Ping Identity SAML SSO
Ping Identityは、安全なシングルサインオン(SSO)を可能にするIDプロバイダ(IdP)であり、組織のユーザーが1度のログインで複数のアプリケーションにアクセスすることを可能にします。
SAML(Security Assertion Markup Language)SSOでは、社員が会社の認証情報(通常はメールとパスワード)を使って一度ログインし、Ping IdentityのようなIDプロバイダが身元を確認して、アプリケーションごとにログインすることなく、接続されているすべてのサービスへの安全なアクセスを許可します。
会社の所有者やIT担当者が会社のメールドメイン(@mycompany.com など)をIDプロバイダに紐づけることで、会社のメールアドレスを持つすべての社員が自動的に認識され、SAML対応ツールで安全にログインできるようになります。
弊社のSAML SSOでは、Ping Identity内でSAMLアプリケーションを作成し、会社のメールドメインを検証してMyKinstaでPing Identityの必要情報を追加することで、Ping IdentityをMyKinstaに接続することができます。これにより、チームが会社の認証情報でログインできるようになり、MyKinstaアカウントを個別に作成・管理する必要がなくなります。
MyKinstaでSSOを有効にする
SAML SSOの設定は、どの段階でも「設定を保存して終了」をクリックして中断することが可能です。
MyKinstaで、画面右上のユーザー名をクリックし、「企業の設定」>「シングルサインオン(SSO)」に移動し、「利用する」をクリックします。
「はじめに」のステップでSSOの設定手順を確認します。
次のステップでは、Ping IdentityでSAMLアプリを設定するために必要な情報が表示されます。
Ping Identityでアプリの統合を設定する
続いての「SAMLアプリの作成」ページには、Ping IdentityでSAMLアプリを設定するために必要なすべての情報が表示されます。
管理者権限を持つユーザーとして、Ping Identityにログインします。「Environments(環境)」内の「Create Environment(環境を作成)」をクリックします。
「Create a Workforce Solution(ワークフォースソリューションを作成)」をクリックし、「Manage Environment(環境を管理)」クリックします。
「Applications(アプリケーション)」をクリックし、「+」をクリックして新規アプリを追加します。
MyKinstaから「アプリ名」を入力します。必要に応じて、MyKinstaからアプリアイコンをダウンロードし、「Icon(アイコン)」にアップロードすることも可能です。「SAML Application(SAMLアプリケーション)」を選択し、「Configure (設定)」をクリックします。
「Manually Enter(手動入力)」を選択し、Ping Identityで「SAML Configuration(SAML設定)」を以下のように完了します:
- ACS URLs:MyKinstaから「SSO/ACS URL」をコピーして貼り付け
- Entity ID:MyKinsta から「エンティティID」をコピーして貼り付け
「Save(保存)」をクリックします。
Ping Identityの属性マッピング
「Attribute Mappings(属性マッピング)」をクリックし、鉛筆アイコンをクリックします。
以下の属性を追加し、「Save(保存)」をクリックします。
| Attributes | PingOne Mappings | Required |
|---|---|---|
| firstName | Given Name | 選択 |
| lastName | Family Name | 選択 |
| Email Address | 選択 |
Ping Identityでユーザーを割り当てる
デフォルトでは、新規アプリケーションにすべてのユーザーがアクセスできます。特定のユーザーグループのアクセスに制限するには、「Applications(アプリケーション)」に移動し、MyKinsta用に設定したアプリを選択して、「Access(アクセス)」をクリックします。編集アイコンをクリックして、管理ユーザーのみがアクセスできるようにするか、グループを指定してアクセスを許可します。
Kinstaでの設定
MyKinstaで、先ほどの「SAMLアプリの作成」ページで「続行」をクリックし、「Kinstaの設定」に移ります。
メールドメイン
「ドメイン名」にユーザーがSAML SSOを使ってログインする際に使用するメールドメインを入力し、「ドメインを追加」をクリックします。
所有権確認済みのドメインに一致するメールアドレスを持つMyKinstaアカウントのみ、SAMLを介してログインすることができます。例えば、example.comでSAMLが有効になっている場合、@example.comのメールアドレスを持つユーザーのみログイン可能です。
DNS管理またはサイトドメインとしてMyKinstaですでに所有権を確認しているドメインは、自動的に承認されます。所有権を確認していないドメインの場合は、DNS管理サービスにTXTレコードを追加する必要があります。
DNSの伝播には時間がかかることがあります。ここで「設定を保存して終了」をクリックして完了を待ち、後で再開することも可能です。
Kinsta SAMLのセットアップ
Ping Identityで「Applications(アプリケーション)」を開き、MyKinsta用に設定したアプリを選択して、「Overview(概要)」をクリックします。「Connection Details(接続詳細)」を見つけてください。
このセクションに、Kinstaでの設定を行うために必要な情報が掲載されています。
MyKinstaの先ほどの「Kinstaの設定」ページで、各フィールドを埋めていきます。
- SSO URL:Ping Identityから「Initiate Single Sign-On URL(SSO開始URL)」をコピーして貼り付け
- エンティティID:Ping Identityから「Issuer ID(発行元ID)」をコピーして貼り付け
- 公開証明書:Ping Identityで「Download Signing Certificate(署名証明書をダウンロード)」をクリックし、「X509 PEM (.crt)」を選択します。ダウンロードしたファイルを任意のテキストエディターで開き、内容をコピーして貼り付けてください。
各フィールドに必要な情報を貼り付けたら、「続行」をクリックします。
MyKinstaで認証をテストする
最後の「テストして終了」ステップで認証のテストを行い、SAML SSOを有効化します。
「認証をテスト」をクリックします。
すると、テスト結果が表示されます。テストに失敗した場合は、「戻る」をクリックして、Ping IdentityおよびMyKinstaのSAML設定を再確認してください。
テストに成功した場合は、「変更を保存して反映」をクリックすると、SSOを利用することができます。
これで、MyKinstaの企業内のユーザーがSAML SSO、またはユーザー名とパスワードでログインできるようになります。認証はIDプロバイダによって直接処理されるため、この方法でログインするユーザーはMyKinsta必須の二要素認証は不要になります。
ユーザーにSAMLでのログインを強制したい場合は、シングルサインオンを義務化し、必要に応じて例外を追加することができます。また、ジャストインタイム(JIT)プロビジョニングを利用し、IDプロバイダによって認証されたユーザーが招待なしでMyKinstaの企業アカウントにアクセスできるようにすることも可能です。
セッション期間の変更
SSOセッションの期間と有効期限は、IDプロバイダ(IdP)によって制御されます。セッション期間が指定されていない場合、MyKinstaのデフォルトは24時間です。
SSOセッションの有効期限が切れると、SSOからログアウトされます。SSOを使用する企業アカウントで作業している場合は、再認証を求められます。複数の企業アカウントにアクセスできる場合、全体としてはログイン状態が維持されますが、SSOが義務化されている企業アカウントにアクセスする際には、再認証が必要になります。
セッション時間の変更方法は、Ping Identityの公式ドキュメントをご覧ください。