シングルサインオン (SSO) の設定
最終更新日 2022-08-03
Okta や OneLogin などの IDP を使用してユーザー認証を管理している場合、Fastly のシングルサインオン(SSO)機能を有効にすると、組織のユーザーがメールアドレスやパスワードの代わりに IDP を使用して Fastly コントロールパネルにサインインすることを許可または要求します。
前提条件
SSO を有効にする、または組織のすべてのユーザーが Fastly コントロールパネルにログインする際に SSO を適用させるようにする場合、以下の条件を満たす必要があります。
- Fastly アカウントのスーパーユーザーのロール割り当てる
- IdP の管理コンソールにアクセスすることができる
さらに、ご使用の IdP が以下をサポートしている必要があります。
- Security Assertion Markup Language 2.0 (SAML 2.0)
- IdP を起点とする (IdP-initiated) SSO
SSO を SSO を有効にする前に、この機能の制約事項を確認してください。
重要
Okta を IdP として使用するカスタム SAML アプリケーションを構築する場合、Okta で設定オプション「Honor Force Authentication」を有効にする必要があります。Okta Application Network で構築済みアプリケーションを使用している場合、設定は静的なままです。この要件の詳細については、Okta の設定ドキュメントをご覧ください。
SSO を有効にする
まず IdP を選択し、前提条件を満たしている上でプロバイダーの設定を行います。Fastly コントロールパネルで使用するために、IdP の SAML 設定を含むメタデータファイルを取得する必要があります。
- Fastly コントロールパネルにログインし、ユーザーメニューから Account をクリックします。アカウント情報が表示されます。
Single sign-on リンクをクリックします。Single sign-on のページが表示されます。
Add SAML Configuration ボタンをクリックします。Set up single sign-on ページが表示されます。
メニューからお客様の組織が使用している IdP を選択します。
Fastly コントロールパネルに表示される設定の詳細を使用して、IdP の管理コンソールで新しい SAML 2.0 アプリケーションを作成し、そのアプリケーションを新規および既存のユーザに割り当てます。詳細については、ご利用の IdP のドキュメントをご参照ください。
IdP で SAML 2.0 アプリケーションを作成した後、アプリケーションの SAML 設定を含む XML メタデータファイルをダウンロードします。この XML ファイルには、SAML アサーションの署名を検証するための公開証明書が含まれています。
IdP のメタデータファイルをアップロードします。ファイルを指定された場所にドラッグアンドドロップするか、ファイル選択画面を開いてファイルを選択してアップロードすることができます。
- Save and Enable SSO ボタンをクリックします。メタデータが保存され、SSO が有効であることが SSO セクションに表示されます。
お客様の組織で SSO を使用する
スーパーユーザーを除く組織のユーザー全員に SSO を適用するには、以下の手順に従ってください。
- Fastly コントロールパネルにログインし、ユーザーメニューから Account をクリックします。アカウント情報が表示されます。
Single sign-on リンクをクリックします。Single sign-on のページが表示されます。
Immediately enforce SSO のチェックボックスを選択します。ユーザー、課金管理者、またはエンジニアのロールが割り当てられているユーザーの現在開いている非 SSO セッションはログアウトされ、お客様の IdP 経由で SSO を使用して再認証する必要があります。
注意
スーパーユーザーのロールに割り当てられたユーザーは、Single sign-on が有効になっているかどうかに関わらず、メールアドレスとパスワードでログインすることができます。
SSO の有効化によるアカウントタスクへの影響
組織で SSO が有効化されると、Fastly コントロールパネルで利用可能な機能が異なる場合があります。このセクションでは、その違いについてご説明します。
メールアドレスとパスワードの変更。 SSO では、Fastly のユーザーのメールアドレスが IdP のものと一致する必要があるため、SSO を使用してログインしている間は、メールアドレスの変更はできません。また、パスワードの変更や2要素認証の有効化もできなくなります。
API トークンの作成。 APIトークンを作成して、SSO を使用して Fastly コントロールパネルにログインする際に、IdP での再認証が必要になります。API トークンの作成手順に従い、Create a Token ページの Re-Authenticate ボタンをクリックします。
注意
G Suite を使用して認証を行う場合、API トークンを作成することはできません。
セッションの管理。 SSO を使用して Fastly コントロールパネルにログインして作成されたセッションは、非アクティブな状態が12時間続くと無効になります。ユーザー名とパスワードでログインして作成したセッションは、48時間後に無効になります。
SSO プロバイダーの変更
SSO プロバイダーを変更するには、以下の手順に従ってください。
警告
組織の SSO 機能を無効にすると、ご自身のセッションを含むすべてのアクティブな SSO セッションが無効になります。ユーザーは自動的に Fastly コントロールパネルからログアウトします。
- Fastly コントロールパネルにログインし、ユーザーメニューから Account をクリックします。アカウント情報が表示されます。
- Single sign-on リンクをクリックします。Single Sign On のページが表示されます。
- Options メニューから Change your SAML configuration を選択します。確認メッセージが表示されます。
- 確認ウィンドウで Confirm, Disable SSO and Delete ボタンをクリックします。
- SSO 有効にするのセクションの指示に従ってください。
SSO の無効化
組織の SSO を無効にするには、以下の手順に従ってください。SSO を無効にしても、SSO の設定は削除されません。SSO を最初に有効化した際にアップロードした IdP 設定のメタデータを使用して、いつでも SSO を再度有効にすることができます。
警告
組織の SSO 機能を無効にすると、ご自身のセッションを含むすべてのアクティブな SSO セッションが無効になります。ユーザーは自動的に Fastly コントロールパネルからログアウトします。
- Fastly コントロールパネルにログインし、ユーザーメニューから Account をクリックします。アカウント情報が表示されます。
Single sign-on リンクをクリックします。Single Sign On のページが表示されます。
組織の SSO を無効にするには、Single sign-on スイッチをクリックします。確認メッセージが表示されます。
確認設定画面で Disable SSO ボタンをクリックします。SSO は無効になり、組織のユーザーに適用されなくなります。ご自身のセッションを含む、すべてのアクティブな SSO セッションが無効になり、ユーザーは Fastly コントロールパネルから自動的にログアウトします。
SSO を一時的に無効にする
SSO プロバイダーに障害が発生した場合、お客様の組織の SSO を一時的に無効にする必要があります。スーパーユーザーのロールに割り当てられた場合、メールアドレスとパスワードを使用してログインするため、SSO を無効にするにはその指示に従ってください。
制約事項
Fastly の SSO 機能には以下の制約事項があります。
- セッションの認証に G Suite SSO を使用している場合、Fastly コントロールパネルで API トークンを作成することはできません。
- Fastly は現在、サービスプロバイダーを起点とする (SP-initiated) SSO をサポートしていません。
- Fastly は現在、SSO の自動プロビジョニングとデプロビジョニングをサポートしていません。