SAML シングル サインオン (SSO)

共有

この記事は役に立ちましたか?

最終更新:

セキュリティ意識トレーニングコンソールでのSAMLシングルサインオン(SSO)の設定

KnowBe4のセキュリティ意識トレーニングコンソールはSAML 2.0をサポートしているため、ユーザーはパスワードを設定または使用することなく、組織のシングルサインオン(SSO)またはアイデンティティプロバイダ(IdP)を使用して、KSATに素早く簡単にログインできます。

アカウント管理者でなければ、セキュリティ意識トレーニングコンソールでSSOを設定することはできません。セーフガードとして、アカウント管理者は、引き続き、パスワードを使用してセキュリティ意識トレーニングコンソールにログインすることができます。

無料アカウントを使用して、SAMLシングルサインオン統合をテストして接続することができます。ただし、[ユーザー]タブへのアクセスとユーザープロビジョニングは、有効なサブスクリプションを契約しているKnowBe4アカウントしか利用できません。サブスクリプションの詳細については、「サービス価格のレベル」のページを参照してください。SAMLシングルサインオンの設定で問題が発生する場合や、ご質問がある場合には、KnowBe4のサポートチームにお問い合わせください。

注:SAMLシングルサインオン統合を迂回する場合は、Knowbe4ログインページに移動します。次に、このURLの最後に、サブディレクトリ/ui/users/loginを追加します。詳細については、「KnowBe4のトレーニングインスタンス」の記事を参照してください。

シングルサインオンの設定

SSOの設定に必要な手順や情報は、プロバイダによって異なります。ナレッジベースの「SAMLシングルサインオン」のセクションにある記事を参照して、お使いのプロバイダに適した操作手順を見つけてください。

SSOプロバイダでSAMLシングルサインオンを設定する準備ができたら、セキュリティ意識コンソールアカウントの以下の情報が必要となります。

  1. KnowBe4コンソールから、右上隅の自分のメールアドレスをクリックし、[アカウント設定]を選択します。
  2. [アカウント統合]で、[SAML]セクションに移動します。
  3. [SAML設定]ボックスを展開して、以下の情報を見つけます。
    • サインインURL
    • サインアウトURL
    • コールバックURL
    • ID:KnowBe4
  4. プロンプトが表示されたら、お使いのSAMLシングルサインオンプロバイダに必要な情報を入力して、SAMLシングルサインオンの設定を完了します。

SP AuthnRequestの署名

[SP AuthnRequestの署名]を有効にすると、KnowBe4はアイデンティティプロバイダーに送信するSAML AuthnRequestにデジタル署名を付与します。これにより、SAMLシングルサインオン(SSO)構成に追加の検証レイヤーが加わり、リクエストの正当性を確認できるようになります。

[SP AuthnRequestの署名]を有効にすると、現在使用中の証明書の有効期間を確認したり、証明書をコピーまたはダウンロードしたりできます。また、証明書の有効期限が近づいた際に通知を受け取れるよう、メール通知を設定できます。有効期限の30日前になると、新しい証明書が自動的に表示されます。新しい証明書が表示されたら、その後30日間の期間内であれば、いつでもアイデンティティプロバイダー側に新しい証明書を反映できます。この仕組みにより、SSOを中断することなく、計画的に証明書の切り替えを進めることができます。

SP AuthnRequestの署名を有効にするには、次のステップに従って操作します。

  1. KnowBe4コンソールにログインします。
  2. [アカウント設定] > [アカウント統合] > [SAML] > [SAML設定]に移動します。
  3. [IDP証明書フィンガープリント]セクションの下にある[SP AuthnRequestの署名]チェックボックスを見つけます。

  4. このチェックボックスをオンにします。[SP AuthnRequestの署名]セクションが展開されます。 

    SP AuthnRequestの署名

    (オプション)[SP AuthnRequestの期限切れの通知を有効化]チェックボックスをオンにします。この設定により、AuthnRequestの有効期限が近づいた際に[通知の受信者]へメールで通知が送られ、さらに有効期限が切れた後にも2通目の通知がメールで送信されます。[通知の受信者]フィールドには、複数のメールアドレスをカンマ区切りで入力できます。

  5. [現在のAuthnRequest証明書]フィールドには、現在のAuthnRequest証明書が表示されます。証明書をコピーしたりダウンロードしたりできるほか、その有効期間および有効期限を確認できます。 
ヒント:[現在のAuthnRequest証明書]の有効期限の30日前に、新しい証明書がこのセクションに表示されます。SAMLエラーを回避するため、古い証明書が期限切れになる前に、必ずアイデンティティプロバイダーから証明書を更新してください。

SAMLプロバイダ情報の追加

次に、KSATコンソールの[SAMLプロバイダ設定]セクションに、SAMLプロバイダに関する情報を追加する必要があります。

  1. KnowBe4コンソールから、右上隅の自分のメールアドレスをクリックし、[アカウント設定]を選択します。
  2. [SAML]セクションに移動します。

  3. [SAML設定]ボックスを展開します。利用可能なSAML設定の詳細については、「アカウント設定:アカウント統合」の記事にある「SAML」セクションを参照してください。

  4. [IdP SSOターゲットURL]を入力します。
  5. [SHA-1]または[SHA-256]ボタンのいずれかを選択します。デフォルトでは、[SHA-1]が選択されています。
  6. [SAML設定]ボックスの上部にある[SAML SSOを有効化]チェックボックスをクリックします。
  7. 完了したら、[SAML設定の保存]をクリックします。

パートナーであり、SAMLを有効にする場合は、「MSP/リセラー/複数アカウントがある組織:アカウント管理コンソールでSAMLを有効にする方法」の記事の操作手順に従ってください。

SAML統合のテスト

KSATコンソールでSSOを正しく使用できるように、SAML統合をテストする必要がある場合があります。

SAML統合をテストするには、以下のステップに従って操作します。

  1. [SAMLが有効]ボックスがチェックされていることを確認し、[設定]ページの下部にある[プロフィールアップデート]ボタンをクリックします。
  2. シークレットモードでウィンドウを開き、Knowbe4のログインページに移動します。
  3. KnowBe4アカウントのメールアドレスを入力します。
  4. SAMLプロバイダにログインするようにリダイレクトされます。
  5. 統合が成功している場合、認証した後に、KSATアカウントに戻ってログインします。
重要なポイント:SAML認証を設定する際は、Entra IDのユーザーメールアドレスが、KnowBe4のユーザープロファイルに表示されているメールアドレスと一致していることを確認してください。このメールアドレスは、[メール]フィールドまたは[メールエイリアス]フィールドのいずれかに入力する必要があります。ただし、[メール]フィールドに入力されたアドレスのみがトレーニング通知メールを受信します。SSOログインで問題が発生している場合は、まず対象ユーザーが、グループ経由または直接割り当てによって、そのエンタープライズアプリケーションに正しく割り当てられていることを確認してください。必要に応じて、サポートから提供されたSSOバイパスリンクを使用することを検討してください。ユーザープロフィール管理の詳細については、「ユーザープロフィールガイド」を参照してください。

その他の参考資料

特定のSSOプロバイダを使用しており、SAMLシングルサインオンを設定するためにさらに支援が必要な場合は、「SSOプロバイダでのSAMLシングルサインオンの有効化」の記事を参照してください。

この記事は有用でしたか?

14人中10人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ