ガイドAPIリファレンス
ガイド
  1. アイデンティティおよびアクセス管理
  2. 認証を管理する

SAMLに関するFAQ

IdPマネージャーの役割はいくつ割り当てることができますか?

複数のIdPマネージャーの役割を割り当てることができます。ただし、HEREでは1つだけ割り当てることを強くお勧めします。そうすることで、IDプロバイダー設定の所有権が明確になります。この役割は、IdPについて十分な知識があり、HEREプラットフォームとの統合を管理する権限のあるユーザーにのみ割り当ててください。アクセスの中断を防ぐには、少なくとも1人のユーザーが常にIdPマネージャーの役割を保持していることが重要です。

プラットフォームのSSOログインポリシーは何回変更できますか?

プラットフォームポリシーの変更回数に制限はありません。ただし、組織内の既存ユーザーは、設定がユーザー名/パスワードの組み合わせに切り替わるたびに新しいパスワードを作成する必要があります。プラットフォームアカウントユーザーへの影響を最小限に抑えるため、サインインポリシーの変更前にこの点を考慮してください。

セットアップに関する問題のサポートはどこで受けられますか?

問題が発生した場合は、アカウントマネージャーに問い合わせるか、サポートポータルにアクセスしてください。

SAMLレスポンスがHEREプラットフォームと互換性を持つための技術的要件は何ですか?

SAML 2.0コア仕様では、HTTP POSTバインディングを使用する場合、要素はSAML 2.0仕様で定義されたアルゴリズムのいずれかを使用して署名されなければなりません。たとえば、SHA-256を使用するRSA、SHA-256を使用するECDSAなどが該当します。SAMLレスポンスには、少なくとも次のアサーションが含まれている必要があります。

  • メール
  • 国コード

一度に複数のIdPを有効化できますか?

組織に対して一度に有効化できるIdPは1つだけです。

HEREプラットフォームで複数の組織を所有しています。すべての組織で同じIdPを使用できますか?

はい、各組織で同じIdP設定を設定できます。

HEREプラットフォームと互換性のある一般的なSAML IdPはどれですか?

HEREプラットフォームはOKTAおよびKeycloakと完全な互換性があり、SAML 2.0互換プロバイダーごとの設定が可能です。

HEREプラットフォームはSAML以外のOIDCをサポートしていますか?

HEREプラットフォームはSAML 2.0のみをサポートしています。

会社のセキュリティポリシーでは、暗号化されたSAMLレスポンスが必要です。HEREプラットフォームはSAML暗号化をサポートしていますか?

はい。IdPの設定中に、個別のX509証明書が生成されます。この証明書はIdPにアップロードし、SAMLレスポンスの内容を暗号化するために使用できます。

暗号化されたSAMLレスポンスであってもアサーションに署名する必要がありますか?

はい、SAML 2.0 Coreで定義された標準に従います。

[RFC2246] The < Assertion > elements in the < Response > must be signed if you are using the HTTP POST binding.

あるIdPから別のIdPに切り替えることは可能ですか?

組織で複数のIdPが正常に設定されている場合は、[Select login type](ログインタイプを選択) を選択し、リストからそのIdPを選択して有効にできます。認証システムがグローバルに同期されるまで、最大5分かかる場合があります。この期間中にユーザーがサインインしようとすると、多少の遅延が発生したり、エラーメッセージが表示されたりすることがあります。

IdP設定からセッションの長さを制御できますか?

はい。HERE組織内のユーザーに対するセッションの長さを制御するには、SAMLレスポンスのアサーション内にあるAuthnStatement要素のSessionNotOnOrAfter属性を使用します。たとえば、ユーザーが2025年1月1日の10:00にIdPを使用してサインインし、セッションが2時間続く場合、SAMLレスポンスは次のパターンに従います。

<samlp:Response ...>
  <saml:Assertion ...>
    <saml:AuthnStatement AuthnInstant="2025-01-01T10:00:00.000Z"
                             SessionNotOnOrAfter="2025-01-01T12:00:00.000Z"
                             >
        ...
    </saml:AuthnStatement>    
  </saml:Assertion ...>
</samlp:Response>

外部IdPは、HEREプラットフォームによって認識される多要素認証 (MFA) を強制できますか?

はい。HEREプラットフォームはSAMLレスポンスに基づいてアクセスを許可します。SAMLレスポンスは、IdPが専用のHEREアカウントエンドポイントに送信します。IdP側からの以前の承認と認証は、このプロセスに影響しません。

HEREプラットフォームは、SAMLレスポンスで送信される個々のユーザーの役割をサポートしていますか?

いいえ。組織管理者は招待プロセス中にユーザー役割を割り当て、ユーザー管理パネルで変更できますが、HEREプラットフォーム上でのみ可能です。

HEREプラットフォームは、SP開始型SSOだけでなくIdP開始型SSOもサポートしていますか?

HEREプラットフォームはIdP開始型フローのみをサポートします。ユーザーがHEREプラットフォームのサインインページにアクセスしSSOサインインをトリガーすると、IdP設定プロセスで定義されたIdPサインインページにリダイレクトされ、IdP開始型フローが開始されます。

HEREプラットフォームのログインページでユーザーインターフェースとユーザーエクスペリエンスを設定できますか?

いいえ。カスタマイズ可能なコンポーネントはSSOログインボタンのラベルだけです。

組織に対してIdPが有効になっている場合、すべての有効なユーザーセッションはどうなりますか?

セッションは、期限切れになるまで有効なままです。次回のユーザーサインインでは、HEREプラットフォームのパスワードではなくIdPを使用した認証が必要です。

外部IdPを無効にした後も、組織ユーザーの以前のパスワードは保持されますか?

いいえ。組織がIdPサインイン方式を使用するように切り替えると、既存のパスワードはすべて削除されます。「パスワードを忘れた場合」の機能を使用してパスワードをリセットできます。その後、組織を手動でパスワードサインイン方式に戻す必要があります。

HEREプラットフォームはSP設定用のメタデータURLまたはXMLを公開していますか?

はい。IDP作成後に提供されます。形式は次のとおりです。

https://account.api.here.com/identityProviders//metadata.

20 日前の更新