ドットコムモニターは、SAML 2.0を使用したSSO(シングルサインオン)ログインをサポートしています。 SAML は、クライアントの ID プロバイダーとドットコムモニターサービス間の認証データの転送を提供します。 すべてのユーザー ログイン情報は、高レベルのセキュリティとより優れたユーザー エクスペリエンスを保証する Dotcom-Monitor ではなく、ID プロバイダー側に格納されます。
システムにアクセス許可グループを設定すると、ドットコムモニターはこれらのグループを ユーザーロ\ール にマップし、それに応じてドットコムモニターシステムへのアクセスを許可します。
この記事では、アクティブ ディレクトリ FS (ADFS) と AZURE アクティブ ディレクトリ (Azure AD) を ID プロバイダーとして使用して SSO を有効にするために必要な手順について説明します。 また、OKTA SAML統合のステップバイステップガイドも提供されています。
一般に、アクティブディレクトリ内のさまざまなアクセス許可レベルを持つ複数のグループにドットコムモニターユーザーを設定することはお勧めできません。 ただし、ユーザーが Dotcom-Monitor の 2 つ以上のアクセス許可レベルに属している場合は、最も低いアクセス許可レベルが、より高いアクセス許可を持つレベルよりも優先されます。 たとえば、ユーザーがドットコムモニタープラットフォーム内で閲覧者(読み取り専用)ロールとパワーユーザーロールを同時に割り当てられている場合、SSO ログイン中に適用されるのは閲覧者ロールのアクセス許可です。
-
アクティブ ディレクトリ FS を使用した SSO
-
Azure アクティブ ディレクトリを使用した SSO
-
SSO と OKTA
部門の SSO の構成
ドットコムモニターアカウント用に作成された部門がある場合は、SSOユーザーがログインするように構成できます。
部門の SSO を有効にするには、AD で Dotcom-Monitor 用に予約されているグループまたはロールの名前に、その部門名をサフィックスとして追加します。 区切り文字として二重ハイフンを使用します。
<AD Group Name>--<Department Name>
ドットコムモニターでSSOを設定するには、次の名前を使用してディレクトリサービスでSSOロールを構成してください。
| AD グループ名 (SSO ロール) | ドットコムモニターでのユーザーの役割 |
| ドットコムMonitor_Administrators | 管理者 |
| ドットコムMonitor_Users | 利用者 |
| ドットコムMonitor_Accounting_Users | 会計 |
| ドットコムMonitor_ReadOnly_Users | 視聴者 |
| ドットコムMonitor_Power_Users | パワーユーザー |
| ドットコムMonitor_Operators | 演算子 |
たとえば、ユーザーが パワー ユーザー ロールのアクセス許可で “AlphaDep” 部門にログインできるようにするには、 ドットコムMonitor_Power_Users AD グループに次のサフィックスを追加します。
«Dotcom-Monitor_Power_Users--AlphaDep»
ADFS グループ名を変更するには、グループを右クリックし、[ 名前の変更] を選択します。 名前を変更したら、ポップアップ ボックスまたはプロパティ > の全般グループ名 > (Windows 2000 以前) からも Windows 2000 以前の名前を変更します。
同じ形式で複数の部署名を1つずつ追加することもできます。 例えば:
«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»
ユーザーが root アカウントにログインできるようにするには、前述のように、部門サフィックスなしで関連する AD グループを指定します。
«Dotcom-Monitor_ReadOnly_Users»
あるユーザーが複数の «Dotcom-Monitor_» の AD グループに含まれ、部門用に SSO が構成されている場合、対応するすべての部門へのログインが有効になります (部署が Dotcom-Monitor アカウントに存在する場合)。
関連項目: SSO を使用したサインイン