シングル サインオン認証の設定 フォローする
シングル サインオン(SSO)認証は、セキュリティを強化してログイン プロセスを簡略化し、ユーザーの認証情報の管理を容易にします。 Reviztoプロジェクトを含むすべての企業リソースでSSO認証を使用することを推奨します。 SSOの設定を行うには、IDプロバイダーから適切なURLを取得し、その後、Revizto Workspaceで認証方法を追加します。
必須の権限
SSO認証を設定するには、既存のIDプロバイダー(Microsoft Entra ID Azure、Okta、JumpCloudなど)への管理者アクセス権と、Reviztoのライセンス管理者のアクセス権が必要です。
Revizto Workspaceのツール内にある「ライセンス情報」ページで、ライセンスの役割を確認できます。 詳細は、「ライセンスにおける役割」を参照してください。
SSOプロバイダーにインテグレーションを追加するための手順と要件については、「<ご利用のIDプロバイダー名>のSSOに新しいSAMLアプリを追加する」のような文字列でWebを検索してください。
認証方法へのアクセス
Reviztoでは、デフォルトでReviztoアカウント認証サービスが使用されますが、SSO認証方法はRevizto Workspaceから設定できます。 既存の認証の設定を編集するには、「認証方法の編集」を参照してください。
認証方法にアクセスするには、以下の手順に従ってください。
-
ws.revizto.comにサインインします。
- ライセンスが複数ある場合は、正しいライセンスが選ばれていることを確かめます。
- [ツール]に移動し、[ライセンス管理ツール]の下にある[ユーザー管理]を選択します。 [ライセンス管理ツール]が表示されない場合は、「必須の権限」を参照してください。
- ツールバーの[認証方法]をクリックすると、設定済みのすべての認証方法が表示されます。
- 新しい認証方法を作成するには、[認証方法を追加]をクリックします。
認証方法の設定
「認証方法へのアクセス」の手順の後、Reviztoアカウント サービス、Google Workspace、またはSAML認証サービス(Azure、Okta、JumpCloudなど)のいずれかを設定できます。 Google認証とSAML認証はいずれもSSOのオプションであり、異なるユーザー グループに複数の認証方法を設定できます。 Reviztoではセッションのタイムアウト時間についてIDプロバイダーの設定が使用されるため、すべてのツールでログイン基準を統一できます。
Google Workspace認証:
- 認証方法の作成ページで、認証方法に名前を付けます。 複数の認証方法を使用する場合は、内容を識別しやすい名前を使うことをお勧めします。
- [認証サービス]ドロップダウンで、Googleを選択します。 これを選択するには、ユーザーのビジネス用メールアドレスがGoogle Workspaceに登録されている必要があります。
- 必要に応じて、[その他の設定]で各種設定を行います。 詳細については、「認証方法の自動割り当て」を参照してください。
- [保存]をクリックします。
標準のSAML認証:
SAML認証では、SSOプロバイダー向けのReviztoインテグレーションを作成して、そのインテグレーションをReviztoに接続する必要があります。 Reviztoでは、お客様のIDプロバイダーを使ってログイン認証を行うために、サービス プロバイダー エンティティIDとフェデレーション メタデータのURLを使用します。
- SSO IDプロバイダーにログインし、Reviztoを新しいアプリまたはインテグレーションとして追加します。
SSOのIDプロバイダーは多数存在するため、アプリやインテグレーションの追加方法についてはご利用のIDプロバイダーのドキュメントを参照してください。 -
サービス プロバイダー エンティティID(アプリケーションIDとも呼ばれます)とフェデレーション メタデータのURLは、ご利用のIDプロバイダーで確認してください。
サービス プロバイダー エンティティIDがご利用のIDプロバイダーで生成されない場合は、「Reviztoサービス プロバイダー エンティティIDの作成」を参照してください。 - 「認証方法へのアクセス」に従って、新しいタブまたはブラウザー ウィンドウでRevizto Workspaceの「認証方法の作成ページ」に移動します。
- 認証方法に名前を付けます。 複数の認証方法を使用する場合は、内容を識別しやすい名前を使うことをお勧めします。
- [認証サービス]ドロップダウンで、[SAML]を選択します。 次に[標準]を選択します。
- 手順2で取得した情報を、サービス プロバイダー エンティティIDとフェデレーション メタデータのURLのテキストボックスに入力します。
- 必要に応じて、[その他の設定]で各種設定を行います。 詳細については、「認証方法の自動割り当て」を参照してください。
- [保存]をクリックします。
カスタムSAML認証:
カスタムSAMLワークフローは、フェデレーション メタデータのURLを公開していないSSOサービス、またはログインとログアウトの応答URLを自動で共有しないSSOサービスで使用するためのものです。 ほとんどのSSO IDプロバイダーでは、標準のSAML設定を使用する必要があります。
- SSO IDプロバイダーにログインし、Reviztoを新しいアプリまたはインテグレーションとして追加します。
SSOのIDプロバイダーは多数あるため、SSOにインテグレーションを追加する正確な手順については、オンラインで「<ご利用のIDプロバイダー名>のSSOに新しいSAMLアプリを追加する」というように検索してください。 - IDプロバイダーから次の情報を見つけます。
- サービス プロバイダー エンティティID(アプリケーションIDとも呼ばれます)。 サービス プロバイダー エンティティIDがご利用のIDプロバイダーで生成されない場合は、「Reviztoサービス プロバイダー エンティティIDの作成」を参照してください。
- IDプロバイダー エンティティID
- ログイン URL
- ログアウト応答 URL
- フェデレーション メタデータのURL(他のフィールドが入力されている場合は任意)
- 公開x.509証明書。これは、IDプロバイダーのリクエストと応答を検証するための公開キーで、XMLファイルとして保存されます。 x.509証明書は、ノード「EntityDescriptor / Signature / KeyInfo / X509Data / X509Certificate」からコピーして貼り付けてください。
- Revizto Workspaceの「認証方法の作成」ページで、認証方法に名前を付けます。 複数の認証方法を使用する場合は、内容を識別しやすい名前を使うことをお勧めします。
- [認証サービス]ドロップダウンで、[SAML]を選択します。
- [サーバー設定]の下にある[カスタム]をクリックします。
- 手順2で取得した情報を、該当するフィールドに入力します。
- 必要に応じて、[その他の設定]で各種設定を行います。 詳細については、「認証方法の自動割り当て」を参照してください。
- [保存]をクリックします。
IDプロバイダーで認証にReviztoのURLを求められる場合は、認証方法の横にある[情報]をクリックしてください。 これにより、複数のURLを含むウィンドウが開きます。
- ログイン応答 URL、メタデータ URL、ログアウト応答 URL。 IDプロバイダーからこれらのパラメーターを求められることがあります。
- サービス プロバイダー エンティティID。 Reviztoのパスワードを入力せずにサインインするユーザーは、サインインの際にこのエンティティIDが必要です。 詳細については、「シングル サインオン認証を使用したサインイン」を参照してください。
認証方法の自動割り当て
認証方法の作成時または編集時に、認証方法の自動割り当てを設定できます。 自動割り当ての利点は、ライセンスにメンバーを追加するユーザーが誰であっても、各ライセンス メンバーに正しい認証方法が割り当てられることです。 これにより、ライセンス メンバーの登録にかかる時間も短縮されます。
- 関連ドメイン
リストにあるメール ドメインに属するユーザーがライセンスに追加されると、そのユーザーにはこの認証方法が割り当てられます。 - デフォルトの方法
認証方法が自動的に割り当てられなかったユーザーには、この方法が割り当てられます。
認証方法の自動割り当てについて、次のルールを設定することを推奨します。
- 任意のシングル サインオン認証方法の関連ドメインのリストに、自社のメール ドメインを追加します。 自社ドメインのすべての新しいライセンス メンバーに、この認証方法が割り当てられます。
- 「Reviztoアカウント」をデフォルトの認証方法に設定します。 自社ドメインに属さないすべての新しいライセンス メンバーに、この認証方法が割り当てられます。
新しい認証方法をReviztoユーザーに手動で割り当てる方法については、以下の記事を参照してください。
Reviztoサービス プロバイダー エンティティIDの作成
一意のサービス プロバイダー エンティティIDを生成するには、次のパターンを使用できます。
https://api.<region>.revizto.com/entity/<license id>。
ライセンスのリージョンは次のとおりです。
- オーストラリア(ANZ):https://api.sydney.revizto.com
- カナダ:https://api.canada.revizto.com
- 中国:https://api.shanghai.revizto.com
- ヨーロッパ(アイルランド):https://api.ireland.revizto.com
- 日本:https://api.tokyo.revizto.com
- サウジアラビア王国(KSA):https://api.ksa.revizto.com
- 北米(米国):https://api.virginia.revizto.com
- 南米(ブラジル):https://api.saopaulo.revizto.com
- 東南アジア(シンガポール):https://api.singapore.revizto.com
- スイス:https://api.zurich.revizto.com
- アラブ首長国連邦(UAE):https://api.dubai.revizto.com
- 英国:https://api.london.revizto.com
ライセンスIDは、ライセンスにログインしているときのURLに含まれる一意の5桁の番号です。 この番号をコピーするときは、正しいライセンスにログインしていることを確認してください。
トラブルシューティング
Q:Revizto Workspaceにサインインしようとすると、次のエラー メッセージが表示されます。「認証エラー。 テクニカルサポートに連絡してください。」
A:標準のSAML認証の場合:
- フェデレーション メタデータのURLが正しくありません。
カスタムSAML認証の場合:
- 認証方法の設定で指定したx.509証明書が正しくありません。 認証方法を設定する際は、必ずノード「EntityDescriptor / Signature / KeyInfo / X509Data / X509Certificate」からx.509証明書をコピーしてください。
- 認証方法の設定で指定したx.509証明書の有効期限が切れています。 新しい証明書を取得して認証方法の設定に追加してください。