プラットフォームポータルUIを使用したSAMLの設定方法

このセクションでは、プラットフォームポータルUIを使用してSSOを設定します。

シングルサインオン (SSO) を使用すると、HEREプラットフォームユーザーは独自のIDプロバイダー (IdP) を使用して認証できます。これにより、認証ポリシーへの準拠が保証され、権限を持つユーザーのアクセスを動的に制御できます。

SAML 2.0を使用したHEREとのSSO統合

HEREは、SAML 2.0プロトコルを使用するSSO統合をサポートしています。

この機能を組み込むには、組織は次のいずれかをサブスクライブする必要があります。

Premium SuccessサポートプランまたはPremiumサポートプラン
Platinumパートナー
Goldパートナーにはアクセス権がありますが、SSOを有効にするにはPremiumプランをサブスクライブする必要があります。

詳細については、「HEREサポートプラン」を参照してください。

IdPテンプレート

HEREには、組織のSSOを次のIDプロバイダーと統合するためのテンプレートが用意されています。

OKTA
Keycloak
Entra
汎用。他のIDプロバイダーを使用できる汎用テンプレートです。

📘
注
汎用テンプレートを使用する場合、組織は必要な全パラメーターを設定し、SAML 2.0標準に準拠していることを確認する必要があります。完全に準拠していれば、統合が可能です。

IdPマネージャーを割り当てる

組織内で新しいIDプロバイダーを設定したり、既存のIdP設定を更新したりするには、IdPマネージャーの役割を割り当てる必要があります。アクセスの中断を避けるために、次に注意してください。

IdPマネージャーの役割が、常に組織内のユーザーに割り当てられているようにする。
IdPマネージャーの役割を持つユーザーは常に1人だけになるようにする。

組織管理者または組織招待主の役割を持つユーザーは、次のことができます。

新しいユーザーを招待し、IdPマネージャーの役割を割り当てる。
または、組織内の組織管理者または組織招待主に、自分に代わって役割を割り当てるように依頼する。

📘
注
制限付きアクセスの役割を追加しないでください。追加すると、IdPマネージャーがプラットフォームにサインインできなくなります。

次の図は、招待が完了するまでのプロセスのサンプルを示しています。

招待された人が招待を承諾すると、割り当てられた役割が招待された人に割り当てられます。

IdP設定

ランチャーからアクセスマネージャーに移動し、[Identity providers](IDプロバイダー) タブを開きます。このタブには、すでに追加されているIDプロバイダー (存在する場合) のリストが表示されます。

2.[Add a provider](プロバイダーを追加) を選択して、設定を開始します。 3.特定のIdPの詳細情報を必須フィールドに入力します。IdPを指定してから[Set the login type](ログインタイプを設定) を選択してください。

SSOを有効にする

🚧
注意
設定中に組織へのアクセスが不可能になった場合、IdPマネージャーはプラットフォームの一時アクセス回復プロセスを通じてアクセスを回復できます。
このアクセスは現在のセッション中のみ有効です。ユーザーがセッションからログアウトした場合、一時的にサインインするには一時アクセス回復プロセスを再度呼び出す必要があります。このプロセスを使用するには、組織IDを知っている必要があります。プラットフォームで組織IDを見つけるには、プラットフォームページのアカウントアイコンをクリックすると、組織IDが表示されます。

IDプロバイダーページで[Set login type](ログインタイプを設定) を選択し、[Single Sign-On (SSO) login](シングルサインオン (SSO) ログイン) を選択します。

SSOをテストする

SSOをテストするには、サインアウトしてHEREプラットフォームにサインインします。IdPが正しく設定されていない場合、プラットフォームにアクセスできません。この場合、IdPマネージャーは一時的なアクセス回復プロセスを使用してIdPを再設定する必要があります。

📘
注
IdPマネージャーの役割を持つユーザーのみがこのアクションを実行できます。さらに、自分の組織IDも知っている必要があります。
認証システムがグローバルに同期されるまで、最大5分かかる場合があります。この期間中にユーザーがサインインしようとすると、多少の遅延が発生したり、エラーメッセージが表示されたりすることがあります。