FinワークスペースをIDプロバイダーと統合すると、チームのログインが簡単かつ安全になります。
この記事の手順に従ってIDプロバイダーを設定し、すべてのチームメンバーにSAML SSO(シングルサインオン)を必須にするか、サインインオプションの一つとして提供してください。
IDプロバイダーの設定
SAML SSOを有効にするには、設定 > セキュリティに移動し、「認証方法」の下でSAML SSOをオンにします。
トグルをオンにすると、SAML SSOセクションが表示されます👇
最初に表示されるのは、ワークスペース固有のSAML URLです。
これをIDプロバイダーでSAML SSOを設定する際に含める必要があります。Intercom Okta AppやOneLoginでSAMLを設定する場合は、<SAML URL>だけで十分です。
シングルサインオンURL: <SAML URL>/consume
受信者URL: <SAML URL>/consume
オーディエンス制限/エンティティID: <SAML URL>
NameID: メールアドレス
署名付きアサーション: はい
マッピングされた属性
firstName(ユーザーの名)
lastName(ユーザーの姓)
暗号化: この証明書を使ったAES256_CBC:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
統合するには、IDプロバイダーから以下の情報をFinワークスペースに追加する必要があります。
IDプロバイダーのシングルサインオンURL — ログインプロセスを開始するためのURLです。
公開証明書 — FinワークスペースがIDプロバイダーからのSAMLリクエストを検証するためのものです。X.509証明書でなければなりません。
IDプロバイダーが対応していれば、IDプロバイダーの設定でセッションの有効期間を定義できます。これはチームメンバーのセッションが切れるまでの時間で、設定しない場合はデフォルトで3.5日です。
次に、SAML SSOで認証を許可するドメインを指定します。「Allowed domains」にドメインを入力し、Add domainをクリックします。ドメインを設定する際は、SPログインページのワークスペースの選択地域(例:EUやその他の地域)と一致していることを確認し、認証エラーを防いでください。
SAML SSOで全チームが正常にログインできることを確認するまでは、これらのオプションをオンのままにしてください。
重要: このオプションのチェックを外してSAML SSOを必須のログイン方法にするには、SAML SSOでログインしている必要があります。設定保存後に行えます。
次に、DNS設定にTXTレコードを追加してドメインの所有権を確認します。以下の値を使用してください。
DNSプロバイダーにアクセスできない場合は、チームの誰かに助けを求める必要があります。
DNS設定にTXTレコードを追加したら、「Verify DNS record」をクリックします。
注意: DNSレコードを作成したばかりの場合、まだ伝播中の可能性があります。その場合、次の警告メッセージが表示されます:「DNSレコードを確認できません。後でもう一度お試しください。」
DNSレコードが確認されると、成功メッセージが表示され、ドメインがここに表示されます。
複数のドメインを追加する場合は、この手順を繰り返してください。👌
SAML SSOでサインイン
SAML SSOが有効になると、チームメンバーはそれを使ってログインできます。
SAMLアカウントに登録されていないメールアドレス
SAMLログインページに入力されたメールが、SAML SSOが有効なワークスペースのチームメンバーと一致しない場合、エラーメッセージが表示されます。
1つの SAMLアカウントに登録されたメールアドレス
メールがSAML SSO対応のワークスペースと一致すると、ユーザーは直接使用しているIDプロバイダーにリダイレクトされ、ログインを求められます。
複数の SAMLアカウントに登録されたメールアドレス
メールが複数のSAML SSO対応ワークスペースと一致する場合、ログインしたいワークスペースを選択できるワークスペースセレクターが表示されます。
チームメンバーが各ワークスペースで使用するIDプロバイダーに応じて、適切なIDプロバイダーのログイン画面にリダイレクトされます。ログイン後、ユーザーは正しいワークスペースに戻され、ログイン完了となります。
アカウント切り替え時のSAMLサポート
ワークスペース間の切り替え時にSAML SSOがサポートされます。
チームメイトがログイン済みのワークスペースに切り替えたい場合、スムーズに切り替わります。そうでない場合は、workspace selectorにリダイレクトされ、一度ログインを求められます。
シナリオ:
チームメイトが類似のSAML SSOプロバイダーを使って2つのワークスペースにログインしている場合、ワークスペース間の切り替えに再認証は不要です。
チームメイトがパスワード認証方式の3つ目のワークスペースにアクセス権を持ち、まだログインしていない場合は、一度パスワードでログインするためにworkspace switcherにリダイレクトされます。
Google Workspace SSOトラブルシューティング
Google WorkspaceをSSOプロバイダーとして使用していて、アクセス権がないというエラーメッセージ(下の画像のような)が表示された場合、エラーの原因を詳しく理解するために修復メッセージをオンにすることができます。
有効にすると、エラーメッセージでより詳細な情報が表示されるようになります。
例えば、次のエラーは使用中のデバイスがGoogle endpoint managementによって管理されていないことを示している可能性があります:
Workspace招待
SAML SSOはworkspace招待にも対応しています。招待メールがIDプロバイダーから返されるメールと一致しない場合、招待の利用は失敗します。それ以外の場合は招待を利用できます。
Just-in-Time(JIT)プロビジョニングを有効にすることを選択
Just-in-Timeプロビジョニングは、チームメイトがFinアカウントを持っていない場合、初めてSAML SSOでサインインした際に自動的にFin workspaceに追加します。
これを有効にするには、設定 > セキュリティに移動し、SAML SSOがオンになっていることを確認してから、プロビジョニングをクリックします。
次に、Just-in-Timeプロビジョニングを有効にします。
JITプロビジョニングで追加された新しいチームメイトやSCIMベースのロールプロビジョニングが無効の場合の権限も設定できます。デフォルトのチームメイト権限を設定するには、編集をクリックしてください。
最後に、設定を保存し、IDプロバイダーで認証して設定をテストしてください。
ワークスペースで任意のプロバイダーのSAML SSOが有効になると、チームメイトはアカウントセキュリティページから自分のメールアドレスを編集できなくなります。メール欄は読み取り専用になります。
OneLoginでのSAML設定
OneLoginでSAML SSOを設定するのは簡単です。OneLoginストアのIntercomアプリを使うだけです。
管理者ページの「Applications」に移動し、「Add App」をクリックします:
次に、「Intercom SAML 2.0」アプリを検索して追加します:
Intercomアプリを追加した後、Configurationタブを開き、ワークスペースのSAML名を入力します:
SSOタブで「SAML 2.0 Endpoint」URLをコピーし、ワークスペースのSAML設定に貼り付けます:
最後に、証明書の「View Details」をクリックし、これをFin workspaceにもコピーします:
これでOneLoginで認証し、Fin workspaceで設定を保存すれば準備完了です。👌
注意:ワークスペースがEUまたはAUにホストされている場合は、統合がサポートされているかOneLoginチームにお問い合わせください。
OktaでのSAML SSO設定
OktaアプリストアのIntercomアプリで簡単にSAML SSOを設定できます。
管理者ページの「Add Application」に移動し、Intercomを検索して「Add」をクリックします:
ステップ2に進み、セットアップ手順を確認します:
これらの手順はあなたのOktaアカウントに合わせて調整されており、以下を含みます:
Identity provider issuer URL。
公開証明書。
これらの値をワークスペースのSAML設定にコピー&ペーストする必要があります。
URLと証明書を追加した後、Oktaに戻り、「Advanced sign-on settings」でワークスペースのSAML名を入力します:
次に、Oktaから提供されたEncryption Certificateをintercom.pemとして保存し、ここにアップロードしてください:
これでOktaの設定を保存し、Finワークスペースで認証を確認すれば完了です。👌