Address Manager は、SAML 2.0 に準拠したシングル サインオン(SSO) をサポートし、SSO 用サービス プロバイダ (SP) として機能します。SSO 統合では、ユーザは Address Manager で以下のログイン オプションを利用できます。
- Address Manager に直接ログイン(SP によって開始される SSO)
- IdP を介してログイン(IdP によって開始される SSO)
- ADFS (Active Directory フェデレーション サービス)
- OneLogin
お客様の組織で Address Manager によってサポートされる IdP とは異なる IdP を使用している場合、SAML 2.0 仕様に準拠している限り、その IdP を引き続き使用できます。詳細は、サービス プロバイダの構成方法に関する IdP のマニュアルを参照してください。
Okta ID プロバイダの SSO は、SAML 2.0 でしかサポートされません。Okta OAuth 2.0 (OpenID Connect 対応) はこの時点でサポートされません。
SP によって開始される SSO
SP によって開始される SSO では、所属する会社の SSO 資格情報を使用して Address Manager に直接ログインします。Address Manager を介してログインすると、Address Manager が IdP へ承認要求を送信します。IdP はユーザの資格情報を検証し、検証が合格なら IdP が SAML トークンを生成します。IdP は、SAML トークンを Address Manager にリダイレクトし、アクセスを許可します。
下の図は、SP によって開始される SSO 承認プロセスを示しています。
IdP によって開始される SSO
IdP によって開始される SSO では、所属する会社の SSO 資格情報を使用して IdP ログイン ページを介してログインします。IdP ログイン ページからログインすると、IdP はユーザの資格情報を検証し、検証が合格なら IdP が SAML トークンを生成します。IdP がユーザを Address Manager に罹災レクとします。
下の図は、IdP によって開始される SSO 承認プロセスを示しています。
SSO モード
SSO 有効 | SSO 強制 |
---|---|
|
|
SSO 認証中、IdP はアクセス トークンを生成します。Address Manager と IdP との間でクロックの時間差がある場合、トークンの有効期限が一致しないことがあり、認証エラーが発生します。NTP を使用して Address Manager と IdP を同期することを推奨します。