シングルサインオン (SSO) の設定

OktaOneLogin などの IDP を使用してユーザー認証を管理している場合、Fastly のシングルサインオン(SSO)機能を有効にすると、組織のユーザーがメールアドレスやパスワードの代わりに IDP を使用して Fastly コントロールパネルにサインインすることを許可または要求します。

前提条件

SSO を有効にする、または組織のすべてのユーザーが Fastly コントロールパネルにログインする際に SSO を適用させるようにする場合、以下の条件を満たす必要があります。

  • Fastly アカウントのスーパーユーザーのロール割り当てる
  • IdP の管理コンソールにアクセスすることができる

さらに、ご使用の IdP が以下をサポートしている必要があります。

  • Security Assertion Markup Language 2.0 (SAML 2.0)
  • IdP を起点とする (IdP-initiated) SSO

SSO を有効にする前に、この機能の制約事項を確認してください。

重要

Okta を IdP として使用するカスタム SAML アプリケーションを構築する場合、Okta で設定オプション「Honor Force Authentication」を有効にする必要があります。Okta Application Network で構築済みアプリケーションを使用している場合、設定は静的なままです。この要件の詳細については、Okta の設定ドキュメントをご覧ください。

SSO を有効にする

まず IdP を選択し、前提条件を満たしている上でプロバイダーの設定を行います。Fastly コントロールパネルで使用するために、IdP の SAML 設定を含むメタデータファイルを取得する必要があります。

  1. Fastly コントロールパネルにログインし、アカウントメニューから Account を選択します。アカウント情報が表示されます。
  2. Single sign-on をクリックします。

  3. Add SAML Configuration をクリックします。

  4. メニューからお客様の組織が使用している IdP を選択します。

    アイデンティティプロバイダーを選択し、IdP を設定することが可能な SSO ページのセクション

  5. Fastly コントロールパネルに表示される設定の詳細を使用して、IdP の管理コンソールで新しい SAML 2.0 アプリケーションを作成し、そのアプリケーションを新規および既存のユーザに割り当てます。詳細については、ご利用の IdP のドキュメントをご参照ください。

  6. IdP で SAML 2.0 アプリケーションを作成した後、アプリケーションの SAML 設定を含む XML メタデータファイルをダウンロードします。この XML ファイルには、SAML アサーションの署名を検証するための公開証明書が含まれています。

  7. IdP のメタデータファイルをアップロードします。ファイルを指定された場所にドラッグアンドドロップするか、ファイル選択画面を開いてファイルを選択してアップロードすることができます。

    IdP のメタデータボックス

  8. Save and Enable SSO をクリックします。 メタデータが保存され、SSO が有効であることが SSO セクションに表示されます。

お客様の組織で SSO を使用する

スーパーユーザーを除く組織のユーザー全員に SSO を適用するには、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインし、アカウントメニューから Account を選択します。アカウント情報が表示されます。
  2. Single sign-on をクリックします。

    アカウント設定のシングルサインオンページの「Single sign-on」コントロールおよび「enforce SSO」コントロール

  3. Immediately enforce SSO のチェックボックスを選択します。ユーザー、課金管理者、またはエンジニアのロールが割り当てられているユーザーの現在開いている非 SSO セッションはログアウトされ、お客様の IdP 経由で SSO を使用して再認証する必要があります。

SSO の有効化によるアカウントタスクへの影響

組織で SSO が有効化されると、Fastly コントロールパネルで利用可能な機能が異なる場合があります。このセクションでは、その違いについてご説明します。

  • メールアドレスとパスワードの変更。 SSO では、Fastly のユーザーのメールアドレスが IdP のものと一致する必要があるため、SSO を使用してログインしている間は、メールアドレスの変更はできません。また、パスワードの変更2要素認証の有効化もできなくなります。

  • API トークンの作成。 APIトークンを作成して、SSO を使用して Fastly コントロールパネルにログインする際に、IdP での再認証が必要になります。API トークンの作成手順に従い、Create a Token ページの Re-Authenticate ボタンをクリックします。

    注意

    G Suite を使用して認証を行う場合、API トークンを作成することはできません。

  • セッションの管理。 SSO を使用して Fastly コントロールパネルにログインして作成されたセッションは、非アクティブな状態が12時間続くと無効になります。ユーザー名とパスワードでログインして作成したセッションは、48時間後に無効になります。

SSO プロバイダーの変更

SSO プロバイダーを変更するには、以下の手順に従ってください。

警告

組織の SSO 機能を無効にすると、ご自身のセッションを含むすべてのアクティブな SSO セッションが無効になります。ユーザーは自動的に Fastly コントロールパネルからログアウトします。

  1. Fastly コントロールパネルにログインし、アカウントメニューから Account を選択します。アカウント情報が表示されます。
  2. Single sign-on をクリックします。
  3. Options メニューから Change your SAML configuration を選択します。
  4. 確認ウィンドウで、Confirm, Disable SSO and Delete をクリックします。
  5. SSO 有効にするのセクションの指示に従ってください。

SSO の無効化

組織の SSO を無効にするには、以下の手順に従ってください。SSO を無効にしても、SSO の設定は削除されません。SSO を最初に有効化した際にアップロードした IdP 設定のメタデータを使用して、いつでも SSO を再度有効にすることができます。

警告

組織の SSO 機能を無効にすると、ご自身のセッションを含むすべてのアクティブな SSO セッションが無効になります。ユーザーは自動的に Fastly コントロールパネルからログアウトします。

  1. Fastly コントロールパネルにログインし、アカウントメニューから Account を選択します。アカウント情報が表示されます。
  2. Single sign-on をクリックします。

    アカウント設定のシングルサインオンページの「Single sign-on」コントロールおよび「enforce SSO」コントロール

  3. 組織の SSO を無効にするには、Single sign-on スイッチをクリックします。

  4. 確認ウィンドウで、Disable SSO をクリックします。 SSO は無効になり、組織のユーザーに適用されなくなります。ご自身のセッションを含む、すべてのアクティブな SSO セッションが無効になり、ユーザーは Fastly コントロールパネルから自動的にログアウトします。

SSO を一時的に無効にする

SSO プロバイダーに障害が発生した場合、お客様の組織の SSO を一時的に無効にする必要があります。スーパーユーザーのロールに割り当てられた場合、メールアドレスとパスワードを使用してログインするため、SSO を無効にするにはその指示に従ってください。

制約事項

Fastly の SSO 機能には以下の制約事項があります。

  • セッションの認証に G Suite SSO を使用している場合、Fastly コントロールパネルで API トークンを作成することはできません。
  • Fastly は現在、サービスプロバイダーを起点とする (SP-initiated) SSO をサポートしていません。
  • Fastly は現在、SSO の自動プロビジョニングとデプロビジョニングをサポートしていません。

翻訳についての注意事項
このガイドは役に立ちましたか?

このフォームを使用して機密性の高い情報を送信しないでください。サポートが必要な場合は、サポートチームまでご連絡ください。このフォームは reCAPTCHA によって保護されており、Google のプライバシーポリシー利用規約が適用されます。