SAML SSO:実装ガイド
高度なセキュリティ設定の構成権限を持つアカウントオーナーと管理者は、アカウントのSSOを有効にできます。
Enterpriseユーザーは、SAMLベースのSSO(SSO/SAML認証連携)がアカウントで有効になっている場合、企業の認証情報を使用してWrikeにアクセスできます。 シングルサインオン(SSO)とは、ID プロバイダー(IDP)が管理する単一の認証ポイントから、ユーザーが複数のアプリケーションにアクセスできるようにする様々な技術の総称です。 Security Assertion Markup Language(SAML 2.0)は、Wrikeがサービスプロバイダー(SP)としてサポートしている、認証および認可データをやりとりするための主要な業界基準です。 認証の際に実際のパスワードがWrikeとの間でやり取りされることはありません。 その代わり、Wrikeは、限られた時間内のみ有効なデジタル署名付きのユーザーIDのSAMLアサーションを受け取ります。
ヒント
IDPに許可されている場合は、暗号化されたAML SSOアサーションを有効にできます。 SAML SSOの構成時にこのオプションを有効にする場合は、サポートチームまでお問い合わせください。
SSOを有効にした後の動作の詳細については、SAML SSO:ユーザーガイドページを参照してください。
-
大規模組織向けのスケーラブルなユーザー管理。 ジャストインタイムのユーザープロビジョニングを使用すると、Enterpriseアカウントや管理方法の設定に通常費やす時間を節約できます。 Wrikeは、お客様のディレクトリから新規ユーザーがSSO経由でWrikeにログインするたびに、お客様のアカウントにユーザープロフィールを作成します。追加で招待を送る必要はありません。 社内ディレクトリから削除された従業員は、会社のWrike利用プランに自動的にアクセスできなくなりますが、そのタスクや活動履歴の記録はそのまま残ります。
-
統一されたユーザー名形式。ユーザーIDは一元的に管理されるため、WrikeユーザーIDはがディレクトリ名と一致します。
-
社内のセキュリティガイドラインへの準拠。 IT管理者は、認証をより細かく制御できます。 ユーザーが自分で名前やメールアドレスを変更することはできません。 社内で採用しているセキュリティポリシーは、Wrikeにも適用されます。
-
ユーザーのパスワード疲労を軽減。一度企業ネットワークにログインすると、別のログイン認証を入力することなくWrikeを開くことができます。
-
SSOが提供するアクセスのしやすさは、Wrikeのシームレスな導入を促進します。 また、ログインアクティビティを監視し、収集したSSOメトリクスをWrikeの導入状況の追跡に利用することもできます。
SSO/SAML連携を有効にすると、SSOに含まれるユーザーは以下の操作を実行できなくなります:
-
Wrikeでの名前の編集。氏名はIDプロバイダーによって割り当てられます。
-
Wrikeプロフィールからのメールアドレスの変更。これには、アドレスの追加も含まれます。 ただし、Wrikeの管理者がこれを実行できる条件として、ユーザーが新しいアドレスを確認でき、かつ元のメールアドレスを使用してWrikeにログインし、元のメールアドレスの受信トレイにアクセスして確認リンクをクリックする必要があります。 それ以外の場合は、管理者がサポートに連絡し、ユーザーのメールアドレスを変更する必要があります。 アカウントオーナーのメールアドレスは、サポートへの連絡によってのみ変更可能です。
-
Wrikeによる2段階認証の有効化。このセキュリティ機能でアカウントを保護する場合は、IDプロバイダーで設定する必要があります。
-
Wrikeパスワードを使用したWrikeへのログイン。原則として、ブラウザーでWrikeにアクセスしようとすると、IDプロバイダーが管理するログインページにリダイレクトされます。 一部の統合ツールは、SSOをネイティブでサポートしていません(バックアップツールや従来のAPI-v2アプリなど)。 SSOユーザーは、これらのツールを承認するためにワンタイムパスワードを生成する必要があります。
SSOの設定方法は、Wrikeをどのように使用しているか(または使用する予定か)によって異なります。
-
オプションモード:このモードでは、アカウント内のすべてのユーザーがパスワードかIDPベースのログインを使用してログインできるようになります。 このオプションはデフォルトで設定されており、新しいSSO連携をテストするのに便利です。 アカウント全体にSSOを適用する前に、まずはこのオプションから始めて、すべてが正しく動作することを確認することをお勧めします。
補足事項
このオプションモードでは、login.wrike.com/loginページは、そのアカウントにSAML SSOが設定されていない場合のように、ユーザーに通常のログインを求めます。
SAML SSOのフローを実行するには、login.wrike.com/ssoページを使用します。
-
Wrikeを会社の従業員のみが使用する場合:SSOはアカウントのすべてのユーザーに対して有効にできます。
-
Wrikeを従業員と非従業員の両方で使用する場合:メールのドメインに基づいてユーザーにSSOを有効にすることができます。
補足事項
この場合、SAML SSOを有効にする前に、[アカウント管理] セクションの [セキュリティ] タブからメールドメインを追加して承認する必要があります。 承認されるためには、メールドメインが会社に属している必要があります。
承認されたメールドメインを持つアドレスのユーザーはSSO経由でWrikeにログインでき、承認されたメールドメインを持たないアドレスのユーザーはWrikeのユーザー名とパスワードでログインします。 2段階認証を有効にすると、承認されたドメインを持たないユーザーに対して、より安全なログインオプションを提供できます。
SSOを有効にした後に承認済みドメインを追加する場合、管理者は前述のプロセスに従う必要があります。
ほとんどの場合、ドメインのドメイン名システム(DNS)レコードを更新する必要があるため、承認プロセスにはシステム運用チームの協力が必要となります。 SAMLを有効にする前に承認済みドメインを追加して、SAMLを有効化したときにすぐに適用されるようにすることをお勧めします。
SSOを有効にする前に、次のことを確認することが重要です:
-
各ユーザーのWrikeアカウントに関連付けられているメールアドレスが、会社ディレクトリのメールアドレスと一致する。
-
このアカウントでSSOがまだ有効になっていない。 確認する手順:
-
プロフィール写真をクリックします。
-
ドロップダウンから設定を選択します。
-
左側のパネルでセキュリティをクリックします。
-
セキュリティページで、SAML SSOセクションまでスクロールします。
-
SAML SSOヘッダーの近くに無効タグが表示されていることを確認します。
-
さらに、互換性の確認も必要です:
-
IDプロバイダーまたはSSOプロバイダーがSAML 2.0を使用した連携認証をサポートしていることを確認します。 互換性のあるSSOソリューションには、Okta、OneLogin、PingFederate、Microsoft AD FS、Google Apps identity serviceなどがありますが、これらに限定されません。 Oktaが提供するID管理サービスを使用している場合は、こちらの手順に従ってWrikeをアプリケーションの一覧に追加できます。
-
アカウントにカスタムSAMLベースのSSOを設定するには、Wrikeが使用する標準パラメータとオプションに関するメタデータファイルを参照してください。 次のユーザー属性を含める必要があります:firstName;lastName;NameID (メールアドレスである必要があります)。
-
プロフィール写真をクリックします。
-
ドロップダウンから設定を選択します。
-
左側のパネルでセキュリティをクリックします。
-
セキュリティページで、SAML SSOセクションまでスクロールします。
-
SAML SSOの設定ボタンをクリックします。
-
表示されるウィンドウで、Wrikeメタデータを使用してIDプロバイダーを設定し、続行をクリックします。
-
次に、プロバイダーからメタデータを指定するよう求められます。 次の2つのオプションから選択できます:
-
XMLを提供するリンクを入力する
-
XMLをテキストとして入力する
-
-
次へをクリックします。
-
正しいパラメータが選択されていることを確認し、続行してSAMLを有効化ボタンをクリックして決定を確定します。
-
SSOの実装を確認するコードが記載されたメールが送信されます。
-
表示されるポップアップウィンドウにメールに記載されたコードを入力します。
-
確定をクリックします。
-
(オプション)新しいアカウント設定をテストします。
-
SAMLの設定を保存ボタンをクリックします。
SSOを有効にしたら直ぐに、ユーザー受け入れテストを実施し、さまざまなユースケースをテストすることをお勧めします。 有効にした後のSSOの使用につい詳しくは、SAMLを使用したシングルサインオンに関するページを参照してください。
補足事項
承認済みメールドメインを追加するには、システム運用チームの支援が必要な場合があります。
-
Wrike作業スペースの右上隅にあるプロフィール画像をクリックします。
-
ドロップダウンから設定を選択します。
-
左側のパネルでセキュリティをクリックします。
-
承認済みドメインセクションまでスクロールします。
-
ドメインの追加をクリックし、適切なメールドメインを入力します。
-
追加をクリックします。
-
ポップアップウィンドウが表示され、ドメインの承認手順が示されます。
-
表示される指示に従います。 ドメインの承認には最大24時間かかる場合があり、システム運用チームの支援が必要になる場合もあります。
-
変更を保存するをクリックします 。
-
確認コードが記載されたメールが、メインメールアドレス宛に送信されます。
-
メールに記載されたコードをコピーして、表示されたポップアップに貼り付けます。
-
確定をクリックします。
複数のWrikeアカウントを持ち、同一のIDP経由でSAMLベースのSSOを有効にしている大企業チームは、すべてのアカウントを1つのネットワークに統合できます。 これにより、ユーザーはIDP経由で企業の認証情報を使用して、接続されているすべてのWrikeアカウントへの招待を受け取ったり、参加したりできます。
注意:このスキームの実装にはいくつかの前提条件があり、Wrikeカスタマーサポートでのみ有効にすることができます。 詳細については、Wrikeカスタマーサポートにお問い合わせください。