SAML シングル サインオン (SSO)

SAML統合の概要

SAML(Security Assertion Markup Language)は、別のコンテキストでのセッションを基にして、ユーザーをアプリケーションにログインさせるための標準です。SAMLによってシングルサインオン(SSO)が可能となり、これにより、ユーザーは1セットの認証情報を使って複数のアプリケーションにログインすることができます。

この方法は、ユーザー名とパスワードでログインする方法に比べて、多くの利点があります。この方法では、ユーザーは認証情報を入力する必要がなく、パスワードを覚えて更新する必要もありません。また、パスワードが脆弱であることを心配する必要もありません。多くの組織のユーザーはActive Directoryドメインまたはイントラネットにログインしているため、すでにユーザーのアイデンティティは特定されています。この情報を利用して、Webベースのアプリケーションなど、他のアプリケーションにもユーザーをログインさせるのは自然なことです。そして、これのようなログイン方法を実現する最も優れた方法の1つがSAMLです。 

SAMLの詳細については、以下のセクションを参照してください。

SAML/SSOの仕組み

SAMLシングルサインオン(SSO)は、アイデンティティプロバイダーからサービスプロバイダーにユーザーのアイデンティティを転送することで機能します。このプロセスは、デジタル署名されたXML文書の交換によって行われます。次のシナリオを見てみましょう。ユーザーが、アイデンティティプロバイダーとして機能しているシステムにログインしています。ユーザーは、KnowBe4受講者ホームや他のサービスプロバイダーなどのリモートアプリケーションにログインする必要があります。

このシナリオでは、以下のステップが実行されます。

  1. このユーザーは、社内イントラネット、ブックマーク、または同様のオプションを使用して、アプリケーションへのリンクをクリックします。次に、アプリケーションがロードされます。
  2. このアプリケーションはユーザーの認証元を特定し、認証を求めてユーザーをアイデンティティプロバイダーにリダイレクトします。ユーザーの認証元を特定するために、このアプリケーションはアプリケーションのサブドメイン、ユーザーのIPアドレス、または類似した情報を使用します。これが認証リクエストです。
  3. ユーザーはすでにアイデンティティプロバイダーとのセッションを設定しているか、アイデンティティプロバイダーにログインすることでセッションを確立しています。
  4. アイデンティティプロバイダーは、ユーザー名またはメールアドレスを含むXMLドキュメントの形式で認証レスポンスを構築します。次に、アイデンティティプロバイダーがX.509証明書を使用してドキュメントに署名し、この情報をサービスプロバイダーに送信します。
  5. サービスプロバイダーは認証レスポンスを取得し、証明書のフィンガープリントを使用して認証レスポンスを検証します。サービスプロバイダーはすでにアイデンティティプロバイダーを認識しており、証明書のフィンガープリントを所有しています。ユーザーのアイデンティティが確立されます。

このワークフローを視覚的に示す以下のスクリーンショットを参照してください。

SAMLとSSOの基本的な仕組みについては、auth0の「SAMLとは何か?SAML認証の仕組み」を参照してください。

受講者ホーム(LX)のSAMLの仕組み

KnowBe4はSAML 2.0をサポートしています。KnowBe4の受講者ホーム(LX)は、他のすべてのサービスプロバイダーと同じ方法でSAMLを使用します。通常、組織のユーザー認証は、Active Directory(AD)やLDAP(Lightweight Directory Access Protocol)などの選択された認証システムによって管理されます。これらの認証システムは、アイデンティティプロバイダーと呼ばれます。

この場合、サービスプロバイダーであるLXは、アイデンティティプロバイダーにユーザーを認証させ、その後ユーザーをLXにログインさせます。つまり、ユーザーは職場でログインすることで、メールや顧客関係管理(CRM)システムなど、自分の組織のアプリケーションに別途ログインすることなく自動的にアクセスできるようになります。これによりユーザーにとって利便性が向上するだけでなく、すべてのユーザー認証は、自社で完全に制御できるシステムによって内部的に処理されます。

LXのシングルサインオン(SSO)のタイプとしてSAMLを有効にすると、LXにログインするユーザーは、認証のためにSAMLサーバーにリダイレクトされます。ユーザーのアイデンティティは、SAMLサーバーに保存するか、Microsoft Active DirectoryやLDAP(Lightweight Directory Access Protocol)などのアイデンティティディレクトリで認証できます。認証が完了すると、ユーザーはLXにリダイレクトされ、自動的にログインされます。

注:ユーザーがSAMLで認証するために使用するメールアドレスが、[ユーザープロフィール][メール]フィールドまたは[メールエイリアス]フィールドのいずれかに入力されていることを確認してください。ただし、トレーニング通知メールが送信されるのは、[メール]フィールドに記載されたメールアドレスのみです。ユーザープロフィールに情報を追加する方法については、「ユーザープロフィールガイド」を参照してください。

自社のSAML/SSOの設定

KnowBe4はSAML 2.0をサポートしています。KSATコンソールでSAML統合を有効にする場合は、「SSOプロバイダでSAMLシングルサインオンを有効にする方法」の記事を参照してください。

お使いのSAMLプロバイダーがリストに表示されていない場合は、KnowBe4のサポートチームにお問い合わせください

お探しの情報が見つかりませんか?

サポートへの問い合わせ