シングルサインオン (SSO) の設定

お客様の会社が OktaOneLogin のようなアイデンティティプロバイダー (IdP) を使用してユーザ認証を管理している場合、Fastly のシングルサインオン (SSO) 機能を有効にして、お客様の組織のユーザがメールアドレスとパスワードの代わりに IdP を使用して Fastly コントロールパネルにログインすることを許可または要求することができます。

前提条件

SSO を有効にする、または組織のすべてのユーザーが Fastly コントロールパネルにログインする際に SSO を適用させるようにする場合、以下の条件を満たす必要があります。

  • Fastly アカウントにスーパーユーザーのロールが割り当てられている。
  • IdP の管理コンソールにアクセスできる

さらに、ご使用の IdP が以下をサポートしている必要があります。

  • Security Assertion Markup Language 2.0 (SAML 2.0)
  • IdP を起点とする (IdP-initiated) SSO

また、SSO を有効にする前に、この機能の制約事項をご確認ください。

SSO を有効にする

まず IdP を選択し、前提条件を満たしている上でプロバイダーの設定を行います。Fastly コントロールパネルで使用するために、IdP の SAML 設定を含むメタデータファイルを取得する必要があります。

  1. Fastly コントロールパネルにログインし、ユーザーメニューから Account をクリックします。アカウント情報が表示されます。
  2. Single sign-on リンクをクリックします。Single sign-on のページが表示されます。
  3. Add SAML Configuration ボタンをクリックします。Set up single sign-on ページが表示されます。
  4. メニューからお客様の組織が使用している IdP を選択します。

    アイデンティティプロバイダーを選択し、IdP を設定することが可能な SSO ページのセクション

  5. Fastly コントロールパネルに表示される設定の詳細を使用して、IdP の管理コンソールで新しい SAML 2.0 アプリケーションを作成し、そのアプリケーションを新規および既存のユーザに割り当てます。詳細については、ご利用の IdP のドキュメントをご参照ください。
  6. IdP で SAML 2.0 アプリケーションを作成した後、アプリケーションの SAML 設定を含む XML メタデータファイルをダウンロードします。この XML ファイルには、 SAML アサーションの署名を検証するための公開証明書が含まれています。
  7. IdP のメタデータファイルをアップロードします。ファイルを指定された場所にドラッグアンドドロップするか、ファイル選択画面を開いてファイルを選択してアップロードすることができます。

    IdP のメタデータボックス

  8. Save and Enable SSO ボタンをクリックします。メタデータが保存され、SSO が有効であることが SSO セクションに表示されます。

お客様の組織で SSO を使用する

スーパーユーザーを除く組織のユーザー全員に SSO を適用するには、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインし、ユーザーメニューから Account をクリックします。アカウント情報が表示されます。
  2. Single sign-on リンクをクリックします。Single sign-on のページが表示されます。

    アカウント設定のシングルサインオンページの「Single sign-on」コントロールおよび「enforce SSO」コントロール

  3. Immediately enforce SSO のチェックボックスを選択します。ユーザー、課金管理者、またはエンジニアのロールが割り当てられているユーザーの現在開いている非 SSO セッションはログアウトされ、お客様の IdP 経由で SSO を使用して再認証する必要があります。

SSO の有効化によるアカウントタスクへの影響

組織で SSO が有効化されると、Fastly コントロールパネルで利用可能な機能が異なる場合があります。ここではその違いについてご説明します。

  • メールアドレスとパスワードの変更。 SSO では Fastly のユーザーのメールアドレスが IdP のものと一致する必要があるため、SSO を使用してログインしている間は、メールアドレスを変更することはできません。また、パスワードの変更2要素認証の有効化もできなくなります。

  • API トークンの作成。 SSO を使用して Fastly コントロールパネルにログインした状態で API トークンを作成するには、IdP で再認証する必要があります。API トークンの作成手順に従い、Create a Token ページの Re-Authenticate ボタンをクリックします。

  • セッションの管理。 SSO を使用して Fastly コントロールパネルにログインして作成されたセッションは、非アクティブな状態が12時間続くと無効になります。ユーザー名とパスワードでログインして作成したセッションは、48時間後に無効になります。

SSO プロバイダーの変更

SSO プロバイダーを変更するには、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインし、ユーザーメニューから Account をクリックします。アカウント情報が表示されます。
  2. Single sign-on リンクをクリックします。Single Sign On のページが表示されます。
  3. Options メニューから Change your SAML configuration を選択します。確認メッセージが表示されます。
  4. 確認ウィンドウで Confirm, Disable SSO and Delete ボタンをクリックします。
  5. SSO を有効にするのセクションの指示に従ってください。

SSO の無効化

組織の SSO を無効にするには、以下の手順に従ってください。SSO を無効にしても、SSO の設定は削除されません。SSO を最初に有効化した際にアップロードした IdP 設定のメタデータを使用して、いつでも SSO を再度有効にすることができます。

  1. Fastly コントロールパネルにログインし、ユーザーメニューから Account をクリックします。アカウント情報が表示されます。
  2. Single sign-on リンクをクリックします。Single Sign On のページが表示されます。

    アカウント設定のシングルサインオンページの「Single sign-on」コントロールおよび「enforce SSO」コントロール

  3. 組織の SSO を無効にするには、Single sign-on スイッチをクリックします。確認メッセージが表示されます。
  4. 確認ウィンドウで Disable SSO ボタンをクリックします。SSO は無効になり、組織のユーザーに適用されなくなります。ご自身のセッションを含む、すべてのアクティブな SSO セッションが無効になり、ユーザーは Fastly コントロールパネルから自動的にログアウトします。

SSO を一時的に無効にする

SSO プロバイダーに障害が発生した場合、お客様の組織の SSO を一時的に無効にする必要があります。スーパーユーザーのロールが割り当てられている場合は、メールアドレスとパスワードを使用してログインし、指示に従って SSO を無効にしてください。

制約事項

Fastly の SSO 機能には以下の制約があります。

  • セッションの認証に G Suite SSO を使用している場合、Fastly コントロールパネルで API トークンを作成することはできません。
  • Fastly は現在、サービスプロバイダーを起点とする (SP-initiated) SSO をサポートしていません。
  • Fastly は現在、SSO の自動プロビジョニングとデプロビジョニングをサポートしていません。
Back to Top