安全性の向上: セキュリティおよびガバナンスレイヤーを追加できます(認証情報が会社の管理対象システム外に保存されたり、ネットワークを介して送信されたりすることはありません)。
エンドユーザーの利便性の向上: 他のシステム(ノートパソコンや内部アプリなど)と同じSSO認証情報を使用してWorkplaceにサインインできるため、ユーザーはWorkplaceのパスワードを覚えていなくてもアクセスできます。

Workplaceは、Azure AD、G Suite、Okta、OneLogin、Ping Identityなど、複数のアイデンティティプロバイダーによって直接サポートされており、これらのプロバイダーから設定を簡略化するダイレクトコネクターが提供されています。

Workplaceは、SSO用にSAML (Security Assertion Markup Language) 2.0をサポートしています。これは業界標準であるため、このページに記載されていない場合でも、SAML 2.0をサポートするすべてのアイデンティティプロバイダーと簡単に統合したり、独自のSSO実装を作成したりできます。

WorkplaceのSSOをオンにする

次のSSO設定が正常に完了すると、Workplaceでプロビジョニングされたユーザーは、選択したアイデンティティプロバイダーを介して認証できるようになります。

必要条件

WorkplaceでSSO認証を有効にするには、次の条件を満たしている必要があります。

アイデンティティプロバイダーの設定へのアクセス権がある。
Workplaceでシステム管理者の役割が付与されている。
Workplaceへのログインに使用しているユーザーと同じメールアドレスを持つ対応アカウントがアイデンティティプロバイダーに存在する(つまり、Workplaceとアイデンティティプロバイダーの両方で同じメールアドレスを認証に使用している)。これは、SSOをテストしてWorkplaceの設定を正しく完了するために不可欠です。

デフォルトで、WorkplaceはインスタンスごとにSSOのためのアイデンティティプロバイダーを1つサポートします。つまり、各ユーザーに対してSSOを有効にするには、SSO用のグローバルアイデンティティプロバイダーを1つ用意する必要があります。Workplaceでは、一部のユーザーがSSOを使用して認証し、他のユーザーがWorkplaceのユーザーネームとパスワードの認証情報を使用して認証するという、認証方法が混在するシナリオもサポートしています。その他に、複数のアイデンティティプロバイダーをサポートするエンタープライズプランもあります。

概要の説明

SSOを有効にするには、アイデンティティプロバイダーとWorkplaceにいくつかの変更を加える必要があります。これは、次の3つのステップで実行します。

WorkplaceのSSOを有効にするようにアイデンティティプロバイダー(IdP)を設定する。

SSOを介してユーザーを認証するようにWorkplaceを設定する。

ユーザーのSSOを有効にする。

各ステップの詳細は次のとおりです。

IdPでWorkplaceのSSOを設定する

1. WorkplaceのSSOを有効にするようにIdPを設定する

お使いのアイデンティティプロバイダーの指示に従って、WorkplaceのSSOを設定します。Workplaceでサポートされているクラウドベースのアイデンティティプロバイダーはすべて、Workplaceのセットアップを簡単に行えるようにあらかじめ設定されたアプリを提供しています。

Workplaceは、SSOプロバイダーとしてADFSもサポートしています。詳細は、「WorkplaceのSSOプロバイダーとしてADFSを設定する方法」をご覧ください。

上に挙げたすべての設定で、少なくともSAML URL、SAML発行元URL、X.509証明書は提供されています。これは、次のステップでWorkplaceを設定する際に使用します。これらを書き留めておいてください。

X.509証明書では、次のステップで使用するために、ダウンロードした証明書をテキストエディターで開かなければならない場合があります。

SSOを介してユーザーを認証するようにWorkplaceを設定する

2. SSOを介してユーザーを認証するようにWorkplaceを設定する

SSOプロバイダーとWorkplaceを連携させるには、次の手順に従います。

[管理者用パネル]で[セキュリティ]を選択します。

[認証]タブをクリックします。

[シングルサインオン(SSO)]チェックボックスをオンにします。

[+新しいSSOプロバイダーを追加]をクリックします。

アイデンティティプロバイダーから提供された値を対応するフィールドに入力します。

SAML URL
SAML発行元URL
SAMLログアウトリダイレクト(任意)
SAML証明書

アイデンティティプロバイダーによっては、[SAML設定]セクションにある[オーディエンスURL]、[受信者のURL]、[ACS (Assertion Consumer Service) URL]の値をコピーして、アイデンティティプロバイダーを設定しなければならない場合があります。

セクションの一番下までスクロールし、[SSOをテスト]ボタンをクリックします。アイデンティティプロバイダーのログインページが示されたポップアップウィンドウが表示されます。ログイン情報を入力して認証します。

トラブルシューティング: IdPによる認証に使用するメールアドレスは、ログインするWorkplaceアカウントのメールアドレスと同じものを使用してください。

テストが完了したら、ページの一番下までスクロールし、[保存する]ボタンをクリックします。

必要に応じて、SSOを新規ユーザーのデフォルトの認証方法として設定します。それには、[新規メンバーの標準設定]ドロップダウンで[SSO]を選択してください。

3. ユーザーのSSOを有効にする

ユーザーのSSOを有効にする

これで、次のいずれかの方法でユーザーのSSOを有効にできるようになりました。

1人のユーザーのSSOを有効にする
すべてまたは一部のユーザーのSSOを一括で有効にする

1人のユーザーのSSOを有効にする

1人のユーザーのSSOを有効にするには、アカウントの追加と削除を行うアクセス許可を持つ管理者としてログインします。

[管理者用パネル]で[ユーザー]を選択します。

SSOを有効にするユーザーを検索します。

[...]ボタンをクリックし、[ユーザー情報を編集]を選択します。

[次を使用してログイン]でSSOを選択します。

すべてまたは一部のユーザーのSSOを一括で有効にする

すべてまたは一部のユーザーのSSOを有効にする場合は、複数の方法を使用できます。

アカウント管理APIを使用して、一連のユーザーの[ログイン方法]フィールドを自動的に更新します。Workplaceと連携しているほとんどのアイデンティティプロバイダーでは、このようなAPIを利用して、社内のすべてのユーザーの認証設定を一括で同期します。詳細は、「アカウント管理API」をご覧ください。
[ログイン方法]は、一括編集に対応しているフィールドの1つです。スプレッドシートのインポート機能を使うことで、一連のユーザーのLogin methodフィールドをSSOに設定できます。詳細は、「一括アカウント管理」をご覧ください。

SAMLログアウトリダイレクト

SAMLログアウトリダイレクト(任意)

必要に応じて、SSO設定ページでSAMLログアウトURLを設定することができます。SAMLログアウトURLは、アイデンティティプロバイダーのログアウトページを指定するために使用します。この設定を有効にすると、以降はWorkplaceのログアウトページにリダイレクトされなくなり、代わりに、SAMLログアウトリダイレクト設定に追加したURLにリダイレクトされるようになります。

再認証の頻度

WorkplaceでSAMLチェックを求める頻度を、毎日、3日ごと、1週間ごと、2週間ごと、1か月ごと、しない、のいずれかに設定できます。すべてのユーザーにSAMLをリセットしてもらうために、[今すぐ強制的に再認証する]ボタンを使用することもできます。

Workplace SSOアーキテクチャ

このセクションでは、WorkplaceでサポートされるSSOフローの詳細を説明します。カスタムSAMLベースのSSOソリューションの場合は、上述のガイドラインに従って、認証用にWorkplaceと統合する必要があります。

Workplaceは、SSO用のSAML 2.0をサポートしており、管理者は自分の管理するアイデンティティプロバイダー(IdP)を使用して、プラットフォームへのアクセスを管理することができます。Workplaceは、SAMLベースのアサーションをIdPから受信して承諾し、以下の認証フローでSAMLサービスプロバイダー(SP)として機能します。

SPが開始したSSOの場合。SSOを利用しているユーザーはWorkplaceの登録ページに移動し、そこで次の操作を実行します。

ユーザーネームを入力して[次へ]ボタンをクリックするか、または
[SSOでログイン]ボタンをクリックする

Workplaceが、SPからIdPへのHTTPリダイレクトバインディングを実行します。リクエストで渡される<samlp:AuthnRequest>オブジェクトには、WorkplaceインスタンスIDを含むIssuerや、IdPとSPの間で事前に合意されたNameIDPolicyのようなデータが含まれます。後者は、リクエストされたサブジェクトを表すために使用される名前識別情報に関する制約を指定します。Workplaceでは、NameIDにユーザーのメールアドレスが含まれている必要があります(nameid-format:emailAddress)。

Workplaceでは、IdPからSPへのHTTP POSTバインディングが必要です。認証ステータスなどのユーザーアサーションを含むSAMLトークンが返されます。WorkplaceポストバックURL (Assertion Consumer Service URLとも呼ばれる)はIDPレベルで設定され、会社のWorkplaceインスタンスの/work/saml.phpエンドポイントを指します。

Workplaceは、ユーザーを許可する前に、次の事項についてチェックします。

IdPが発行した証明書で応答が署名されていること
SAMLアサーションで返されたemailAddressが、SSOフローの開始に使用されたものと一致していること
認証が成功していること(<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>)

認証

内容

アカウントの管理

認証

IT設定

アカウントのライフサイクル

Workplace Blueprints

セキュリティとガバナンス

概要