シングルサインオンの設定

ADSelfService Plusシングルサインオン(SSO)により、複数のユーザーIDとパスワードが不要になり、ユーザーのログインエクスペリエンスが合理化され、セキュリティが向上します。Active Directoryの資格情報を使用してユーザーのIDを検証し、OUおよびグループベースのポリシーを使用してさまざまなクラウドアプリケーションへのアクセスを制御します。ユーザーは、Windowsユーザー名およびパスワードを思い出すだけで、企業アプリケーションすべてにアクセスできます。

ADSelfService Plusは、安全で、広く採用された業界基準セキュリティアサーションマークアップ言語2.0(SAML 2.0)を使用してSSOを提供します。また、セキュリティを確保するために、ログイン中の多要素認証もサポートしています。

注意:シングルサインオンを構成するには、IDプロバイダーから受け取った検証証明書/証明書指紋をアップロードするように求められます。IDプロバイダー証明書を取得するには、「設定」->「パスワード同期/シングルサインオン」に進み、「SSO/SAMLの詳細」をクリックします。「SHA1フィンガープリント」をコピーし、「SSO証明書のダウンロード」リンクをクリックして、SSO証明書をダウンロードします。

IDプロバイダーによって開始されるフローおよびサービスプロバイダーによって開始されるフロー:

ユーザーがSSOを使用してアプリケーションまたはサービスにログインできる方法は2つあります。

  • 確認プロバイダー(IdP)によって開始されたSSO
  • サービスプロバイダー(SP)によって開始されたSSO

ここで、IdPはADSelfService Plusを指します。また、SPはクラウド アプリケーションかサービスを指します。SSOを開始するために、ユーザーはIdPかSPのいずれかを選ぶことができます。

IdPで開始されたSSOで、ユーザーはADSelfService Plusページにログインし、アプリケーションをクリックします。アプリケーションが新しいタブで開き、ユーザーが自動的にログインします。

SPで開始されたSSOでは、ユーザーがアプリケーションリンクをクリックすると、SPのログインページに移動します。ユーザー名を入力するか、SAML SSOオプションを選択すると、SPはユーザーをIdPにリダイレクトします。その後、ユーザーはIdPにログインしてSPにアクセスする必要があります。

一部のアプリケーションでは、ADSelfService Plusはこれらのフローの1つのみをサポートします。

サポート対象のアプリケーション

ADSelfService Plusを使用すると、任意のSAML対応アプリケーションにActive DirectoryベースのSSOを提供することができるようになります。