにします。これらのインポートされたグループは、「グループ」ページ内で「ディレクトリグループ」として表示され、Domoで作成したグループと同様に使用することができます。このグループはIDPからのものであるため、Domoで編集することはできません。この機能を使用するには、「グループ」が IdP から属性として渡される必要があります。

    • Show Domo sign-in screen/Skip to identity provider. Domoのサインイン画面を表示するか、代わりにアイデンティティープロバイダーを表示するかを設定します。 

  • 注記:[アイデンティティープロバイダーにスキップ] を選択した場合、直接サインオンリストに登録されているユーザーが直接サインオン認証情報を使用してログインするには、次のURLを使用する必要があります。https://.domo.com/auth/index?domoManualLogin=true

  • 混在モードログイン。現在のユーザーが使用しているログイン方法を変更することなく、埋め込み機能セットへのログインを自動化するためのSSOの使用を許可します。このオプションを選択すると、.domo.comに移動するユーザーには、SSOサインインボタンではなく、通常のユーザー名/パスワードによるサインインオプションが表示されます。

シングルサインオンを設定する

Domo SSOは、次のいずれかの方法を使用して設定できます。

  • メタデータのダウンロード推奨。アイデンティティープロバイダーのURLを入力するだけで、設定情報とデジタル証明書を取得できます。全てのアイデンティティープロバイダーがこのサービスを提供しているわけではありません。 

  • セットアップウィザードIdPでメタデータのアップロードがサポートされていない場合に推奨。このウィザードではわかりにくい専門用語とSSO設定の詳細を説明します。このウィザードでは、Okta、Ping、Microsoft Azure、Salesforceなど、多数の主要なアイデンティティープロバイダーサービスに関するコンテキストベースの手順を紹介します。

  • 手動設定。これはDomoでSSOを設定するための「従来の」方法です。 

メタデータのアップロード

IdPのURLを入力するだけで必要な全ての情報を取得できるため、Domo SSOの設定にはメタデータのアップロードを強くお勧めします。IdPでこのオプションがサポートされていない場合は、次善策としてセットアップウィザードを使用することをお勧めします。 

メタデータのアップロードを使用してSSOを設定するには

  1. Select More > Admin > Authentication > SAML (SSO).
    If SSO has not yet been set up for your Domo, an intro screen appears listing the benefits of SSO. すでに設定されている場合は、[シングルサインオン (SSO)] タブに直接移動します。

  2. (条件付き)以下のいずれかを行ってください。

    • イントロ画面が表示されたら、一番下までスクロールして [設定開始][メタデータのアップロード] タイルの順にクリックします。

    • [シングルサインオン (SSO)] タブに直接移動した場合は、[メタデータのアップロード]([IdPからの情報] セクション)をクリックします。

  3. [メタデータのURL] フィールドに、アイデンティティープロバイダーのSAMLメタデータのURLを入力します。   

セットアップウィザード

前のセクションで説明したように、アイデンティティープロバイダーがメタデータのアップロードをサポートしていない場合は、SSOセットアップウィザードをお勧めします。

セットアップウィザードを使用してSSOを設定するには

  1. Select More > Admin > Authentication > SAML (SSO).
    If SSO has not yet been set up for your Domo, an intro screen appears listing the benefits of SSO. すでに設定されている場合は、[シングルサインオン (SSO)] タブに直接移動します。

  2. (条件付き)以下のいずれかを行ってください。

    • イントロ画面が表示されたら、一番下までスクロールして [設定開始][ウィザード] タイルの順にクリックします。

    • If you are taken directly to the Single Sign-On (SSO) tab, click the bolded word "wizard" near the top of the tab.

      sso_wizard_option.png

      The Setup Wizard now opens.

  3. ウィザードの手順に従って、DomoでSSOを設定します。

    ヒント:設定を完了する前にウィザードを終了しなければならない場合でも、ウィザードには終了時の画面が記憶されるため、戻ったときにその画面が開きます。

手動設定

To properly implement Single Sign-On with SAML in Domo using manual setup, you must configure SSO in both your Identity Provider and in the More > Admin > Authentication > SAML (SSO) tab in Domo.

シングルサインオンを設定するには

  1. 自分のIDPでDomoのシングルサインオンを設定します。
    IdPによりアプリケーションの設定方法は異なるため、具体的な設定方法はご自分のIdPの資料を参考にしてください。ただし、以下のリストでほとんどのIDPに共通するSSOコンポーネントの構築法を説明しています。

    コンポーネント

    説明

    統合のタイプ

    統合タイプとしてSAML 2.0を選択します。

    アプリケーションロゴ

    アプリケーションロゴの提供を求められた場合、以下の方法を使用することができます。

    アイデンティティープロバイダーのSSO URL

    DomoがSAMLRequestを送信する場所のURLです。Copy and paste this URL from the SAML Assertion Endpoint URL field in More > Admin > Authentication > SAML (SSO) in Domo.

    オーディエンスURI (SPエンティティーID)

    対象となるオーディエンスのURLを入力します。

    デフォルトのRelay State

    App設定でDomoは使用しないため、このフィールドは空白のままにします。

    アプリケーションのユーザー名

    ユーザーのメールアドレスをユーザー名として入力します。

    SAML属性

    どの属性をDomoに移動するか決定するときに、以下の各属性の名前を使用します(SAML_SUBJECTを除き、属性の名前は全て小文字である必要があります。「email」 属性は必須です。その他は全てオプションです)。

    属性名

    説明

    フォーマット

    メール

    メール

    someone@acme.com

    email.secondary

    メール

    someone@acme.com

    group

    ディレクトリグループ

    CN = 何かのグループ、OU = 何かの団体、DC = Acme、DC = com

    title

    役職名

    製品マネージャー

    user.phone

    個人の電話番号

    あらゆるフォーマット

    desk.phone

    固定電話の番号

    あらゆるフォーマット

    name

    フルネーム

    Jon Smith

    name.personal

    名(このフィールドとname.familyフィールドが連結されてnameになります)

    Jon

    name.family

    姓(このフィールドとname.personalフィールドが連結されてnameになります)

    Smith

    employee.id

    社員ID

    521

    hire.date

    雇用日

     

    role

    権限

    教育デザイナー

    department

    部署

    エンジニアリング

    timezone

    タイムゾーン

     

     

    証明書

    IDP提供の証明書をダウンロードします。DomoでSSOを設定するときに、Domoにこの証明書をアップロードします。

     

  2. IDP内で適切なユーザーがDomoへのアクセスを許可されているか確認します。

  3. In Domo, select More > Admin.
    The Admin Settings opens.

  4. Expand Authentication, then select SAML (SSO).

  5. [SSOを開始]をクリックします。

  6. [アイデンティティープロバイダーのエンドポイントURL] フィールドに、SAMLRequestが送信される場所のURLを入力します。

  7. [エンティティーID] フィールドに、SAMLRequestを作成するDomoインスタンスの識別子を入力します。自分のIDPに入力した「Audience URI」と一致している必要があります。

  8. Upload the X.509 certificate by clicking , browsing to the certificate on your hard drive, and clicking Open.

  9. (Optional) If you want to automatically import groups from your IDP, check the box that reads Import groups from identity provider.

  10. まだ実行していない場合は、[SAMLアサーションエンドポイントURL] フィールドからURLをコピーし、自分のIDPの [アイデンティティープロバイダーのSSO URL] に貼り付けます。

  11. [接続をテスト] をクリックして全てが適切に設定されていることを確認します。

  12. [接続をテスト] をクリックすると、自分の認証情報で実際にログインできるかシミュレーションを行い、SAMLアサーションが想定したとおりに返されるかどうか検証されます。

    注記:接続テストは、IDPでDomoへのアクセス権を与えられていない場合は実行できません。

  13. (オプション)返された属性を確認する場合は、[詳細を表示] をクリックします。

  14. [変更を保存] をクリックしてSSOを有効にします。
    これでテスト接続が成功したことが確認され、そしてその環境で SSO がオンになります。

  15. Domoからログアウトし、ブラウザを閉じてブラウザのCookieを削除します(もしくは他のブラウザを開きます。)
    ログアウトして、クッキーを削除せずに再度ログインすると、セッショントークンの問題が発生し、エラーになります。

直接サインオンにユーザーを追加する

特定のユーザーを直接サインオンリストに追加し、SSOをバイパスしてDomoに直接サインインできるようにします。これらのユーザーはDomoのログイン画面でログインモード(直接またはシングルサインオン)を切り替えることができます。これは、社内メールやディレクトリシステムにアカウントが与えられていない契約業者や社員以外のユーザーにDomoへのアクセスを付与する場合に特に便利です。

ユーザーを直接サインオンリストに追加するには

  1. その他>管理者>認証>SAML(SSO)では、直接サインオンリストのヘッダをクリックし、直接サインオンボタンにユーザーを追加します。

  2. [ユーザーを検索] フィールドをクリックしてユーザー名または直接サインオンリストに追加するグループを探します。

  3. ユーザーやグループの名前をクリックして追加します。

  4. 必要に応じてステップの2と3を繰り返し、必要な全てのユーザーとグループの名前をフィールドに追加します。

  5. (オプション)これらのユーザーを直接サインオンリストに追加した理由を示すメモを [メモ] フィールドに追加ます。

  6. [追加] をクリックします。

追加した全てのユーザーとグループの名前がこのタブのリストに表示されます。メモを追加した場合は、それらも表示されます。横にある [X] をクリックすると、リストからユーザーまたはグループを削除できます。

注記:インスタンスの全ての管理者ユーザーは、直接サインオンリストに追加しなくても、直接サインオンリスト方法を使用してログインできます。ただし、ログイン中に [直接サインオンを使用] オプションを表示するには、直接サインオンリストに1人以上のユーザーを登録する必要があります。

シングルサインオンに移行する

Domoの搭載されている認証システムからシングルサインオンへ移行する場合、以下に注意してください。

  • シングルサインオンを実装する前に、Domoアカウントのメールアドレスが自分のシステムのメールアドレスと一致するか確認します。

  • ユーザーがサインインする際、Domoは既存のメールアドレスのみを基にしてユーザーを認識します。

  • ユーザーがシングルサインオンでログインし、そのメールアドレスが既存アカウントのメールアドレスと一致しない場合、Domoは新しいアカウントを作成します。このアカウントのグループメンバーシップとコンテンツへのアクセスを設定する必要があります。

Domoでシングルサインオンを使用する

Domoでシングルサインオン(SSO)を使用する場合、Domoのビルトイン認証システムを使う場合とはサインインとサインアウトの方法が異なります。

シングルサインオンを使ってDomoにサインインする

  • システムへのアクセスが認証されたら、ユーザーは既存の認証情報を使ってDomoに接続できます。
    ディレクトリやオペレーティングシステム、Web ブラウザのタイプによっては、ユーザーが認証情報を入力しなくてもシームレスにサインインできる場合もあります。

  • Domoに接続する時に既にシステムに認証されていない場合は、Domoへの接続前に、シンプルなシステムへのログイン画面が表示されます。

シングルサインオンを使ってWorkbenchからDomoにサインインする

Workbenchは、認証にアクセストークンを使用するようになりました。シングルサインオンでは、Workbenchのインスタンスを認証できなくなりました。 

シングルサインオン使用時にDomoからサインアウトする

完全にサインアウトするには、Domoからサインアウトしてウェブブラウザを閉じる必要があります。

シングルサインオン使用時にDomoからサインアウトするには

  1. Mouse over your user menu , then select Sign Out.
    ログアウト後、ログインページが表示されます。

  2. ウェブブラウザを閉じます。
    ログアウトプロセスを完了するには、ウェブ ブラウザを閉じてください。

シングルサインオンでDomoを使用する

シングルサインオンでDomoを使用する場合、以下は行うことができません。

  • 忘れたパスワードをメールで受け取る

  • プロフィール内でパスワードを変更する

  • [セキュリティ] タブでパスワードの要件を見る

  • Domoにサインインする前に他のユーザーを見る

関連記事

コメント

0件のコメント

サインインしてコメントを残してください。