メインコンテンツまでスキップ
waffle.svg
Domo Knowledge Base - 日本人

Domo のシングルサインオンと設定について

Version 4

はじめに

ユーザーが Domo にサインインするには、ビルトインの Domo 認証システムを使うことも、または Security Assertion Markup Language (SAML) 認証を通し、サポートされたプロバイダーのシングルサインオン(SSO)ソリューションを使ってサインインすることもできます。 (これらのシステムを組合わせることはできません。)

管理者は SAML を使って Domo でシングルサインオン(SSO)を有効にすることができます。 シングルサインオンが一度有効化されると、新しいユーザーは LDAP から自動的にプロビジョニングされ、また LDAP グループは既存のアイデンティティープロバイダーからインポートすることができるようになります。

SAML を使用するには、SAML2.0 対応の認証をサポートするクラウド・アイデンティティープロバイダー(IdP)、またはフェデレーションサービスが必要です。 SAML 2.0 についての詳細は、以下を参照してください: http://en.m.wikipedia.org/wiki/SAML_2.0

このトピックではまず、Domo におけるシングルサインオンタブのユーザーインターフェースの各コンポーネントについて説明します。 その後で、Domo と IdP に SSO を設定する方法をステップごとに説明します。

注記:

  • SSO を有効にすると、従来の Domo ログインはオフになります。 一般的には、中断を回避するため SSO を有効化する前に IDP 内でそのアプリケーションにユーザーを割り当てておきます。

  • SSO が一度有効化されると、招待されたユーザーはアイデンティティープロバイダー内で Domo にアサインされていないとサインインできない場合があります(社内の IDP ポリシーにより異なります)。

  • SSOが有効化されているのにログインできない場合は、以前の Domo 認証を使って https://<subdomain>.domo.com/auth/index?domoManualLogin=trueでログインすることができます。 この手動ログインを使うには、「管理者」セキュリティ権限が必要です。 セキュリティ権限に関する詳細は、セキュリティ権限リファレンスを参照してください。

  • SSO はいつでも無効にすることができます。 それをすると、メールアドレスとパスワードを使用した従来のログインがオンになります。 既にログイン情報を所持しているユーザーは、従来のパスワードを使用することも、またはログインページからパスワードをリセットすることもできます。 「管理者」セキュリティ権限のあるユーザーは、手動でユーザーパスワードをリセットすることもできます。管理者設定で特定のユーザーのユーザータブへ進み、パスワードをリセットをクリックします。

  • Domo モバイルアプリケーションのユーザーは、会社のサブドメインを入力し、ウェブビューで IdP ユーザーネームとパスワードを入力することで Domo にログインできます。 モバイル App で SSO を使用するには、SP-initiated の認証が必要です。

シングルサインオンタブの各部分

以下の表は、Domo の管理者設定 > セキュリティ > シングルサインオンタブの様々なコンポーネントをリスト化し、説明しています。

コンポーネント

説明

アイデンティティープロバイダーのエンドポイントURL

自分の SAMLRequest が送信される URL この URL は、自分の IdP またはフェデレーションサービスによって提供されます。

エンティティ ID

SAMLRequest を作成する Domo インスタンスの固有の識別子です。 これは「Issuer ID」または「Identity ID」として IdP により提供されることがあり、通常 URL のフォーマットになっています。 この値は「SP エンティティー ID」とも呼ばれます。このフィールドは全ての設定で必要なわけではありません。その場合は、空のままにすることができます。

SAML アサーションエンドポイント URL

IdP が SAML 要求を送信するエンドポイントです。 設定を完了させるには、この URL をアイデンティティープロバイダーにコピーペーストする必要があります。 場合によっては、IdP でサブドメイン(「acmecorp」など)の入力のみで済む場合があります。

X.509 証明書

アイデンティティープロバイダーによって署名された証明書で、Domo と IdP 間の信用を証明するものです。 この証明書は常に IdP によって発行され、Domo にアップロードされます。

注記:Google Chrome の場合、証明書は.pemの書式である必要があります。 .cert書式の証明書がある場合は、.pemの拡張子を含むようにファイル名を変更してからアップロードします。  

アイデンティティープロバイダーからグループをインポート

Domo が、グループメンバーシップのデータを SAML アサーションから Domo にインポートできるようにします。

このインポートされたグループは、「グループ」ページ内で「ディレクトリグループ」として表示され、Domo で作成されたグループと同様に使用することができます。 このグループはIdP からのものであるため、Domo で編集することはできません。 この機能を使用するには、「グループ」が IdP から属性として渡される必要があります。

招待のみ Domo にアクセス可

Domo へのアクセスを、Domo に招待されたユーザーのみに制限します。

シングルサインオンを設定する

SAML を使用したシングルサインオンを Domo で正しく実装するには、アイデンティティープロバイダーと Domo の管理者設定 > セキュリティ > シングルサインオンタブの両方で SSO を設定する必要があります。

シングルサインオンを設定するには、

  1. 自分の IdP で Domo のシングルサインオンを設定します。
    IdP によりアプリケーションの設定方法が異なるため、具体的な設定方法はご自分の IdP の資料を参考にしてください。 以下に、ほとんどの IdP で共通する一般的な SSO コンポーネントの設定方法を説明します。

    コンポーネント

    説明

    統合のタイプ

    統合タイプとして SAML 2.0 を選択します。

    アプリケーションロゴ

    アプリケーションロゴの提供を求められた場合、以下の方法を用いることができます:

    アイデンティティプロバイダの SSO URL

    Domo が SAMLRequest を送信する URL です。 Domo の管理者設定 > セキュリティ > シングルサインオンSAML アサーションエンドポイント URL フィールドからこの URL をコピーペーストします。

    オーディエンス URI (SPエンティティID)

    対象となるオーディエンスの URL を入力します。

    デフォルトの Relay State

    Domo は App の設定ではこれを使用しないため、このフィールドは空白のままにします。

    アプリケーションのユーザー名

    ユーザーのメールアドレスをユーザー名として入力します。

    SAML 属性

    どの属性を Domo に渡すか定義する際、以下の名前を各属性に使用します。 (SAML_SUBJECT を除き、属性の名前は全て小文字である必要があります。 「email」 属性は必須です。その他は全てオプションです。)

    属性名

    説明

    フォーマット

    SAML_SUBJECT

    メール

    someone@acme.com

    メール

    メール

    someone@acme.com

    グループ

    ディレクトリグループ

    CN = 何かのグループ、OU = 何かの団体、DC = Acme

    タイトル

    役職名

    プロダクトマネージャー

    電話

    電話番号

    あらゆるフォーマット

    名前

    フルネーム

    Jon Smith

     

    証明書

    IdP が提供する証明書をダウンロードします。 この証明書は、Domo で SSO を設定する際、Domo にアップロードします。

     

  2. IdP 内で、しかるべきユーザーが Domo にアクセスできるようになっていることを確認します。

  3. Domo で new_app_icon.png > 管理者設定を選択します。
    管理者設定が開きます。

  4. セキュリティを展開し、シングルサインオンを選択します。

  5. SSO を有効にするをクリックします。

  6. アイデンティティープロバイダーエンドポイント URLフィールドに、SAML 要求を送信する URL を入力します。

  7. エンティティ IDフィールドに、SAML 要求をしている Domo インスタンスの識別子を入力します。 これは、IdP で入力した 「オーディエンス URI」 と一致している必要があります。

  8. をクリックし、自分のドライブにある証明書を参照し、開くをクリックして X.509 証明書をアップロードします。

  9. (オプション)自分の IDP からグループを自動的にインポートしたい場合は、アイデンティティープロバイダーからグループをインポートのボックスをチェックします。

  10. まだ行っていない場合は、SAML アサーションエンドポイント URL フィールドの URL をコピーし、自分の IdP のアイデンティティープロバイダー SSO URL にペーストします。

  11. 接続をテストをクリックして全てが適切に設定されていることを確認します。

  12. 接続をテストをクリックすると、自分の認証情報で実際にログインできるかシミュレーションを行い、SAML アサーションが想定したとおりに返されるかどうか検証されます。

    注記:この接続テストは、IDP で Domo へのアクセス権を自分に与えていないと実行されません。

  13. (オプション)返された属性を確認したい場合は、詳細を表示をクリックします。

  14. 変更を保存をクリックすると SSO が有効になります。
    これでテスト接続が成功したことが確認され、そしてその環境で SSO がオンになります。

  15. Domo からログアウトし、ブラウザを閉じて、ブラウザのクッキーを削除します(もしくは他のブラウザを開きます)。
    サインアウトして、クッキーを削除せずに再度サインインすると、セッショントークンの問題が発生し、エラーになります。

シングルサインオンに移行する

Domo のビルトイン認証システムからシングルサインオンへ移行する場合は、以下に注意してください:

  • シングルサインオンを実装する前に、Domo アカウントのメールアドレスがシステムのメールアドレスと一致しているかを確認します。

  • ユーザーがサインインする際、Domo は既存のメールアドレスのみを基にしてユーザーを認識します。

  • ユーザーがシングルサインオンでログインし、そのメールアドレスが既存アカウントのメールアドレスと一致しない場合、Domo は新しいアカウントを作成します。 そのアカウントは、グループメンバーシップとコンテンツへのアクセス権を設定する必要があります。

Domo でシングルサインオンを使用する

Domo でシングルサインオン(SSO)を使用する場合、Domo のビルトイン認証システムを使う場合とはサインインとサインアウトの方法が異なります。

シングルサインオンを使って Domo にログインする

  • システムへのアクセスが認証されたら、ユーザーは既存の認証情報を使って Domo に接続できます。
    ディレクトリやオペレーティングシステム、Web ブラウザのタイプによっては、ユーザーが認証情報を入力しなくてもシームレスにサインインできる場合もあります。

  • Domo に接続する際、自分のシステムで既に認証をしていない場合は、Domo に接続する前にシステムへの簡単ななログイン画面が表示されます。

シングルサインオンを使って Workbench から Domo にサインインする

Workbench は、認証にアクセストークンを使用するようになりました。 シングルサインオンでは、Workbench のインスタンスを認証できなくなりました。 

シングルサインオン時に Domo からサインアウトする

完全にサインアウトするには、Domo からサインアウトしてWebブラウザを閉じる必要があります。

シングルサインオン使用時に Domo からサインアウトするには、

  1. ユーザーメニューにマウスポインタを合わせ、サインアウトをクリックします。
    サインアウト後、サインインページが表示されます。

  2. ウェブブラウザを閉じます。
    サインアウトプロセスを完了するには、ウェブブラウザを閉じます。

シングルサインオンで Domo を使う

シングルサインオンで Domo を使用する場合、以下は行うことができません:

  • 忘れたパスワードをメールで受け取る

  • プロフィール内でパスワードを変更する

  • セキュリティタブでパスワードの要件を見る

  • Domo にサインインする前の状態のユーザーを見る