SSOによるユーザーとブランドの管理

SSOによるユーザーとブランドの管理について

シングルサインオン（SSO）を利用すると、ユーザーは自分の組織の内部ログインシステムを使ってクアルトリクスにログインすることができます。この機能には、セキュリティの向上、ユーザーによるシームレスなログイン体験、そしてブランド管理者によるユーザー管理の簡易化という、大きく分けて3つの利点があります。

ユーザーの自動登録

クアルトリクスには、認証に成功したものの、まだクアルトリクスブランドにアカウントを持っていないユーザーに対してユーザーアカウントを作成する機能があります。　ユーザーがSSO経由でクアルトリクスにログインすると、組織のシステムから渡されるユーザー名の値を取得して、クアルトリクスブランド内で一致するアカウントを検索します。同一のユーザー名を持つアカウントが存在しない場合、クアルトリクスシステムはそのユーザーのアカウントを作成します。このプロセスは一般的に「ジャストインタイムユーザープロビジョニング」と呼ばれるものです。

ヒント：ジャストインタイムユーザープロビジョニングを使用の際は、有効なメールドメインの設定が必要です。特定のドメインを指定するか、ワイルドカードのアスタリスク（*）を使用して全ドメインを指定する必要があります。［有効なメールドメイン］フィールドを空白のままにすると、いずれのドメインも有効ではなくなります。

ユーザーが自己登録機能によって作成される場合、クアルトリクスのシステム内でユーザー名の重複が起きないように、クアルトリクスのユーザー名の末尾に「#ブランドID」が追加されます。この末尾の文字列はブランドごとに異なり、ユーザーが所属するクアルトリクスインスタンスのブランドIDを使って生成されます。例えば、ブランドIDが「fakeenvironment」の場合、末尾は「#fakeenvironment」となります。

SSOを導入しているブランドでは、SSOを利用しているユーザーであるかどうかにかかわらず、すべてのユーザー名の末尾に「#ブランドID」を付け加えることが推奨されます。

例：仮にSSO経由でクアルトリクスブランド「fakeenvironment」にログインしようとするユーザーがいたとします。その場合、以下のことが起こります：

ユーザーがSSOでの認証に成功すると、組織のシステムから複数のユーザー属性が渡されます。渡されるユーザー名の値は「johndoe@email.com」となっています。

クアルトリクスシステムは、「fakeenvironment」ブランドにユーザー名「johndoe@email.com#fakeenvironment」のアカウントがすでに存在するかどうかを確認します。

「fakeenvironment」ブランドに、次のいずれかのユーザー名を持つアカウントが存在する場合（リストに挙げた順番で照合されます）、ユーザーはそのアカウントにログインされます：

• 「johndoe@email.com#fakeenvironment」
• 「johndoe@email.com」

ステップ3に記載したユーザー名のどちらかの値を持つアカウントが存在せず、ブランドで自己登録が有効になっている場合、クアルトリクスシステムは、ユーザーのメールアドレスとして渡された値を参照し、そのメールアドレスのドメインが有効なメールドメインのリストに含まれているかどうかを検証します。ユーザーのメールアドレスに有効なドメインが含まれている場合、クアルトリクスシステムはユーザー名「johndoe@email.com#fakeenvironment」でアカウントを作成します。

SSOシステムからユーザーの名と姓の値を取得した場合、クアルトリクスシステムはそれらの値を利用して、ユーザーアカウントに関連付けられた名と姓を入力します。名と姓の値の送信がない場合は、ユーザー名の値が名と姓のフィールドに入力されます。

ヒント：SSOを介してユーザーが自己登録した際にメール通知を受け取りたい場合は、クアルトリクスサポートにお問い合わせください。お持ちのライセンスがSSOセルフサービスを使用している場合、自己登録の際のメール通知のためにクアルトリクスサポートに問い合わせる必要はありませんのでご注意ください。

注意：ジャストインタイムユーザープロビジョニングがブランドで無効になっている場合、ユーザーアカウントはブランド管理者がクアルトリクスで手動で作成する必要があります。アカウントを持っていないユーザーがクアルトリクスブランドにログインしようとすると、プラットフォームへのアクセスが拒否されます。

ログインポータルのカスタマイズ

クアルトリクスには、ユーザーがLDAP SSO経由でログインする際に、ログインページの説明を表示する機能があります。ブランド管理者は、［管理］ページの［組織の設定］タブで、表示されるテキストを編集できます。

注意：CAS、SAML、またはGoogle OAuth 2.0がブランドで有効になっている場合、この機能を使ってSSOのログインポータルに表示されるメッセージを変更することはできません。これらのタイプのSSOのSSOログインポータルを変更するには、ITチームの協力を得る必要があります。

ユーザー権限の割り当て

ユーザータイプ、部署、グループマッピング

ユーザーがSSO経由でクアルトリクスにログインすると、そのユーザーに関する追加情報を組織システムからユーザー属性として取得することができます。クアルトリクスはこの情報を使用して、各ユーザーのユーザータイプ、部署、グループを割り当て、更新することができます。これは一般的にマッピングと呼ばれます。SSOの実装を購入した場合、クアルトリクスのSSOチームが「ユーザータイプ」、「部署」、「グループ」のマッピングを実装します。この際、貴社および貴社のITチームと緊密に連携して、必要な属性が確実に含まれるようにします。SSOをご自身で設定する場合は、接続設定時にこれらの属性のマッピングを構成できます。

注意：CASおよびGoogle OAuth 2.0は追加の属性をクアルトリクスシステムに渡すことができないため、これらの機能には対応していません。

ヒント：ブランドでジャストインタイムユーザープロビジョニングが有効になっている場合、ユーザータイプと部署のマッピングはアカウント作成時に行われます。

SSO設定によっては、ログインするたびにユーザーの属性が更新される可能性があります。つまり、ブランド管理者が「ユーザータイプ」または「部署」に対して行った変更が、ユーザーの次回ログイン時に上書きされることになります。これは以下のいずれかの方法で防ぐことが可能です：

「ユーザータイプ」や「部署」のマッピングとは異なり、「グループ」のマッピングは、ブランド管理者がユーザーの「グループ」に対して行った変更を上書きすることはありません。これは、ユーザーが同時に複数の「グループ」に所属できるからです。

クアルトリクスは、「ユーザータイプ」、「部署」、「グループ」のマッピングのそれぞれについて、1つの属性しか参照できません。どの「ユーザータイプ」または「部署」にユーザーを割り当てるべきかを示す値は、すべてのユーザーで同じ属性を利用して渡す必要があります。「グループ」のマッピングには柔軟性があり、クアルトリクスでは最大50個の「グループ」マッピング条件を設定でき、各条件でRegExを使用することができます。

例：以下は、「部門」属性に基づく「ユーザータイプ」のマッピング条件の例です：

部門が「HR」の場合、「ユーザータイプ」は標準のユーザータイプにします。

部門が「HR」または「会計」の場合、「ユーザータイプ」は標準のユーザータイプにします。

部門に「HR」が含まれている場合、「ユーザータイプ」は標準のユーザータイプにします。

部門が「HR」でない場合、「ユーザータイプ」は制限付きユーザータイプにします。

部門が「HR」でも「会計」でもない場合、「ユーザータイプ」は制限付きユーザータイプにします。

注意：ログイン時に自動的にユーザーを割り当てるマッピングを構成する前に、ブランド管理者はカスタムの「ユーザータイプ」、「部署」、および「グループ」を作成する必要があります。

ヒント：ジャストインタイムプロビジョニングでアカウントを作成、またはユーザータイプのマッピングでアカウントを更新する際に、「ブランド管理者」のユーザータイプをユーザーに割り当てることは可能です。ただし、ユーザータイプのマッピングを使用して、既存のブランド管理者を権限の少ないユーザータイプに変更することはできません。ブランド管理者をより少ない権限のユーザータイプに更新するには、別のブランド管理者が手動でアカウント設定を編集する必要があります。

ヒント：値を1つしか指定しない場合は、期待する値の前後に「.*」を付けることが推奨されます（例：.*student.*）。こうすることで、複数の値を持つ属性内で値が渡された場合に、値が一致しない問題を防ぐことができます。

クアルトリクスは、クアルトリクス内で設定された「ユーザータイプ」と「部署」のマッピング条件の順に「ユーザータイプ」と「部署」のマッピングを実施します。つまり、ユーザーを特定の「ユーザータイプ」や「部署」に割り当てるためにシステムが利用する条件を複数設定した場合、クアルトリクスは一番上から下へと順に条件を処理していきます。

例：心理学部のすべてのユーザーを「標準のユーザータイプ」に、ビジネス学部のすべてのユーザーを「制限付きユーザータイプ」に割り当てるよう「ユーザータイプ」のマッピングを設定したとします。新しいユーザーがSSOを通じてクアルトリクスにログインした際、たとえばそのユーザーが心理学とビジネスの両方の分野で授業を担当している場合など、所属学部の属性として「心理学」と「ビジネス」の両方が渡されることがあります。その場合、システムはマッピングで最初に指定されている「ユーザータイプ」を自動的にユーザーに割り当てます。以下の設定になっている場合、そのユーザーは自動的に「標準のユーザータイプ」に割り当てられます：

学部が「心理学」の場合、「ユーザータイプ」は「標準のユーザータイプ」とします。

学部が「ビジネス」の場合、「ユーザータイプ」は「制限付きユーザータイプ」とします。

クアルトリクスはSAMLレスポンス内のユーザー属性値の順に「グループ」のマッピングを実施します。つまり、ユーザーを特定の「グループ」に割り当てるためにシステムが利用する条件を複数設定した場合、システムは一番上にある条件から下へと順に処理していきます。

例：心理学部のすべてのユーザーを「心理学グループ」に、ビジネス学部のすべてのユーザーを「ビジネスグループ」に割り当てるように「グループ」のマッピングを設定したとします。新しいユーザーがSSOを通じてクアルトリクスにログインした際、たとえばそのユーザーが心理学とビジネスの両方の分野で授業を担当している場合など、所属学部の属性として「心理学」と「ビジネス」の両方が渡されることがあります。その場合、システムはSAMLレスポンス内で最初に示されるグループにそのユーザーを割り当てます。もしSAMLレスポンスが次のように返された場合、そのユーザーは自動的に「心理学グループ」に割り当てられることになります：

<AttributeStatement>

学部">

<AttributeValue>心理学</AttributeValue>

</Attribute>



<AttributeValue>ビジネス</AttributeValue>

</Attribute>

</AttributeStatement>


「ユーザータイプ」のマッピング条件にない値が渡された場合は、ブランド管理者がそのブランドに設定した自己登録（デフォルト）ユーザータイプに自動的に割り当てられます。

ヒント：「ユーザータイプ」のマッピング条件で指定されている値を渡さなかったユーザーがクアルトリクスにログインするのを防ぐには、ユーザータイプの検証を利用することができます。

もしユーザーが「部署」や「グループ」のマッピング条件にない値を渡した場合、そのユーザーは「部署」や「グループ」に割り当てられません。ブランド管理者がユーザーを部署やグループに追加する必要があります。

ヒント：ブランド管理者は、新しいグループを作成するときや既存のグループを更新する際に、そのグループをブランド全体や特定の部署のすべてのユーザーが利用可能に設定できます。

CXダッシュボードの自動役割登録

ユーザーがSSOを介してクアルトリクスにログインすると、組織のシステムからそのユーザーのアカウントに関する追加情報を送信することができます。クアルトリクスはこの情報を使用し、自動役割登録によってアカウントのCXダッシュボードの役割を割り当てたり、更新することができます。

注意：CAS 2.0およびGoogle OAuth 2.0は、追加の属性をクアルトリクスシステムに渡すことができないため、この機能には対応していません。

CXダッシュボードのメタデータとしてのユーザー情報の保存

ユーザーがSSOを介してクアルトリクスにログインすると、組織のシステムからそのユーザーのクアルトリクスアカウントに関する追加情報を送信することができます。クアルトリクスには、この情報をCXダッシュボードに渡して更新し、メタデータとして保存する機能があります。どの属性をクアルトリクスに引き渡すかを決定するには、ITチームとクアルトリクスのSSOチームの間で調整する必要があります。

注意：CAS 2.0とGoogle OAuth 2.0は、追加の属性をクアルトリクスに渡すことができないため、この機能には対応していません。

ヒント：SSO属性に基づいて生成されるメタデータは、ログインのたびにユーザー属性を更新が有効であるかどうかに関わらず、ユーザーがSSO経由でログインするたびに更新されます。

ユーザーアクセスの制限

有効なメールドメイン

ジャストインタイムユーザープロビジョニングを有効にしている場合、またはGoogle OAuth 2.0 SSOを使用している場合、クアルトリクスはユーザー認証時にクアルトリクスブランドに登録されている有効なメールドメインリストを参照します。ユーザーがSSO認証に成功した後、そのユーザーの新しいアカウントを作成する前に、クアルトリクスはユーザーのメールドメインがブランドの［有効なメールドメイン］のリストに含まれているかどうかを確認します。ユーザーのメールアドレスに有効なドメインが含まれている場合、クアルトリクスシステムはブランドにユーザーのアカウントを作成します。ユーザーのメールアドレスに有効なドメインが含まれていない場合、クアルトリクスシステムはユーザーのプラットフォームへのアクセスを拒否します。

ブランドの［有効なメールドメイン］のリストを設定するようクアルトリクスサポート担当者に依頼する際は、ワイルドカード（*）を使用するか、特定のメールドメインを指定することができます。ワイルドカードを使うと、SSOで認証された全ユーザーがクアルトリクスのブランド内にアカウントを作成できます。一方、特定のメールドメインを指定すると、クアルトリクスのブランド内にアカウントを作成できるユーザーを制限できます。クアルトリクスブランド内でアカウントを作成するには、ユーザーはSSO認証に成功し、かつ［有効なメールドメイン］のドメインを渡す必要があります。

つまり、有効な電子メールアドレスを空のままにしないことです。必ず特定のドメインを設定するか、ワイルドカードのアスタリスク（*）を指定してください。

注意：ワイルドカードを有効にしていても、ログインするためには、ユーザーが渡すSSOのメール属性に正しいメールアドレス形式（例：value@example.com）の値が含まれている必要があります。形式が正しくない値が渡された場合、ユーザーのアクセスは拒否されます。

注意：特定のメールドメインを指定した場合は、セキュリティ上の理由から、組織所有のドメインしか使用できません。

ヒント：Google OAuth 2.0の設定では特定のメールドメインを必ず指定してください。このSSOタイプではワイルドカードは利用できないためです。ユーザーのメールアドレスは、ログイン試行ごとに提供されたメールドメインと照合されます。

特定のメールドメインを使う少数のユーザーにクアルトリクスの利用を許可したいが、そのドメインの全員に自己登録を許可したくない場合は、ブランド管理者が代わりにユーザーのアカウントを手動で作成できます。

ブランドの［有効なメールドメイン］のリストに対する検証は、ログインのたびにではなく、アカウント作成時にのみ行われます。

ユーザータイプの検証

クアルトリクスには、ユーザータイプのマッピング属性で渡された値を検証する機能があります。つまり、ユーザーがSSOを通じてクアルトリクスログインするたびに、その属性用に渡された値のうち少なくとも1つが「ユーザータイプ」のマッピング条件に一致していることが確認されます。

例：次のような「ユーザータイプ」のマッピング条件を設定したとします。

学部が「心理学」の場合、「ユーザータイプ」は心理学とします。

学部が「ビジネス」の場合、「ユーザータイプ」はビジネスとします。

ユーザーがSSOを介してログインを試みたものの、渡された所属学部が「心理学」でも「ビジネス」でもなかった場合は、クアルトリクスはそのユーザーのアクセスを拒否します。

注意：CAS 2.0とGoogle OAuth 2.0は、追加の属性をクアルトリクスに渡すことができないため、この機能には対応していません。