シングルサインオン（SSO）を構成する

この記事では、プラットフォームのシングルサインオン（SSO）機能と、組織がSSOを有効にする方法について概説します。組織でSSOを構成したい場合は、カスタマーサクセス担当者にお問い合わせください。

概要

Udemyはシングルサインオン（SSO）用にSAML 2.0をサポートしています。セキュリティアサーションマークアップランゲージ（SAML）は、組織のユーザーに単一のURLを提供するエンドポイントを作成します。ユーザーはこれを使用して、サインインし、使用が許可されているアプリケーションを選択できます。これにより、セッション中にアプリケーションを切り替えるときにログインプロンプトが表示されなくなり、セキュリティレベルが向上し、ユーザー認証が簡素化されます。

SSOを利用する利点は次のとおりです。

• ユーザーエクスペリエンスの向上
• 内部運用コストの削減
• ユーザーの一元管理
• 企業システムセキュリティの強化
• コンプライアンス規制（SOX、HIPAA）の遵守

標準サポート

• Udemyはシングルサインオン用にセキュリティアサーションマークアップランゲージ（SAML 2.0）v2.0標準をサポートしています。
• SAML v2.0サポートにより、Microsoft Active Directory（ADFS経由）、Tivoli Federated Identity Manager、Okta、その他のフェデレーテッド認証プラットフォームを含む多くの一般的なIDプロバイダーとの統合が可能になります。

一般的な前提条件

• Udemyは、SAML v2.0の信頼関係においてSP（サービスプロバイダー）の役割を果たします。
• Udemyは、IDP（アイデンティティプロバイダー）からSAML v2.0準拠のIDPメタデータファイルを要求します。IDPメタデータファイルには以下が含まれます。
  • SingleSignOnServiceエンドポイントの場所
  • アサーション署名に使用されるX.509公開証明書（該当する場合）
• Udemyは、以下を含むSPメタデータファイルを提供します。
  • SPエンドポイント

開発プロセス

一般的な統合ワークフローは次のとおりです。

• ユーザーがアカウント担当者にどの構成オプションを使用するか相談します。
• UdemyがSPメタデータファイルのURLを提供します。
• ユーザーがIDPメタデータファイルを提供します。
• 指名された関係者が統合の成功を承認するまで統合のテストと修復を行います。IDPが開始するアクセスとSPが開始する両方の種類のアクセスをテストする必要があります。この時点で、本番スケジュールについて合意します。

サポートされる構成

現在、Udemyでは、次のSAML構成をサポートしています。

• シングルログアウト（SLO）
  • 無効 – 現在はSLOをサポートしていません
• NameIDの形式
  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress（デフォルト）
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
  • urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
  • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:2.0:nameid-format:entity
• アサーションが署名されている
  • いいえ/はい（デフォルト）
• 承認リクエストが署名されている
  • いいえ
• 新規ユーザーのプロビジョニング
  • 無効（デフォルト）/有効
• 既存ユーザー属性が更新されている
  • 無効（デフォルト）/有効
• 望ましい承認リクエストバインディング:
  • Post（デフォルト）/リダイレクト

設定に関する質問

SSOを開始するための最初のステップは、カスタマーサクセス担当者とのミーティングを調整して、以下の設定とSSO構成に関する質問に答えることです。

1. システム内のユーザーの一意の識別子に何を使用しますか？
   • Udemyのプラットフォームは、メールアドレスまたは外部のグローバル一意識別子（GUID）の使用をサポートしています。
   • 最も一般的な設定は、将来誰かのメールアドレスが変更された場合の問題を軽減するために、メールアドレスではなく外部GUIDを使用することです。さらに、従業員の従業員IDが外部GUIDとして最も一般的に使用されています。
2. 認証時にユーザー情報を更新する必要がありますか？
   • その場合、どのようなフィールドを含める予定ですか？また、すべてのフィールドがSSOシステム内で使用可能ですか？また、SAMLアサーションではこのフィールドを何と呼びますか？そのフィールドはプラットフォームのフィールドにどのようにマッピングされますか？
3. ユーザーがまだプラットフォームのアカウントを持っていない場合、認証時にプラットフォームに新規ユーザーを作成しますか？
   • その場合、どのようなフィールドを含める予定ですか？また、すべてのフィールドがSSOシステム内で使用可能ですか？また、SAMLアサーションではこのフィールドを何と呼びますか？そのフィールドはプラットフォームのフィールドにどのようにマッピングされますか？
4. プラットフォームへのアクセスが必要なすべてのユーザーがSSOソリューションにアクセスできるようになりますか？
   • そうでない場合、ユーザー名/パスワードフォームとSSOログインオプションをサポートするデュアルログインエクスペリエンスが必要ですか？

SSOの設定

SSO要件を理解したら、次に進み、設定を開始できます。次の手順には以下が含まれます。

1. UdemyがSPメタデータXMLを提供します。
2. ユーザー側でSSOを構成し、IDPメタデータXMLをチームに提供します。
3. UdemyがIDPメタデータXMLを適用して設定を完了します。
4. ユーザーが環境をテストして検証します。
5. 検証が完了したら、Udemyとユーザーチームが本番環境の展開のタイミングについて合意します。