SSO実装で考慮すべき事項
このページの内容
SSO実装で考慮すべき事項について
クアルトリクスでは、既存のブランドでシングルサインオン(SSO)を実装したり、使用するSSOの種類を変更したりすることができます。クアルトリクスブランドにSSOを実装するかどうかを決定する際には、多くの要素を考慮する必要があります。
注意: このページでは、有料のSSO実装の手順について説明します。ライセンスの内容についてご不明な点がございましたら、アカウントチームまでお問い合わせください。Qualtricsの実装をassistせずに独自のSSO接続を設定する方法については、組織のSSO設定を参照してください。
クアルトリクスSSO実装手順
既存ブランドでのSSO有効化
新しく作成したクアルトリクスブランドでSSOを有効にする方が、既存のブランドでSSOを有効化するよりもかなり簡単です。既存のブランドには既存のアカウントが存在するため、SSOが有効化された際にSSO認証が確実に機能するよう、既存のアカウントを更新する必要があります。
ブランドをSSO対応ブランドに変更する場合、次の2つの形でクアルトリクスのユーザー名が変化することになります:
SSOを有効化する時点で、ブランドのアカウント数が少ない場合は、ブランド管理者やIT部門と連携してそれらのアカウントを手動で更新することができます。
SSOを有効化する時点で、ブランドのアカウント数が多い場合は、いずれかの公開API呼び出しを実行してユーザー名をSSO互換の値に更新します。
一般的なクアルトリクス環境におけるSSO
EX、CX、360を利用していないブランドでSSOを有効にする場合、次のような影響が考えられます。
手動によるユーザー作成
ブランド管理者は、[管理]ページ内の[ユーザー]タブで新しいユーザーを作成できます。SSOが有効な場合は、「#ブランドID」をユーザー名の末尾に追加する必要があります。ユーザーがSSOを介して正常に認証できるようにするには、クアルトリクスのユーザー名の値もSSOのユーザー名属性の値と一致する必要があります。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーのアカウントを作成する際には、クアルトリクスのユーザー名の値を「john.doe#fakeenvironment」とする必要があります。
クアルトリクスAPIによるユーザー作成
ブランド管理者は、Create User APIの呼び出しを行うことでユーザー作成を自動化できます。SSOが有効になっている場合、API呼び出し元はユーザー名の値の末尾に「#ブランドID」を付加する必要があります。ユーザーがSSOを介して正常に認証できるようにするには、クアルトリクスのユーザー名の値もSSOのユーザー名属性の値と一致する必要があります。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーのアカウントを作成する際には、クアルトリクスのユーザー名の値を「john.doe#fakeenvironment」とする必要があります。
自己登録によるユーザー作成
ジャストインタイムユーザープロビジョニングが有効な場合、ユーザーは自己登録を行えます。SSOを有効にすると、SSOユーザー名属性値の末尾に「#ブランドID」が自動で追加されてクアルトリクスのユーザー名フィールドに使用されます。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっていてユーザーが自己登録をした場合、クアルトリクスのユーザー名の値は「john.doe#fakeenvironment」となります。
アカウントのアクセス権
ユーザーがクアルトリクスアカウントにアクセスするには、ブランドの設定によって、SSOを介した認証が必要となる場合があります。
| SSOが無効な場合 | SSOが有効な場合 | |
|---|---|---|
| 一般向けログインページ | 使用するURL:https://qualtrics.com/login または https://datacenter.qualtrics.com/loginCredentials:クアルトリクスのユーザー名とパスワード | 利用できません |
| ブランド別ログインページ | 使用するURL:https://brandID.datacenter.qualtrics.com またはバニティURL使用するクアルトリクス:クアルトリクスのユーザー名とパスワード | 使用するURL:https://brandID.datacenter.qualtrics.com またはバニティURL使用するクアルトリクス:SSOユーザー名とパスワード |
アンケート回答
ブランドでSSOが有効かどうかに関係なく、アンケートフローにSSO認証機能が設定されている場合のみ、回答者はアンケートに回答する前にSSOで認証する必要があります。SSO認証機能が設定されていない場合は、アンケートに回答するためにSSO認証をする必要はありません。
注意:Shibboleth(SAML)SSO認証機能は、ブランドがSAML SSOを設定し、SP主導のログインをサポートしている場合にのみ設定可能です。
[データと分析]セクションのファイルアップロードのデータ
アンケートの所有者と共有者は、アップロードされたファイルの表示権限を必須とすることで、ユーザーが送信したファイルをほかのユーザーが閲覧するのを防ぐことができます。この制限が有効になっていても、アンケートの所有者と共有者はデータと分析タブでファイルアップロードのデータをいつでも閲覧できます。ただし、ユーザーによって送信されたファイルへの直接リンクを使用してファイルへのアクセスを試みる場合、以下のようになります:
SSOが無効な場合:
| 一般向けファイルアップロードのデータリンク | 使用するURL: https://(データセンター).qualtrics.com/WRQualtricsControlPanel/File.php?F=F_xxxxxx&download=1 使用する認証情報:クアルトリクス |
|---|---|
| ブランド別ファイルアップロードのデータリンク | 使用するURL: https://(ブランドID).(データセンター).qualtrics.com/WRQualtricsControlPanel/File.php?F=F_xxxxxx&download=1 使用する認証情報:クアルトリクス |
SSOが有効な場合:
| 一般向けファイルアップロードのデータリンク | 利用できません |
|---|---|
| ブランド別ファイルアップロードのデータリンク | 使用するURL: https://(ブランドID).(データセンター).qualtrics.com/WRQualtricsControlPanel/File.php?F=F_xxxxxx&download=1 使用する認証情報:SSO |
SSOとEmployee Experience
Engagement、Lifecycle、Pulse
などのEmployee ExperienceプロジェクトがあるブランドでSSOを有効にする場合、次のような影響が考えられます。(360については次のセクションを参照してください。)
手動によるユーザー作成
ブランド管理者は、[管理]ページ内の[ユーザー]タブで新しいユーザーを作成できます。SSOが有効な場合は、「#ブランドID」をユーザー名の末尾に追加する必要があります。ユーザーがSSOを介して正常に認証できるようにするには、クアルトリクスのユーザー名の値もSSOのユーザー名属性の値と一致する必要があります。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーのアカウントを作成する際には、クアルトリクスのユーザー名の値を「john.doe#fakeenvironment」とする必要があります。
CSVインポートによるユーザー作成
ブランド管理者は、[ディレクトリ]タブから一括でユーザーをインポートできます。SSOが有効な場合は、CSVファイルに「UserName」の列を追加する必要があります。「UserName」の列は、クアルトリクスのユーザー名を作成するのに利用され、ユーザーがSSOを介して正常に認証できるようにするには、SSOのユーザー名属性の値と一致する必要があります。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーの参加者アカウントを作成する際には、CSVインポートのそのユーザーの「UserName」列は「john.doe」となっている必要があります。アップロードされると、そのユーザーアカウントではクアルトリクスのユーザー名が「john.doe#fakeenvironment」という値になります。
クアルトリクスAPIによるユーザー作成
ブランド管理者は、Create User APIの呼び出しを行うことでユーザー作成を自動化できます。SSOが有効な場合は、「#ブランドID」をユーザー名の末尾に追加する必要があります。ユーザーがSSOを介して正常に認証できるようにするには、クアルトリクスのユーザー名の値もSSOのユーザー名属性の値と一致する必要があります。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーのアカウントを作成する際には、クアルトリクスのユーザー名の値を「john.doe#fakeenvironment」とする必要があります。
自己登録によるユーザー作成
ジャストインタイムユーザープロビジョニングが有効な場合、ユーザーは自己登録を行えます。SSOを有効にすると、SSOユーザー名属性値の末尾に「#ブランドID」が自動で追加されてクアルトリクスのユーザー名フィールドに使用されます。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっていてユーザーが自己登録をした場合、クアルトリクスのユーザー名の値は「john.doe#fakeenvironment」となります。
アカウントのアクセス権
ユーザーがクアルトリクスアカウントにアクセスするには、ブランドの設定によって、SSOを介した認証が必要となる場合があります。
| SSOが無効な場合 | SSOが有効な場合 | |
|---|---|---|
| 一般向けログインページ | 使用するURL:https://qualtrics.com/loginまたはhttps://(データセンター).qualtrics.com/login 使用する認証情報:クアルトリクス | 利用できません |
| ブランド別ログインページ | 使用するURL:https://(ブランドID).(データセンター).qualtrics.comまたはバニティURL 使用する認証情報:クアルトリクス | 使用するURL:https://(ブランドID).(データセンター).qualtrics.comまたはバニティURL 使用する認証情報:SSO |
アンケート回答
ブランドでSSOが有効かどうかに関係なく、アンケートフローにSSO認証機能が設定されている場合のみ、回答者はアンケートに回答する前にSSOで認証する必要があります。SSO認証機能が設定されていない場合は、アンケートに回答するためにSSO認証をする必要はありません。
注意:Shibboleth(SAML)SSO認証機能は、ブランドがSAML SSOを設定し、SP主導のログインをサポートしている場合にのみ設定可能です。
ダッシュボードへのアクセス
ユーザーがダッシュボードを表示するには、ブランドの設定によって、SSOを介した認証が必要となる場合があります。
| SSOが無効な場合 | SSOが有効な場合 | |
|---|---|---|
| 一般向けダッシュボードのログインページ | 使用するURL:https://(データセンター).qualtrics.com/ee/dashboards 使用する認証情報:クアルトリクス | 利用できません |
| ダッシュボード別招待リンク | 使用するURL:ダッシュボードの招待リンクを参照 使用する認証情報:クアルトリクス | 使用するURL:ダッシュボードの招待リンクを参照 使用する認証情報:SSO |
SSOと360
360を利用しているブランドでSSOを有効にする場合、次のような影響が考えられます。
手動によるユーザー作成
ブランド管理者は、[管理]ページ内の[ユーザー]タブで新しいユーザーを作成できます。SSOが有効な場合は、「#ブランドID」をユーザー名の末尾に追加する必要があります。ユーザーがSSOを介して正常に認証できるようにするには、クアルトリクスのユーザー名の値もSSOのユーザー名属性の値と一致する必要があります。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーのアカウントを作成する際には、クアルトリクスのユーザー名の値を「john.doe#fakeenvironment」とする必要があります。
CSVインポートによるユーザー作成
ブランド管理者は、[ディレクトリ]タブから一括でユーザーをインポートできます。SSOが有効な場合は、CSVファイルに「UserName」の列を追加する必要があります。「UserName」の列は、クアルトリクスのユーザー名を作成するのに利用され、ユーザーがSSOを介して正常に認証できるようにするには、SSOのユーザー名属性の値と一致する必要があります。
ヒント:CSVファイルをアップロードすると、クアルトリクスシステムが「UserName」列の値の末尾に「#ブランドID」を自動的に付け加えます。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーの参加者アカウントを作成する際には、CSVインポートのそのユーザーの「UserName」列は「john.doe」となっている必要があります。アップロードされると、そのユーザーアカウントではクアルトリクスのユーザー名が「john.doe#fakeenvironment」という値になります。
クアルトリクスAPIによるユーザー作成
ブランド管理者は、Create User APIの呼び出しを行うことでユーザー作成を自動化できます。SSOが有効な場合は、「#ブランドID」をユーザー名の末尾に追加する必要があります。ユーザーがSSOを介して正常に認証できるようにするには、クアルトリクスのユーザー名の値もSSOのユーザー名属性の値と一致する必要があります。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーのアカウントを作成する際には、クアルトリクスのユーザー名の値を「john.doe#fakeenvironment」とする必要があります。
自己登録によるユーザー作成
ジャストインタイムユーザープロビジョニングが有効な場合、ユーザーは自己登録を行えます。SSOを有効にすると、SSOユーザー名属性値の末尾に「#ブランドID」が自動で追加されてクアルトリクスのユーザー名フィールドに使用されます。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっていてユーザーが自己登録をした場合、クアルトリクスのユーザー名の値は「john.doe#fakeenvironment」となります。
アカウントのアクセス権
ユーザーがクアルトリクスアカウントにアクセスするには、ブランドの設定によって、SSOを介した認証が必要となる場合があります。
| SSOが無効な場合 | SSOが有効な場合 | |
|---|---|---|
| 一般向けログインページ | 使用するURL:https://qualtrics.com/loginまたはhttps://(データセンター).qualtrics.com/login 使用する認証情報:クアルトリクス | 利用できません |
| ブランド別ログインページ | 使用するURL:https://(ブランドID).(データセンター).qualtrics.comまたはバニティURL 使用する認証情報:クアルトリクス | 使用するURL:https://(ブランドID).(データセンター).qualtrics.comまたはバニティURL 使用する認証情報:SSO |
参加者のアクセス権
SSOが有効になっている場合、被評価者および内部評価者はポータルにアクセスする前にSSOで認証する必要があります。内部評価者や外部評価者に直接アンケートリンクを送信することで、参加者はSSO認証なしでアンケートに回答することができます。
SSOとCXダッシュボード
CXダッシュボードを利用しているブランドでSSOを有効にすると、次のような影響が考えらます。
手動によるユーザー作成
ブランド管理者は、[管理]ページ内の[ユーザー]タブで新しいユーザーを作成できます。SSOが有効な場合は、「#ブランドID」をユーザー名の末尾に追加する必要があります。ユーザーがSSOを介して正常に認証できるようにするには、クアルトリクスのユーザー名の値もSSOのユーザー名属性の値と一致する必要があります。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーのアカウントを作成する際には、クアルトリクスのユーザー名の値を「john.doe#fakeenvironment」とする必要があります。
CSVインポートによるユーザー作成
ブランド管理者は、[ユーザー管理]タブからファイルをインポートしてダッシュボードユーザーを一括作成できます。SSOが有効な場合は、CSVファイルに「UserName」の列を追加する必要があります。「UserName」の列は、クアルトリクスのユーザー名を作成するのに利用され、ユーザーがSSOを介して正常に認証できるようにするには、SSOのユーザー名属性の値と一致する必要があります。
ヒント:CSVファイルがアップロードされると、「UserName」の列の値の末尾に「#ブランドID」が自動的に付加されます。ブランドIDの値は、クアルトリクスブランドによって異なります。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーの参加者アカウントを作成する際には、CSVインポートのそのユーザーの「UserName」列は「john.doe」となっている必要があります。アップロードされると、そのユーザーアカウントではクアルトリクスのユーザー名が「john.doe#fakeenvironment」という値になります。
クアルトリクスAPIによるユーザー作成
ブランド管理者は、Create User APIの呼び出しを行うことでユーザー作成を自動化できます。SSOが有効な場合は、「#ブランドID」をユーザー名の末尾に追加する必要があります。ユーザーがSSOを介して正常に認証できるようにするには、クアルトリクスのユーザー名の値もSSOのユーザー名属性の値と一致する必要があります。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっている場合、ブランド管理者がそのユーザーのアカウントを作成する際には、クアルトリクスのユーザー名の値を「john.doe#fakeenvironment」とする必要があります。
自己登録によるユーザー作成
ジャストインタイムユーザープロビジョニングが有効な場合、ユーザーは自己登録を行えます。SSOを有効にすると、SSOユーザー名属性値の末尾に「#ブランドID」が自動で追加されてクアルトリクスのユーザー名フィールドに使用されます。
例:SSOが有効になっている「fakeenvironment」というクアルトリクスブランドがあるとします。あるユーザーについて渡されるSSOのユーザー名属性は「john.doe」です。SSOが有効になっていてユーザーが自己登録をした場合、クアルトリクスのユーザー名の値は「john.doe#fakeenvironment」となります。
自動役割登録
ユーザーがSSOを介してクアルトリクスにログインすると、組織のシステムからそのユーザーのアカウントに関する追加情報を送信することができます。クアルトリクスは、この情報を使用し、自動役割登録機能によってアカウントのCXダッシュボード役割の割り当て、更新を行うことができます。
注意:CAS 2.0は追加の属性をクアルトリクスシステムに渡すことができないため、この機能には対応していません。Google OAuth 2.0は、カスタムOAuth 2.0接続でのみ属性を渡すことができます。
ユーザー属性
ユーザーがSSOを介してクアルトリクスにログインすると、組織のシステムからそのユーザーのクアルトリクスアカウントに関する追加情報を送信することができます。クアルトリクスには、この情報をCXダッシュボードに渡して更新し、ユーザー属性として保存する機能があります。
ヒント:SSO属性から生成されるユーザー属性は、ユーザーがSSOを介してプラットフォームにログインするたびに更新されます。
アカウントのアクセス権
ユーザーがクアルトリクスアカウントにアクセスするには、ブランドの設定によって、SSOを介した認証が必要となる場合があります。
| SSOが無効な場合 | SSOが有効な場合 | |
|---|---|---|
| 一般向けログインページ | 使用するURL:https://qualtrics.com/loginまたはhttps://(データセンター).qualtrics.com/login 使用する認証情報:クアルトリクス | 利用できません |
| ブランド別ログインページ | 使用するURL:https://(ブランドID).(データセンター).qualtrics.comまたはバニティURL 使用する認証情報:クアルトリクス | 使用するURL:https://(ブランドID).(データセンター).qualtrics.comまたはバニティURL 使用する認証情報:SSO |
ダッシュボードへのアクセス
ユーザーがダッシュボードを表示するには、ブランドの設定によって、SSOを介した認証が必要となる場合があります。
| SSOが無効な場合 | SSOが有効な場合 | |
|---|---|---|
| 一般向けダッシュボードのログインページ | 使用するURL:https://(データセンター).qualtrics.com/vocalize 使用する認証情報:クアルトリクス | 利用できません |
| ダッシュボード別招待リンク | 使用するURL:「ダッシュボードの共有」を参照 使用する認証情報:クアルトリクス | 使用するURL:「ダッシュボードの共有」を参照 使用する認証情報:SSO |
モバイルアプリからのログイン
クアルトリクスXMアプリへのログイン
SSOが有効になっている場合、ユーザーはクアルトリクスXMアプリにアクセスする前にSSOで認証する必要があります。このログイン手順について詳しくは、「組織IDを使用してのログイン」のサポートページを参照してください。
注意:特定のSSOタイプはクアルトリクスXMアプリと互換性がありません:1)Google OAuth 2.0の構成はサポートされていません。2)IdP主導のログインはサポートされていないため、Shibboleth/SAMLの構成ではSP主導ログインが機能する必要があります。
注意:クアルトリクスXMアプリは、一部のCustomer ExperienceおよびEmployee Experienceライセンスに含まれています。お客様のライセンスに含まれているどうかは、営業担当にご確認ください。
オフラインアプリ
オフラインアプリへのログインには、SSOが有効か無効にかかわらず、クアルトリクスユーザー名とパスワードを使用する必要があります。このログイン手順について詳しくは、「クアルトリクス認証情報の入力」のサポートページを参照してください。
注意:特定のSSOタイプはオフラインアプリと互換性がありません:1)Google OAuth 2.0の構成はサポートされていません。2)IdP主導のログインはサポートされていないため、Shibboleth/SAMLの構成ではSP主導のログインが機能する必要があります。
注意:クアルトリクスオフラインアンケートはクアルトリクスライセンスのアドオン機能です。アプリを使用するには、ライセンスを有効にする必要があります。この機能がお客様のライセンスに含まれているかどうかは、クアルトリクス担当者にご確認ください。
素晴らしい! フィードバックありがとうございます!
フィードバックありがとうございます!