シングルサインオン

はじめに

シングルサインオン (SSO) は、1つのログイン認証情報 (ユーザー名とパスワード) だけを使用して、複数の独立したソフトウェアシステムにアクセスすることができるユーザー認証方法です。

Viedocで組織のシングルサインオンを設定して有効にすると、同じ電子メールドメインを持つすべてのユーザーは、指定した外部のIDプロバイダー（IDP）を介して認証されます。

Viedoc シングルサインオン・ソリューションは、Security Assertion Markup Language (SAML) 2.0 を使用しています。これは、セキュリティドメイン間で認証と認可のアイデンティティを交換するためのExtensible Markup Language（XML）ベースのオープン標準規格です。

注意! ご利用になりたいユーザーアカウントがSSO用に設定されている場合、ViedocへのApplication Programming Interface (API) アクセスは許可されません。

SSOを有効化する前に

シングルサインオン（SSO）を有効化する前に、以下のチェックリストを完了し、環境および組織の準備が整っていることを確認してください：

ホストマスター向けSSO準備チェックリスト

ユーザーのメールアドレス整合性の確認
Viedocアカウントで使用されているメールアドレスが、外部IdP（例：Google WorkspaceやAzure Active Directory）に登録されているものと一致していることを確認してください。メールアドレスが一致しない場合、該当ユーザーはログインできません。
自社内でのドメイン所有状況の確認
この特定のメールドメインをViedocで使用している組織が自社のみかどうかを確認してください。社内の他のグループが同じメールドメインでViedocを使用している可能性があります。その場合、それらのグループにもSSOが適用されますので、それらのグループも準備が整っていることを合わせて確認してください（上記項目1を参照）。
有効化日および新しいログインURLの周知
SSO有効化日時を全ユーザーに通知し、新しいSSOログインURLを共有してください。旧URLを使用しても新URLへリダイレクトされますが、事前に周知することで混乱を防ぐことができます。
証明書更新の計画
SSO証明書は1年で有効期限が切れます。証明書を手動で追加している場合は、有効期限前に更新できるよう外部でリマインダーを設定してください。SSO証明書の有効期限が切れると、ユーザーはログインできなくなります。または、SSO 設定で自動更新オプションを有効にすることも可能です（詳細は「自動証明書更新」を参照）。

組織用にシングルサインオンを設定する

Viedocでシングルサインオンを設定するには、4つのステップがあります。次のセクションで、サンプルドメインを使用して各手順を詳しく説明します。

ドメインを追加する
ドメインの確認
設定の検証
SSOを有効にする

注意！Google Workspace や Microsoft Azure AD を IdP（アイデンティティプロバイダー）として使用するケースについては、シングルサインオン（SSO）を起動するをご参照ください。

ドメインを追加する

ドメインを追加する方法：

1	Viedoc Adminに移動し、組織設定をクリックします。
2	シングルサインオンのタブを選択し、シングルサインオン設定を追加する設定を選択します。
3	シングルサインオン設定に使用するドメイン名を入力します。
4	続けるを選択します。ドメインのホストマスターにメールが送信されます。メールには、次のステップで必要となる検証キーが含まれています。

ドメインの確認

特定のドメインのシングルサインオン（SSO）を設定する権限があることを確認するには、ドメインの所有権を確認する必要があります。そのためには、以下の手順に従ってください。

Viedoc Adminの組織設定を選択し、シングルサインオンのタブをクリックします。

ドメインの確認ステップに自動的に誘導されない場合は、ドメインの確認リンクをクリックします。

ドメインのホストマスターに送信されたメールから検証キーをコピー＆ペーストし、確認をクリックします。

検証が正常に実行されると、Viedocは自動的に設定の検証ステップにリダイレクトします。

設定の検証

このステップでは、SAMLセットアップに必要な情報を指定します。

設定の検証には以下の2つのオプションがあります：

手動での検証：
Endpoint URLとSSO Certificateを入力します。SSO証明書の有効期限が切れた場合や変更された場合は、将来的にこれらの値を手動で更新する必要があります。
自動証明書更新：
Federation Metadata URL を入力すると、Endpoint URL および SSO Certificate は、SSO 証明書の有効期限が切れた場合や変更された際に自動的に更新されます。

ヒント！Google WorkspaceまたはMicrosoft Azure ADをIdPとして設定するユースケース例は、シングルサインオン（SSO）を起動するで確認できます。

手動での検証

設定の検証を手動で行う方法：

1	Viedoc Adminの組織設定を選択し、シングルサインオンのタブをクリックします。
2	設定の認証ステップに自動的に誘導されない場合は、設定の認証リンクをクリックします。 URLリダイレクトとエンティティIDのフィールドには、前のステップで取得した情報が自動的に入力されます。このステップでは編集できません。この情報を編集する必要がある場合は、ドメインを確認をクリックして1つの前のステップに戻ります。注意! リダイレクトURL フィールドにはピリオド (.) の代わりにハイフン (-) が表示されます。これはユーザーがリダイレクトされる実際のURLには影響しません。
3	IdPの設定から次の情報を入力します：エンドポイントURL: IdPのSAMLサインインURL。これは、ユーザー認証のためにViedocがユーザーをリダイレクトするURLです。証明: IdPから提供される公開署名証明書（Base64 形式）。この証明書は、認証レスポンスを検証するために使用されます。重要！証明書には有効期限があります。ログイン障害を防ぐために、組織内で有効期限を管理する手順を確立しておくことをお勧めします。証明書の有効期限が近づいている場合は、必ず更新し、Viedoc AdminでSSO設定を更新してください。
4	検証をクリックしてtrial login sequenceを開始します。これにより、新しいブラウザタブが開き、エンドポイント URL で指定したIdPにログインするよう求められます。
5	IdPにログイン後、Viedocのタブに戻り、続けるをクリックします。検証が成功しなかった場合は、設定を確認してもう一度試してみてください。検証が成功した場合は、これでシングルサインオンを有効にするステップに続行する準備が整いました。

IdPがFederation Metadata URLを提供している場合は、自動証明書更新を使用することを推奨します。

自動証明書更新

自動証明書更新を有効にすると、Viedoc はFederation Metadata URLを介してID証明書を取得できるようになります。Identity Provider（IdP）で証明書が更新または変更された場合、ViedocはSSO設定内の証明書を自動的に更新します。これにより、証明書の有効期限切れによるログイン障害を防ぐことができます。

自動証明書更新を有効化し、設定を検証する方法：

1	Viedoc Adminの組織設定を選択し、シングルサインオンのタブをクリックします。
2	設定の認証ステップに自動的に誘導されない場合は、設定の認証リンクをクリックします。自動証明書更新を有効にするスイッチを選択します。新しくFederation Metadata URL フィールドが表示されます。
3	IdPの設定から、以下の情報を入力します。・Federation Metadata URL：IdPから提供されるSAMLメタデータURL。このURLにより、Viedocは署名証明書を自動的に取得および更新できます。
4	保存を選択します。 ViedocはメタデータURLからSAML設定を取得し、エンドポイントURLおよび証明フィールドを更新します。自動証明書更新が有効になっている場合、これらのフィールドは編集できません。
5	検証をクリックしてtrial login sequenceを開始します。これにより、新しいブラウザタブが開き、エンドポイント URLで指定したIdPにログインするよう求められます。
6	IdPにログイン後、Viedocのタブに戻り、続けるをクリックします。検証が成功しなかった場合は、設定を確認してもう一度試してみてください。検証が成功した場合は、これでシングルサインオンを有効化するステップに続行する準備が整いました。