シングルサインオン (SSO) の設定
- English
- 日本語
重要 : このガイドは、Next-Gen WAF コンソールにアクセスできる Next-Gen WAF のお客様のみが対象です。Fastly コンソールで Next-Gen WAF プロダクトにアクセスできる場合は、Fastly アカウント向けの有効化ガイドをご確認ください。
IDプロバイダー (IdP) を使用してユーザー認証を管理する場合、シングルサインオン (SSO) 機能を有効にすることで、組織のユーザーがメールアドレスとパスワードの代わりに IdP を使用して Next-Gen WAF コンソールにログインすることを許可または要求できます。
シングルサインオンの有効化
- SAML 2.0
- OAuth 2.0 サービス
まず、コンソールで SAML に切り替えます。
- Next-Gen WAF コンソールにログインします。
[Corp Manage (企業管理)] メニューから、[User Authentication (ユーザー認証)] を選択します。
[Authentication (認証)] セクションで、[Switch to SAML (SAMLに切り替え)] をクリックして、Okta や OneLogin などのプロバイダの SAML 認証を使用します。
次に、IdP を以下の設定を使用するように構成します。
受信者/消費者 URL :
https://dashboard.signalsciences.net/saml対象者 URI (SP エンティティID) :
https://dashboard.signalsciences.net/消費者向け URL 検証ツール :
^https:\/\/dashboard\.signalsciences\.net\/saml$
SAML 2.0 を使用して自己設定を行う場合、以下の点に注意してください。
SAML メタデータは公開していません。
IdP に構成されたアプリから、SAML2.0 エンドポイントおよび x.509 公開証明書を指定する必要があります。
署名付き SAML レスポンスが必要です。アサーションのみに署名した SAML レスポンスは拒否されます。そのため、IdP の設定において SAML レスポンスが署名されていることを確認してください。
SP によって開始されるログインを許可し、SAML を設定するハンドシェイクを完了させる必要があります。それが完了すれば、IdP によるログインを開始できるようになります。
SAML SSO 設定を更新もしくは追加する際、AuthNRequest の POST ボディで送信された
RelayStateは、IdP からの SAML レスポンスで返す必要があります。これで SAML を設定するハンドシェイクが完了します。PingFederate を ID プロバイダーとして使用している場合、署名ポリシー設定内の [Require authn requests to be signed when received via the post or redirect bindings (POST またはリダイレクトバインディング経由で受信した認証要求に署名を必須とする)] オプションと [Always sign the SAML assertion (SAML アサーションに常に署名する)] オプションの選択を解除する必要があります。
シングルサインオンを有効にした後
シングルサインオン (SSO) を有効にすると、既存ユーザーのパスワードと二段階認証 (2FA) トークンは削除され、アクティブなセッション中のすべてのユーザーのセッションは終了します。
各ユーザーには、SSO バインディングリンクとアカウントでの SSO 設定手順が記載されたメールが送信されます。SSO バインディングリンクをクリックせずにログインを試みるユーザーには、SSO が自分の企業 (アカウント) で有効化されている旨と、メール内のリンクに従う必要があることを伝えるエラーメッセージが表示されます。
ユーザーが SSO の設定を正常に完了すると、変更を確認するメールが送信されます。
考慮事項
次の点に留意してください。
安全な暗号アルゴリズムを使用してください。SHA-1 暗号アルゴリズムは米国標準技術研究所 (NIST) によって廃止されているため、SHA-256 など、ハッシュ関数の SHA-2 ファミリーのような、より高度で安全が強化されているものにアップグレードすることが推奨されています。NIST が推奨する段階的廃止の期限前に、SSO セットアップでの SAML 証明書署名にこれらのより高度なアルゴリズムを使用またはアップグレードすることを検討してください。
SSO バインディングリンクは 3日間のみ有効です。SSO バインディングリンクの有効期限が切れた場合は、[User Management (ユーザー管理)] ページの [Users (ユーザー)] パネルで [Pending SSO (保留中のSSO)] ステータスの横にある [Resend SSO email (SSO メールの再送信)] をクリックして、再送信できます。
![[Resend SSO Emai (SSO メールの再送)] ボタン。](/documentation/static/8ed591eee0d6e2f18f93241f204aa303/resend-sso-email.png)
ID プロバイダーからのメールアドレスは、Signal Sciences アカウントに登録されているメールアドレスと一致する必要があります。ID プロバイダーからのメールアドレスが Signal Sciences アカウントに登録されているメールアドレスと一致しない場合、SSO を有効にすると Signal Sciences のメールアドレスが IDプロバイダーのメールアドレスに変更される旨のアラートが表示されます。
選択したメールアドレスが Signal Sciences アカウントのメールアドレスと一致せず、システム内に既に存在するメールアドレスと競合する場合は、エラーメッセージが表示され、別のメールアドレスを選択する必要があります。
指定されている場合、シングルサインオフは IT 部門の設定に従います。もしあなたの企業 (アカウント) の IT 部門が、ログアウトのリダイレクトや Cookie の更新を処理するためにカスタムログアウト URL を使用する必要があると判断した場合、オプションのログアウトエンドポイントを提供することが可能です。パラメータは必要ありません。ブラウザは GET リクエストを実行し、IT 部門が設定したサインアウト設定やリダイレクトに従います。
シングルサインオンの無効化
所有者は、以下の手順に従って、企業 (アカウント) のすべてのユーザーに対してシングルサインオンを無効にできます。
- Next-Gen WAF コンソールにログインします。
[Corp Manage (企業管理)] メニューから、[User Authentication (ユーザー認証)] を選択します。
[Signal Sciences built-in authentication (Signal Sciencesのビルトイン認証)] の右側にある [Switch to built-in auth (ビルトイン認証に切り替え)] をクリックします。
Password フィールドに新しいパスワードを入力します。シングルサインオンを無効にする前に、ユーザーの新しいパスワードを設定する必要があります。そうしないと、Next-Gen WAF コンソールからロックアウトされる可能性があります。
Continue をクリックします。
シングルサインオンを無効にすると、組織 (アカウント) 内の他のすべてのユーザーのアクティブなセッションが期限切れになります。SSO が無効になったことを知らせるメールが届き、新しいパスワードを設定するためのリンクが含まれています。すべてのユーザーは、Next-Gen WAF コンソールに再ログインするために新しいパスワードを設定する必要があります。
選択したユーザーのシングルサインオンの回避
企業 (アカウント) でシングルサインオンが有効化されている場合、オーナーユーザーは、特定のユーザーが Signal Sciences アカウントで SSO をバイパスできるように設定できます。これにより、ユーザーは SSO プロバイダーを介した認証を必要とせず、ユーザー名とパスワードを使用して Next-Gen WAF コンソールにログインできます。
- Next-Gen WAF コンソールにログインします。
[Corp Manage (企業管理)] メニューから、[Corp Users (企業ユーザー)]を選択します。
SSO を回避するユーザーをクリックします。
[Edit corp user (企業ユーザーの編集)] をクリックします。
[Authentication (認証)] で、[Allow this user to bypass Single Sign-On (SSO) (このユーザーにシングルサインオン (SSO) のバイパスを許可する)] を選択します。
[Update user (ユーザーの更新)] をクリックします。
