inSyncのシングルサインオン設定
概要
SSOを有効にすることで、ユーザーおよび管理者はinSyncのすべてのリソースに他のログインを必要とせずにアクセスすることができます。以下の背景によりinSyncの設定でSSOを実装する必要があります。
- ヒューマンエラーの削減: SSOにより複数のパスワードを覚える必要がなくなるため、inSyncリソースにアクセスしている間はヒューマンエラーの可能性を大幅に削減できます。
- 管理労力の削減: シングルサインオンを使用すると、inSyncユーザーや管理者が企業ネットワークからログインするとき、ユーザー名やパスワードの入力を要求されることはほとんどありません。管理するパスワードが少なくなることで、inSync管理者はパスワードを忘れたことによるリセット要求を受けることが削減されます。
- ユーザーデータベースの集中管理: 多くの組織ではユーザーのデータベースを管理しています。inSyncでシングルサインオンを有効にすると、このデータベースへの変更が直接inSyncの設定に反映されるようになります。これはデータベースから認証情報を削除した場合、削除された認証情報を持つユーザーは以前と同じ認証情報を使用してinSyncにログインすることができなくなることを意味します。
- ログイン時間の削減: 通常、オンラインアプリケーションにユーザーがログインするのに5~20秒かかります。SSOは手動ログインに必要な労力を排除し、生産性を向上します。
- セキュリティ強化: inSyncでSSOを使用した場合、組織全体に施行されたパスワードポリシーが適用されます。SSO試行の検証にワンタイム認証トークンが使用されれば、機密データへのアクセスを持つユーザーに対してセキュリティ強化につながります。
inSyncのSSOを設定および管理するには、inSyncのシングルサインオンの設定を参照してください。
SSOの動作概要
inSyncはSAML (Security Assertion Markup Language) バージョン2.0を使用した認証連携 (フェデレーション) を実装することでシングルサインオンをサポートしています。認証連携によりinSyncはパスワード検証を省略することができます。SSOを有効にするには、管理者および追加管理者はまずinSyncのすべてのユーザーおよび管理者を含む企業データベースを作成してIdP (Identity Provider) と連携させる必要があります。IdPがすでに存在する場合、そのIdPと連携するようにinSyncを設定することができます。IdPはすべてのユーザー名とその暗号化されたパスワードのレコードを保持します。
IdPと企業データベースを作成すると、初めてログオンするユーザーまたは管理者はIdPのログイン詳細ページにリダイレクトされ、一度だけパスワードを入力するよう求められます。IdPは過去に保存したユーザー名と暗号化されたユーザーパスワードのレコードを保持します。IdPはinSyncのログインページにリダイレクトを行い、ユーザーや管理者はパスワードを入力せずにアクセスできるようになります。
しかし、以前設定したIdPを使用する場合、または引き続き起こるログインである場合、inSyncはIdPと通信するためにHTTP POSTプロファイルにSAMLアサーションを使用します。すべてのログイン試行において、inSyncは > Settings > Single Sign-Onで指定されたIdPログインURLにSAMLリクエストを送信します。IdPはSAMLクエリを検証し、HTTP POSTにアサーションをTrueとして設定し、inSyncにこのレスポンスを送信します。inSyncはユーザーが認証されていることを示すアサーションを受信し、inSyncリソースへのアクセスが許可されます。これにより、ログイン種別 (ユーザーまたは管理者) に応じてinSyncはinSync WebまたはinSyncマスター管理コンソールへのアクセスを許可します。
IdPがデータベース内で一致を検出できなかった場合、HTTP POSTでアサーションがFalseに設定され、ユーザー (または管理者) はinSyncリソースへのアクセスが許可されません。このレスポンスを受信すると、inSyncはログイン種別 (ユーザーまたは管理者) に応じてinSyncはinSync WebまたはinSyncマスター管理コンソールへのアクセスを拒否します。
サポートされるIdPプロバイダ
inSyncはほとんどのSAML IdPと連携できます。このセクションでは、inSyncが認定またはサポートするSAML IdPに関する情報を提供します。
サポートレベルの定義
DruvaはIdPサポートレベルを以下のように分類しています。
- 認定 IdP - 認定IdPはDruav品質保証 (QA) チームによってすべてテストされています。DruvaがこれらIdPを認定し、すべてのクラウドリリースで定期的なテストを実行して、SSO機能が期待通りに機能することを確認しています。
- サポートされる IdP - サポートされているIdPはすべてのクラウドリリースでDruva QAチームによってテストされていませんが、SSO機能は期待通りに動作するはずです。DruvaはこれらIdPをサポートします。商用の実現性を超えて時間とリソースを必要とする問題に対処することはできません。
認定 IdP
- Okta
- PingOne
- Active Directory Federation Services (ADFS)
サポートされる IdP
- SAML 2.0をサポートするすべてのIdP
Note: 認定 IdP となっていないIdPの設定についてはDruva Supportまでお問い合わせください。