すべてのSAML 2.0規格対応IdPで利用可能なシングルサインオンにょり、対応した組織ではシングルクリックでサインオンできます(そして、セキュリティ上の問題を回避できます)。
シングルサインオンにより、ユーザーは、Arculesがユーザーのパスワードを個別に管理するのではなく、所属組織のユーザーデータベースまたはIDプロバイダーを使用してArculesにアクセスできます。
これは、追加のIDプロバイダーとしてSSOを有効にするものであり、標準的なメール/パスワード認証を削除するものではないということにご注意ください。
テスト済みのIDプロバイダー
Google
Okta
Auth0
2要素認証(2FA) はIDプロバイダー上で有効にされている場合にサポートができます。
前提条件
ドメインのDNS管理ツールへのアクセス権
所属組織のArculesアカウントへのITマネージャーレベルのアクセス権
選択したIDプロバイダー(IdP)での設定には、以下の値を関連するSAML 2.0の設定に使用します:
シングルサインオンのURL(受信者/宛先はURLと同じ)
EU
JP/APAC
視聴者制限:
Americas
arcules.com
EU
eu.arcules.com
JP/APAC
jp.arcules.com
注: このフィールドはIDPによって名前が異なる場合があります。例えば AzureAD では、Identifier (Entity ID)と呼ばれています。
Name ID フォーマット: Eメールアドレス
利用可能な属性マッピング:
firstName(名)
lastName(性)
image (画像ファイルへのURL)
所属組織のSAML2.0IdPが有効なIdPメタデータXMLで設定されていることを確認してください。ホストしているIdPメタデータXMLへのURLを使用するか、メタデータファイルをアップロードすることができます。
注: SSO設定用に手動で編集したメタデータxmlファイルを使用している場合、<ds:X509Certificate> フィールドは空白なしの1行でなければなりません。
使用例
<ds:X509Certificate>MIIEHDCCA...CxQp8m</ds:X509Certificate>
ステップ1:ドメインを追加・認証する
あなたがドメインの所有者/管理者であることを証明するために、Arculesはドメインを認証する必要があります。そのためには、Arculesが提供する固有のキーをDNS構成に追加する必要があります。このドメインは、SSOに使用されるメールアドレスのドメインと一致している必要があります。
設定 > ID & アクセス管理に移動します。
ページの上部に「ドメインの検証」セクションが表示されます。
「+ 新しいドメイン」をクリックし、ドメインのメールアドレス(myemail@mycompany.com)を入力します。
「追加」をクリックします。
「検証」をクリックし、次に表示されるTXTキーをコピーします。
DNS管理ツール(例:Google Domains、GoDaddyなど)を開きます。
コピーしたキーをTXTフィールドに貼り付けます。
DNS設定の変更が完了するまで待ちます(注:これには最大72時間かかる場合があります)。
ステップ2:SSOを構成して有効にする
ドメインを認証したので、SSO機能を有効にすることができます。
設定 > ID & アクセス管理に移動します。
「SAMLシングルサインオン」と題されたセクションを探します。
SSOを有効にしたいドメインアドレスを見つけて、それをオンに切り替えます。
設定方法を選択します。IdPメタデータXMLファイルをアップロードするか、公開ホストしているファイルのURLを追加することができます。
「保存」をクリックします。
SSOを無効にするには、ドメインごとにSSOをオフに切り替えるだけです。
所属組織内の追加のドメインのSSOを有効にする場合は、ステップ 1 と 2 を繰り返します。
ユーザーログインページ
SSOでログインするには、SAMLアカウントに関連付けられたメールアドレスを入力し、次へをクリックします。
ADFSで設定する際の注意
SAML 2.0の統合にはAzure ADの使用を強く推奨しており、ADFSによるSAML 2.0の直接実装は積極的に対応していませんのでご注意ください。
ただし、以下の情報により、ADFS内部での設定ができる場合があります。
SAMLエンドポイント - https://manage.arcules.com/federation/login/saml/assert
証明書利用者ID - arcules.com
その他はすべて、デフォルト値を使用してください。
要求発行ポリシーについては、以下の2つのルールが必要になる場合があります。
ルール1 - アクティブディレクトリから、名前IDとしてメールアドレスを渡す
ルール2 - この情報を含むカスタムルール:
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer =c.Issuer, OriginalIssuer =c.OriginalIssuer, Value = c.Value,ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");
モバイル使用時のMicrosoft Azure/Authenticatorに関する注意事項
SSOプロバイダーとしてMicrosoft Azure/Authenticatorを使用している場合、モバイルでArculesにアクセスするには、iOSまたはAndroidデバイスにMicrosoft Authenticatorアプリをインストールする必要があります。