シングルサインオン (SSO) の設定

Okta や OneLogin などの IDP を使用してユーザー認証を管理している場合、Fastly のシングルサインオン（SSO）機能を有効にすると、組織のユーザーがメールアドレスやパスワードの代わりに IDP を使用して Fastly コントロールパネルにサインインすることを許可または要求することができます。

前提条件

SSO を有効にする、または組織のすべてのユーザーが Fastly コントロールパネルにログインする際に SSO を適用する場合、以下の条件を満たす必要があります。

• Fastly アカウントのスーパーユーザーのロールを割り当てられている
• IdP の管理コンソールにアクセスすることができる

さらに、ご使用の IdP が以下をサポートしている必要があります。

• Security Assertion Markup Language 2.0 (SAML 2.0)
• サービスプロバイダー を起点とする (SP-Initiated) SSO
• IdP を起点とする (IdP-initiated) SSO

SSO を有効にする前に、この機能の制約事項を確認してください。

SSO を有効にする

まず IdP を選択し、前提条件を考慮しながらプロバイダーの設定を構成します。Fastly コントロールパネルで使用するために、IdP の SAML 設定を含むメタデータファイルを取得する必要があります。

1. Fastly コントロールパネルにログインします。

2. Account > Single sign-on に移動します。

3. Add SAML Configuration をクリックします。

4. メニューからお客様の組織が使用している IdP を選択します。

   

5. Fastly コントロールパネルに表示される設定の詳細を使用して、IdP の管理コンソールで新しい SAML 2.0 アプリケーションを作成し、そのアプリケーションを新規および既存のユーザに割り当てます。詳細については、ご利用の IdP のドキュメントを参照してください。

6. IdP で SAML 2.0 アプリケーションを作成した後、アプリケーションの SAML 設定を含む XML メタデータファイルをダウンロードします。この XML ファイルには、SAML アサーションの署名を検証するための公開証明書が含まれています。

7. IdP のメタデータファイルをアップロードします。ファイルを指定された場所にドラッグアンドドロップするか、ファイル選択画面を開いてファイルを選択してアップロードすることができます。

   

8. Save and Enable SSO をクリックします。 メタデータが保存され、SSO が有効であることが SSO セクションに表示されます。

お客様の組織で SSO を必須にする

スーパーユーザーを除く組織のユーザー全員で SSO を必須にするには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。

2. Account > Single sign-on に移動します。

   

3. Immediately enforce SSO のチェックボックスにチェックを入れます。ユーザー、請求担当者、またはエンジニアのロールが割り当てられているユーザーの現在開いている非 SSO セッションはログアウトされ、お客様の IdP 経由で SSO を使用して再認証する必要があります。

SSO の有効化によるアカウントタスクへの影響

組織で SSO が有効化されると、Fastly コントロールパネルで利用可能な機能が異なる場合があります。このセクションでは、その違いについてご説明します。

• メールアドレスとパスワードの変更。 SSO では、Fastly のユーザーのメールアドレスが IdP のものと一致する必要があるため、SSO を使用してログインしている間は、メールアドレスの変更はできません。また、パスワードの変更や2要素認証の有効化もできなくなります。

• API トークンの作成。 SSO を使用して Fastly コントロールパネルにログインしながら API トークンを作成するには、IdP での再認証が必要になります。API トークンの作成手順に従い、Create a Token ページの Re-Authenticate ボタンをクリックします。

  注意

  G Suite を使用して認証を行う場合、API トークンを作成することはできません。

• セッションの管理。 SSO または ユーザー名とパスワードを使用して Fastly コントロールパネルにログインして作成されたセッションは、3時間後に期限切れになります。

SSO プロバイダーの変更

SSO プロバイダーを変更するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。
2. Account > Single sign-on に移動します。
3. Options メニューから Change your SAML configuration を選択します。
4. 確認ウィンドウで、Confirm, Disable SSO and Delete をクリックします。
5. SSO を有効にするのセクションにある指示に従ってください。

SSO の無効化

永久的または一時的に組織の SSO を無効にするには（SSO プロバイダーでサービス障害が発生している場合など）、以下の手順に従ってください。 SSO を無効化しても、SSO 設定は削除されません。SSO を初めて有効にした際にアップロードした IdP 設定メタデータを使用すれば、いつでも SSO を有効化できます。

1. Fastly コントロールパネルにログインします。

2. Account > Single sign-on に移動します。

   

3. 組織の SSO を無効にするには、Single sign-on スイッチをクリックします。

4. 確認ウィンドウで、Disable SSO をクリックします。 SSO は無効になり、組織のユーザーに適用されなくなります。ご自身のセッションを含む、すべてのアクティブな SSO セッションが無効になり、ユーザーは Fastly コントロールパネルから自動的にログアウトされます。

制約と考慮事項

Fastly の SSO 機能には以下の制限事項があります。

• セッションの認証に G Suite SSO を使用している場合、Fastly コントロールパネルで API トークンを作成することはできません。
• Fastly は、Fastly アカウントに対して SCIM を使用するユーザーの自動プロビジョニングとプロビジョニングの解除をサポートしていません。Signal Sciences アカウントに対して SCIM を有効にするには、ユーザー管理の自動化に関する Fastly のガイドをご覧ください。

また、SHA-1 暗号アルゴリズムは米国標準技術研究所 (NIST) によって廃止されているため、SHA-256 など、ハッシュ関数の SHA-2 ファミリなのようなより高度で安全が強化されているものにアップグレードすることを推奨しています。 NIST が推奨する段階的廃止の期限前に、SSO セットアップでの SAML 証明書署名にこれらのより高度なアルゴリズムを使用またはアップグレードすることを検討してください。