# SAML シングルサインオンを有効にする アカウント管理者は有効化できます [SAML シングルサインオン(SSO)](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language) アカウントユーザーが、対応している ID プロバイダー(IDP)または固有のサインインリンクを通じて、ブランドの impact.com アカウントにアクセスできるようにします。お好みの方法を選択してください。 SAML SSO は、impact.com と ID プロバイダーとの接続を使用します。impact.com は現在、次のプロバイダーをサポートしています: * AD FS * Okta * OneLogin * Microsoft Entra ID #### SAML SSO を有効にする {% hint style="warning" %} **警告:** すでに SAML SSO が有効になっていてプロバイダーを切り替えたい場合は、当社のテクニカルサービスチームの支援が必要です。あなたが [チケットを起票する](https://impact.atlassian.net/servicedesk/customer/portal/6/group/1088)前に、既存の IDP メタデータファイルをローカルデバイスに保存し、移行が必要なユーザー名の一覧を準備してください。 {% endhint %} {% stepper %} {% step %} #### **ステップ 1: IDP メタデータファイルをアップロードする** 開始する前に、 **IDP メタデータファイル** を .XML 形式で用意しておいてください。このファイルを impact.com にアップロードする必要があります。 1. 上部ナビゲーションバーから ![](https://1458456015-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-1183576591b45997efe4dc81a25024640591d02a%2F245137dc972a7a7f6165b59538fcdbac8fd5bd8fee4ba9f20c1a2982c5b58b57.svg?alt=media) **\[ユーザープロフィール] → 設定**. 2. 左側の列で、 *一般* の下にある **アカウントユーザー認証**. 3. の横で、 *認証タイプ* の項目を選択し、 ![](https://1458456015-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-b5e1740618ed6571d97b8fed7c25a7678f85d375%2F299632fb6f4f91fbf9847471754cc6180e4284a65b4960af4c4ea472a159f552.svg?alt=media) **\[チェックボックス] SAML** を使用して、 ![](https://1458456015-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-df93ac0f80fc5cece7983980a5ce3fbcf19aabce%2F3ef9d737089bc07dbb7e4fd41a97edfbaec261e4f55ab3a1666f3daf957f69c3.svg?alt=media) **\[ドロップダウンメニュー]** で ID プロバイダーを選択します。 4. ファイルピッカーを使用して .XML メタデータファイルを見つけ、 **アップロードしてください**. 5. 画面下部で、 **保存**.
{% endstep %} {% step %} #### **ステップ 2: アカウントユーザー向けに SAML SSO を有効にする** SAML SSO を使用する各個別ユーザーについて、以下の手順を完了する必要があります: 1. 上部ナビゲーションバーから ![](https://1458456015-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-1183576591b45997efe4dc81a25024640591d02a%2F245137dc972a7a7f6165b59538fcdbac8fd5bd8fee4ba9f20c1a2982c5b58b57.svg?alt=media) **\[ユーザープロフィール] → 設定**. 2. 左側の列で、 *一般* に移動し、 **アカウントユーザー**. 3. を選択します。 **\[詳細] → アクセス権を編集** 4. の *ユーザー登録方法* セクションで、 **SAML**. 5. を選択します。 **保存**.
{% endstep %} {% step %} #### **スライドアウトの下部で、** ステップ 3: SAML SSO によるユーザーサインインを設定する * **ユーザーが SAML SSO で impact.com にアクセスする方法は 2 通りあります:** ID プロバイダー(IDP)経由 * **— IDP 内で接続/コネクタを設定し、それを使ってユーザーをサインインさせます。** ブランドの固有ログインリンク経由 **— IDP 接続経由でサインインしないユーザー向けです。** * **OneLogin** オプション A: ID プロバイダーでサインイン *— OneLogin で、* Impact Partnership Cloud *接続を* OneLogin App Catalog * **で見つけ、画面の指示に従ってアプリを有効化および設定します。** ADFS、Okta、Microsoft Entra ID | — 次の正確な値で新しいカスタム接続を作成します: | フィールド | | --------------------------------- | ---------------------------------------- | | 入力する値 | Single Sign On URL / Reply URL / ACS URL | | | Single Sign On URL / Reply URL / ACS URL | | 受信者 URL | Single Sign On URL / Reply URL / ACS URL | | 宛先 URL | | | Name ID 形式 | EmailAddress | | 応答 | 署名済み | | アサーション署名 | 署名済み | | 署名アルゴリズム | RSA\_SHA1 | | ダイジェスト署名 | SHA1 | | アサーション暗号化 | 暗号化なし | | SAML シングルログアウト | 無効 | | AuthnContextClassRef | PasswordProtectedTransport | * **Microsoft Entra ID** ADFS、Okta、Microsoft Entra ID | — 次の正確な値で新しいカスタム接続を作成します: | フィールド | | ----------------------------------------- | ---------------------------------------- | | Reply URL(Assertion Consumer Service URL) | Single Sign On URL / Reply URL / ACS URL | | Reply URL(暗黙的) | Single Sign On URL / Reply URL / ACS URL | | 識別子(Entity ID) | | | 名前識別子形式(詳細設定 → 「名前識別子形式」) | EmailAddress | | 応答署名オプション(SAML 応答に署名) | 署名済み | | SAML アサーションに署名(オプション) | 署名済み | | 署名アルゴリズム | RSA\_SHA1 | | ダイジェストアルゴリズム | SHA1 | | 暗号化証明書(任意) | 暗号化なし | | シングルログアウト URL | 無効 | | デフォルト AuthnContextClassRef(直接は表示されません) | PasswordProtectedTransport | 入力する値は、上記の値と完全に一致している必要があります。たとえば、 *入力する値* フィールドの末尾に次のようにスラッシュを追加しないでください: `Single Sign On URL / Reply URL / ACS URL`**`/`**、また複数の URL 値を入力しないでください。また、IDP 内のユーザーのメールアドレスが impact.com 上のユーザーのメールアドレスと完全に一致していることも確認してください。 **オプション B: ブランドリンクでサインイン** ユーザーが IDP 経由でサインインしない場合は、固有のブランドログインリンクを使って impact.com アカウントにアクセスできます。このログインリンクを取得するには: 1. 上部ナビゲーションバーから ![](https://1458456015-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-1183576591b45997efe4dc81a25024640591d02a%2F245137dc972a7a7f6165b59538fcdbac8fd5bd8fee4ba9f20c1a2982c5b58b57.svg?alt=media) **\[ユーザープロフィール] → 設定**. 2. 左側の列で、 *ブランディング*で、 **広告主ログインブランディング**. * を選択します。 `ブランドリンクは次のようになります:` 3. から *ログインリンク* フィールドの *ログインリンク* をコピーして保存し、impact.com アカウントのメンバーに配布します。 {% hint style="warning" %} **重要:** このブランドログインリンクの用途は、IDP を使用していないユーザーが impact.com に直接サインインできるようにすることだけです。このリンクを IDP の *Single Sign-On URL / Reply URL / ACS URL* フィールドに入力しないでください。 {% endhint %} {% endstep %} {% endstepper %}