すべての記事

SAML SSO:実装ガイド

テーブル 1. 利用可能 - 従来のプラン

Free

Professional

Business

Enterprise

利用可能:従来のEnterprise。利用不可:従来のFree、Professional、Business。

テーブル 2. 利用可能

Free

Team

ビジネス

Enterprise

Pinnacle

利用可能:Enterprise、Pinnacle。 利用不可:Free、Team、Business;

概要

高度なセキュリティ設定の構成権限を持つアカウントオーナーと管理者は、アカウントのSSOを有効にできます。

Enterpriseユーザーは、SAMLベースのSSO(SSO/SAML認証連携)がアカウントで有効になっている場合、企業の認証情報を使用してWrikeにアクセスできます。 シングルサインオン(SSO)とは、ID プロバイダー(IDP)が管理する単一の認証ポイントから、ユーザーが複数のアプリケーションにアクセスできるようにする様々な技術の総称です。 Security Assertion Markup Language(SAML 2.0)は、Wrikeがサービスプロバイダー(SP)としてサポートしている、認証および認可データをやりとりするための主要な業界基準です。 認証の際に実際のパスワードがWrikeとの間でやり取りされることはありません。 その代わり、Wrikeは、限られた時間内のみ有効なデジタル署名付きのユーザーIDのSAMLアサーションを受け取ります。

ヒント

IDPに許可されている場合は、暗号化されたAML SSOアサーションを有効にできます。 SAML SSOの構成時にこのオプションを有効にする場合は、サポートチームにお問い合わせください。

SSO を有効化した後の動作の詳細については、こちらのページをご覧ください: SAML SSO:ユーザーガイド

シングルサインオンを使用するメリット

  • 大規模組織向けのスケーラブルなユーザー管理ジャストインタイムユーザープロビジョニング を使用すれば、通常は Enterprise account の設定や管理方法の準備に費やしていた時間を節約できます。 Wrikeは、お客様のディレクトリから新規ユーザーがSSO経由でWrikeにログインするたびに、お客様のアカウントにユーザープロフィールを作成します。追加で招待を送る必要はありません。 社内ディレクトリから削除された従業員は、会社のWrike利用プランに自動的にアクセスできなくなりますが、そのタスクや活動履歴の記録はそのまま残ります。

  • 統一されたユーザー名形式。ユーザーIDは一元的に管理されるため、WrikeユーザーIDはがディレクトリ名と一致します。

  • 社内のセキュリティガイドラインへの準拠。 IT管理者は、認証をより細かく制御できます。 ユーザーが自分で名前やメールアドレスを変更することはできません。 社内で採用しているセキュリティポリシーは、Wrikeにも適用されます。

  • ユーザーのパスワード疲労を軽減。一度企業ネットワークにログインすると、別のログイン認証を入力することなくWrikeを開くことができます。

  • SSOが提供するアクセスのしやすさは、Wrikeのシームレスな導入を促進します。 また、ログインアクティビティを監視し、収集したSSOメトリクスをWrikeの導入状況の追跡に利用することもできます。

シングルサインオンの制限

SSO/SAML連携を有効にすると、SSOに含まれるユーザーは以下の操作を実行できなくなります:

  • Wrikeでの名前の編集。氏名はIDプロバイダーによって割り当てられます。

  • Wrikeプロフィールからのメールアドレスの変更。これには、アドレスの追加も含まれます。 ただし、Wrikeの管理者が代わりにこの操作を実行する条件として、ユーザーが新規のアドレスを確認できる必要があります。そのためには、ユーザーが元のメールアドレスを使用してWrikeにログインし、元のメールアドレスの受信トレイにアクセスして確認リンクをクリックする必要があります。 他のケースでは、管理者がサポートに連絡して、ユーザーのメールアドレスを変更する必要があります。 サポートへ連絡することによりのみアカウントオーナーのメールアドレスが変更可能です。

  • Wrikeによる2段階認証の有効化。このセキュリティ機能でアカウントを保護する場合は、IDプロバイダーで設定する必要があります。

  • Wrikeパスワードを使用したWrikeへのログイン。原則として、ブラウザーでWrikeにアクセスしようとすると、IDプロバイダーが管理するログインページにリダイレクトされます。 一部の統合ツールは、SSOをネイティブでサポートしていません(バックアップツールや従来のAPI-v2アプリなど)。 SSOユーザーは、これらのツールを承認するためにワンタイムパスワードを生成する必要があります。

シングルサインオンの範囲を決定する

SSOの設定方法は、Wrikeをどのように使用しているか(または使用する予定か)によって異なります。

  • オプションモード:このモードでは、アカウント内のすべてのユーザーがパスワードかIDPベースのログインを使用してログインできるようになります。 このオプションはデフォルトで設定されており、新しいSSO連携をテストするのに便利です。 アカウント全体にSSOを適用する前に、まずはこのオプションから始めて、すべてが正しく動作することを確認することをお勧めします。

    注記

    このオプションモードでは、login.wrike.com/loginページは、そのアカウントにSAML SSOが設定されていないものとして、ユーザーに通常のログインを求めます。

    SAML SSOの手順を実行するには、login.wrike.com/sso ページをブラウザで使用してください。 注意: Wrike デスクトップアプリモバイルアプリ は、通常の Wrike ログインページ (login.wrike.com/login/) のみを使用します。オプションモードでは、ログインは通常のログインフロー (Wrike パスワードを使用) を通じてユーザーに提供されます。

  • Wrikeを会社の従業員のみが使用する場合:SSOはアカウントのすべてのユーザーに対して有効にできます。

  • Wrikeを従業員と非従業員の両方で使用する場合:メールのドメインに基づいてユーザーにSSOを有効にすることができます。

    注記

    この場合、SAML SSO を有効にする前に、Account Management セクションの[セキュリティ]タブから メールドメインを追加して承認 する必要があります。 承認されるためには、メールドメインが会社に属している必要があります。

    承認されたメールドメインを持つアドレスのユーザーはSSO経由でWrikeにログインでき、承認されたメールドメインを持たないアドレスのユーザーはWrikeのユーザー名とパスワードでログインします。 2段階認証を有効にすると、承認されたドメインを持たないユーザーに対して、より安全なログインオプションを提供できます。

    SSOを有効にした後に承認済みドメインを追加する場合、管理者は前述のプロセスに従う必要があります。

    ほとんどの場合、ドメインのドメイン名システム(DNS)レコードを更新する必要があるため、承認プロセスにはシステム運用チームの協力が必要となります。 SAMLを有効にする前に承認済みドメインを追加して、SAMLを有効化したときにすぐに適用されるようにすることをお勧めします。

前提条件:シングルサインオンを有効にする前に

SSOを有効にする前に、次のことを確認することが重要です:

  • 各ユーザーのWrikeアカウントに関連付けられているメールアドレスが、会社ディレクトリのメールアドレスと一致する。

  • このアカウントでSSOがまだ有効になっていない。 確認する手順:

    • プロフィール写真をクリックします。

    • ドロップダウンから設定を選択します。

    • 左側のパネルでセキュリティをクリックします。

    • セキュリティページで、SAML SSOセクションまでスクロールします。

    • SAML SSOヘッダーの近くに無効タグが表示されていることを確認します。

さらに、互換性の確認も必要です:

  • ご利用のIDプロバイダーやSSOプロバイダーがSAML 2.0を使用した連携認証をサポートしていることを確認します。 互換性のあるSSOソリューションには、OktaOneLoginPingFederateMicrosoft AD FSGoogle Apps identity serviceなどがありますが、これらに限定されません。 Okta が提供するアイデンティティ管理サービスを利用している場合は、以下の 手順 に従って、アプリケーション一覧に Wrike を追加できます。

  • アカウントにカスタムSAMLベースのSSOを設定するには、Wrikeが使用する標準パラメータとオプションに関するメタデータファイルを参照してください。 次のユーザー属性を含める必要があります:firstNamelastNameNameID (メールアドレスである必要があります)。

シングルサインオンを有効にする

  1. プロフィール写真をクリックします。

  2. ドロップダウンから設定を選択します。

  3. 左側のパネルでセキュリティをクリックします。

  4. セキュリティページで、SAML SSOセクションまでスクロールします。

  5. SAML SSOの設定ボタンをクリックします。

  6. 表示されるウィンドウで、Wrikeメタデータを使用してIDプロバイダーを設定し、続行をクリックします。

  7. 次に、プロバイダーからメタデータを指定するよう求められます。 次の2つのオプションから選択できます:

    • XMLを提供するリンクを入力する

    • XMLをテキストとして入力する

  8. 次へをクリックします。

  9. 正しいパラメータが選択されていることを確認し、続行してSAMLを有効化ボタンをクリックして決定を確定します。

  10. SSOの実装を確認するコードが記載されたメールが送信されます。

  11. 表示されるポップアップウィンドウにメールに記載されたコードを入力します。

  12. 確定をクリックします。

  13. (オプション)新しいアカウント設定をテストします。

  14. SAMLの設定を保存ボタンをクリックします。

SSOを有効にしたら直ぐに、ユーザー受け入れテストを実施し、さまざまなユースケースをテストすることをお勧めします。 SSO を有効化した後の利用方法の詳細については、SAML を使用したシングルサインオン のページをご参照ください。

注記

作業項目 (タスク、フォルダー、プロジェクト、スペース、カスタム項目タイプなど) は、SSOを通じてアカウントに新しく参加したユーザーと自動的に共有されません。 SAML SSOを使用してログインしても、既存の共有設定は変更されません—アイテムは以前と同じ人々と共有されたままです。

会社のActive Directoryからユーザーグループは 自動的にWrikeに転送されませんが、 直接Wrikeでユーザーグループを作成できます。

弊社のヘルプセンターページでタスク、フォルダー、及びプロジェクトの共有について詳細に学びましょう。

承認済みメールドメインを追加する

注記

承認済みメールドメインを追加するには、システム運用チームの支援が必要な場合があります。

  1. Wrike作業スペースの右上隅にあるプロフィール画像をクリックします。

  2. ドロップダウンから設定を選択します。

  3. 左側のパネルでセキュリティをクリックします。

  4. 承認済みドメインセクションまでスクロールします。

  5. ドメインの追加をクリックし、適切なメールドメインを入力します。

  6. 追加をクリックします。

  7. ポップアップウィンドウが表示され、ドメインの承認手順が示されます。

    注記

    Wrikeの設定にドメインを追加すると、オプションのSAML SSOモードが利用できなくなるか、グレーアウトします。 これは、承認済みのドメインがある場合にはそのドメインを持つユーザーにSAML SSOが強制され、この設定ではシステムがオプションモードを許可しないためです。 オプションモードは、アカウントに承認済みのドメインが追加されていない場合にのみ利用可能です。

  8. 表示される指示に従います。 ドメインの承認には最大24時間かかる場合があり、システム運用チームの支援が必要になる場合もあります。

  9. 変更を保存するをクリックします 。

  10. 確認コードが記載されたメールが、メインメールアドレス宛に送信されます。

  11. メールに記載されたコードをコピーして、表示されたポップアップに貼り付けます。

  12. 確定をクリックします。

ユーザーが複数のSAML認証連携アカウントに参加できるようにする

複数のWrikeアカウントを持ち、同一のIDP経由でSAMLベースのSSOを有効にしている大企業チームは、すべてのアカウントを1つのネットワークに統合できます。 これにより、ユーザーはIDP経由で企業の認証情報を使用して、接続されているすべてのWrikeアカウントへの招待を受け取ったり、参加したりできます。

注: この方式を導入するにはいくつかの前提条件があり、有効化できるのは Wrike カスタマーサポート のみです。 詳細については、Wrikeカスタマーサポートまでお問い合わせください。

次は?

トップ

関連記事