組織のSSO設定

スイート

Customer Experience Employee Experience Strategy & Research

製品

Qualtrics

このページの内容

組織のSSO設定について

ブランド管理者は、SAMLおよびOAuth 2.0のシングルサインオン（SSO）接続を作成し、管理することができます。新しい接続の追加、既存の接続の証明書の更新、ジャストインタイムプロビジョニング設定の変更などが可能になります。これらの接続を使用することで、組織に所属するユーザーがクアルトリクスのアカウントにログインする方法や、利用可能なアンケートの認証オプションを管理できます。始めるには、以下の手順に従います。

管理ページに移動します。

組織の設定に移動します。

認証を選択します。

ヒント：SSO設定は、組織設定の認証セクションに移動されました。

ヒント：SAMLまたはOAuth 2.0 SSOを初めて設定する際は、ご自身でセルフサービスポータルを利用して実装することも、経験豊富なコンサルタントによる支援を契約することも可能です。実装コンサルタントのサポートを希望する場合は、営業担当までお問い合わせください。

ヒント：この場合はクアルトリクスがSP（サービスプロバイダー）として機能します。しかしIdP（アイデンティティプロバイダー）の設定はご自身のITチームと連携して行う必要があります。

接続の追加

すべての手順と設定の詳細については、組織のSSO接続の追加を参照してください。

組織ログイン用のSSO接続の管理

このセクションでは、組織のユーザーログインを制御するために、SSO接続を有効または無効にする方法について説明します。

[Your Organization ID]のクアルトリクスログインという項目の接続が表示されます。この接続を無効にすると、すべてのユーザーはSSO経由でログインする必要があり、クアルトリクスのユーザー名とパスワードでログインするオプションは利用できなくなります。

ヒント：組織のSSO認証情報を持たない外部コンサルタントと作業する際は、多くの場合このオプションを有効にする必要があります。

警告：接続を無効にすると、全ユーザーベースのログインが無効になります。SSO接続が無効になると、ユーザーは別のクアルトリクスのユーザー名とパスワードを使ってログインする必要があります。接続を無効または有効にする際には、ユーザーベースへの影響を考慮してください。

最初に新しく接続を追加すると、［組織のログインに使用］欄はデフォルトで無効になっています。SSO接続を組織ログイン用に有効にすると、そのライセンスに属するすべてのユーザーがSSOログインを使用できるようになります。

警告：接続を有効にする前に、必ず接続の実装を完了しログインのテストが正常に行われていることを確認してください。

ヒント：一度に最大20件の接続を追加し、有効にできます。

接続を有効化/無効化を完了すると、組織のURL（https://OrganizationID.qualtrics.com）は、次のいずれかになります：

クアルトリクスログインのみが有効になっている場合

有効化されている組織ログインの接続が［[自分らしくいられること]のクアルトリクスログイン］のみの場合、組織URL（https://OrganizationID.qualtrics.com）はクアルトリクスの標準ログイン画面にリダイレクトされ、すべてのユーザーはクアルトリクスのユーザー名とパスワードで認証を行うことになります。

SSO接続が1つしか有効でない場合

「[自分らしくいられること]のクアルトリクスログイン」の接続が無効で、かつ組織のログイン用にSSO接続1つのみが有効になっている場合、ユーザーが組織のURLにアクセスすると、自動的にSSO認証フローへリダイレクトされます。すべてのユーザーはSSO経由でログインする必要があります。

ヒント：アクティブなSSOセッションがない場合、SSOログインページが表示されます。現在すでにSSOで認証済みの場合、自動的にプラットフォームにログインされることがあります。

複数のSSO接続が有効になっている場合

［[Your Organization ID]のクアルトリクスログイン］接続が無効になっていて、組織ログイン用に複数のSSO接続が有効化されている場合、自分の組織URLにアクセスすると、有効なすべてのSSO接続の一覧が表示されます。ユーザーは、どのSSO接続で認証するかを選択する必要があります。

複数のログイン接続が有効になっている場合に表示される、2つのオプションを備えたログインページ

SSO接続が有効で、クアルトリクスログインが有効になっている場合

［[Your Organization ID]のクアルトリクスログイン］接続が有効かつ組織ログインに複数のSSO接続が有効になっている場合、全オプションが表示されるランディングページにリダイレクトできます。このオプションを有効にすると、組織URLにアクセスした際に、有効になっているすべてのSSO接続と、クアルトリクスログインオプションを確認できます。ユーザーは希望する認証方法を選択する必要があります。

このランディングページを有効にするには、以下の手順に従います。

［[組織ID]のクアルトリクスログイン］という名前の接続を見つけます。

編集を選択します。

組織URLで接続を有効化を選択します。

適用をクリックして変更を保存します。

このオプションを選択しない場合、組織URLがSSO認証フローにリダイレクトされます。SSOなしでログインしたいユーザーは、以下のリンクのいずれかを使用できます。

FedRAMPユーザー：https://gov1.qualtrics.com
その他のユーザー：https://qualtrics.com/login

ヒント：組織にバニティURLが設定されている場合、そのバニティURLがブランドURLの代わりに使用されます。

アンケート調査の認証のためのSSO接続の管理

SSOタブのアンケートの認証機能の欄で、有効になっている接続が強調表示されているスクリーンショット

最初に新しく接続を追加すると、アンケートの認証機能に使用欄はデフォルトで無効になっています。アンケートの認証機能に対してSSO接続を有効にすると、そのSSOログインがアンケートの認証機能の選択可能なオプションとして利用できるようになります。

ヒント：アンケート認証に接続を追加、および有効化できるのは、一度につき最大20件までです。

警告：接続を有効にする前に、接続が完全に実装され、ログインテストを完了していることを確認してください。

警告：現在SSO接続を利用しているプロジェクトがある状態でアンケート認証用のSSO接続を無効化すると、アンケート回答者はエラーページにリダイレクトされます。

デフォルトのSAML SSO接続

特定のSAML接続が指定されていないリクエストをクアルトリクスが受信した場合は、デフォルトのSAML接続が使用されます。これは、IdPから開始されたログインリクエストにおいて特に重要です。

デフォルト組織ログインSAML接続：IDプロバイダーからのSAMLレスポンスが新しいリレーステート形式ではなく旧形式を使用している場合、IdP主導のSAMLフローにおいて、デフォルトの組織ログイン接続が使用されます。
認証機能のデフォルトSAML接続：2021年12月1日以前にSSO認証で設定されたアンケートをサポートするには、このデフォルトが必要です。このアップデート以前に作成されたアンケート調査は、認証機能のデフォルト接続に関連付けられます。

既存の接続の管理

［組織の設定］タブの［SSO］セクションには、ライセンス内に構成された接続の概要が表示されます。新しい接続を追加、接続の削除または無効化、既存の接続の編集、セットアップ中の接続テストが可能です。

リストアップされた各接続には、ステータスの有効／無効を切り替えるトグル、接続名、編集ボタン、テストボタン、削除ボタンがあります

接続の有効化/無効化

組織のログインに使用欄で、接続の無効と有効を切り替えることができます。関連する詳細や警告については、組織ログイン用のSSO接続の管理を参照してください。

アンケートの認証機能に使用の欄で、接続を無効と有効に切り替えることができます。関連する詳細や警告については、アンケート認証のためのSSO接続の管理を参照してください。

接続の編集、テスト、削除

アクション欄にある3つの点をクリックすると、接続の削除、編集、テストのオプションが表示されます。

編集：接続の設定を変更します。このオプションは、証明書の更新の際に特に便利です。
注意：有効な接続を編集する際は、ユーザーベースのログインに影響を与える可能性のあるフィールドは特に注意して編集してください。
テスト： 接続をテストし、意図したとおりに動作することを確認します。詳しくはリンク先をご覧ください。
削除：削除をクリックすると、その接続は完全に削除されます。このボタンをクリックすると、警告メッセージを表示するモーダルが開きます。アクションを確定するには、このモーダルで削除をクリックする必要があります。
警告：接続を削除する際は、ユーザーベースに影響が出る場合がありますのでご注意ください。接続が削除されると、元に戻すことはできません。

ヒント：ステータスが無効に切り替わるまで、接続を削除することはできません。ユーザーに影響がないことを確認するまでは接続を削除しないでください。

IdP証明書の更新

証明書は一定期間ごとに期限切れになるため、クアルトリクスログイン用の証明書が最新かどうかをIT部門に確認する必要があります。古い証明書の期限が切れる前に、ITチームと協力して新しい証明書を追加し、更新が正常に行われたことを確認するために接続テストを実施します。

ヒント：暗号化証明書をお持ちの場合は、署名証明書も持っていたとしても、以下の［証明書］セクションに記載された手順には従わないでください。代わりに、新しいIdPメタデータの完全コピーをアップロードし、バインドを再び選択します。

署名証明書のみをお持ちの場合は、以下の手順に従ってください：

［管理］の組織の設定に移動します。

認証に移動します。

証明書の更新を希望するSSO接続の隣にあるアクションドロップダウンをクリックし、編集を選択します。

証明書セクションまでスクロールします。

証明書を追加をクリックします。

新しい証明書を証明書ボックスに貼り付けます。

追加をクリックします。

証明書タイプとして署名リクエストを選択します。

ヒント：このオプションをオンにすると、クアルトリクスがアイデンティティプロバイダーに送信するリクエストに署名します。これにより、そのリクエストがクアルトリクスから送信されたものであり、メッセージを傍受した第三者によるものではないことを証明できます。このオプションは、HTTPポストのシングルサインオンサービスバインディングを選択した場合は常に有効になります。

必要に応じて、認証を強制を選択します。

ヒント：このオプションをオンにすると、アイデンティティプロバイダーがこのオプションに対応している場合は、すでにログインしているユーザーに対しても認証が強制されます。

必要であれば、アサーション再生防止を有効化を選択します。

ヒント：このオプションをオンにすると、クアルトリクスは一度処理済みのアサーションを再び使用しません。これは、SAMLリプレイ攻撃を防ぐ1つの方法です。

ページの一番下までスクロールし、適用をクリックして変更を保存します。

接続をテストして、証明書が正しく更新されたことを確認します。

SSO接続の横に表示される［アクション］ドロップダウン内の［テスト］と［編集］オプション

編集をクリックします。

証明書セクションまでスクロールします。

古い証明書の横にある［ごみ箱］アイコンをクリックして削除します。

ヒント：以前のテストが失敗した場合は、代わりに新しく追加された証明書を削除し、それが正しいことを再確認した後に、もう一度上記の手順を繰り返して追加します。

完了したら、適用をクリックします。

接続のテスト

SSO接続を設定した後は、意図したとおりに動作しているかどうかをテストすることができます。接続のテストをクリックして開始します。

ブラウザで新しいタブが開き、認証を行うためにIdPにリダイレクトされます。ログインが成功すると、SSOを交換してIdPから取得した属性とその値が表示されるページへリダイレクトされます。

SSOのテストが成功し、取り込まれたすべてのフィールドがリストアップされたページ

ログインに失敗するとエラーメッセージが表示されます。基本的な手順については、トラブルシューティングセクションをご覧ください。

ヒント：有効な接続と無効な接続の両方をテストすることができます。有効化する前に、すべての接続をテストすることをお勧めします。

トラブルシューティング

接続テスト中にエラーメッセージが表示された場合は、コードをクリックするか、以下のリストを参照して、そのエラーの詳細および考えられる原因を確認します。

問題が解決できない場合は、カスタマーサクセスハブにログインしてサポートを依頼してください。SSOチームによる対応にはエラーコードが必要です。

一般的なSSOエラーコード

SSO_UNKNOWN_ERROR：不明なエラーが発生しました。再度ログインを試みるか、サポートに連絡して生成されたエラーコードをお知らせください。
SSO_SPS_CONNECTION_ERROR：エラーが発生しました。Cookieやキャッシュをクリアして、再度ログインしてください。

SAMLエラー

SSO_MISSING_USERNAME：サーバーからのSSOレスポンスに、ユーザー名またはメール属性値が見つかりませんでした。この属性は必須のため、SAMLレスポンスの［属性記述］セクションに、SSO接続設定の［ユーザー名］フィールドに一致する属性が含まれていることを確認してください。
ヒント：たとえば、ログインを試みたユーザーのメールアドレスが、ユーザープロビジョニングオプションで設定された有効なメールドメインと一致していない場合にこの問題が発生することがあります。
SSO_SAML_MISSING_SSO_BINDING：SAML設定にシングルサインオンのバインディングURLが見つかりませんでした。この値はSP発信型ログインに必須のため、SSO接続設定を確認してから再試行してください。
SSO_SAML_INVALID_DECRYPTION_CERT：SAMLレスポンスの復号中にエラーが発生しました。アイデンティティプロバイダーの暗号化証明書が、SSO接続用に生成されたサービスプロバイダーのメタデータファイルの暗号化証明書と一致しているかどうかを確認してください。
SSO_SAML_INVALID_AUDIENCE_RESTRICTION：SAMLレスポンスのオーディエンス制限でエラーが発生しました。正しい値がアイデンティティプロバイダーに設定されているか確認してください。これは、SSO接続用に生成されたサービスプロバイダーのメタデータファイルに記載されているアサーションコンシューマサービスのロケーションと一致する必要があります。
SSO_SAML_INVALID_RECIPIENT：SAMLレスポンスの受信者URLにエラーが発生しました。正しい値がアイデンティティプロバイダーに設定されているか確認してください。これは、SSO接続用に生成されたサービスプロバイダーのメタデータファイルに記載されているアサーションコンシューマサービスのロケーションと一致する必要があります。
SSO_SAML_VALIDATION_ERROR：SAMLレスポンスの検証中にエラーが発生しました。アイデンティティプロバイダーの設定とクアルトリクスのSSO接続設定を確認して、再試行してください。

OAuth 2.0のエラー

さまざまな用語の意味については、OAuth 2.0接続の作成を参照してください。

SSO_OAUTH_INVALID_ID_TOKEN：IDトークンの検証中にエラーが発生しました。［公開鍵エンドポイント］、［トークン発行者］、およびIDトークンの署名に使用されたアルゴリズムを確認し、再試行してください。
SSO_OAUTH_INVALID_OR_MISSING_EMAIL_DOMAIN：ログインしようとしているユーザーのメールアドレスが、有効なメールドメインと一致していません。ユーザープロビジョニングオプションの［有効なメールドメイン］フィールドを確認して、再試行してください。
SSO_OAUTH_USER_INFO_ERROR：トークンによるユーザー情報の取得でエラーが発生しました。［ユーザー情報エンドポイント］と［認証要求タイプバインドタイプ］の各フィールドを確認してから再試行してください。
SSO_OAUTH_ACCESS_TOKEN_ERROR：アクセストークンの取得でエラーが発生しました。［クライアントシークレット］［トークンエンドポイント］［トークンエンドポイント認証方法］の各フィールドを確認してから再試行してください。
SSO_OAUTH_AUTHORIZATION_URI_ERROR：OAuthクライアントリクエストの生成に失敗しました。［クライアントID］［権限エンドポイント］［スコープ］の各フィールドを確認してから再試行してください。

当サポートサイトの日本語のコンテンツは英語原文より機械翻訳されており、補助的な参照を目的としています。機械翻訳の精度は十分な注意を払っていますが、もし、英語・日本語翻訳が異なる場合は英語版が正となります。英語原文と機械翻訳の間に矛盾があっても、法的拘束力はありません。

この記事は役に立ちましたか

いただいたフィードバックはこのページの改善の目的のみに利用します。

素晴らしい！フィードバックありがとうございます！

フィードバックありがとうございます！