SSOを利用したユーザーおよび組織の管理

このページの内容:

SSOを利用したユーザーおよび組織の管理について

シングルサインオン(SSO)で、組織の社内ログインシステムを使用し、ユーザーはクアルトリクスで認証を行うことができます。これにより、セキュリティの向上、ユーザーのスムーズなログイン体験、ブランド管理者のユーザー管理の簡素化といった大きなメリットが3つあります。

  1. セキュリティの向上:まずSSO認証に成功しない限り、ユーザーはクアルトリクスのアカウントにアクセスできません。
  2. スムーズなログイン体験:ユーザーはクアルトリクスのプラットフォームに入るために、ログイン認証情報をいくつも覚える必要はもうありません。かわりに、1つのポータルとログイン認証情報を使用して、メインの組織ポータルであるクアルトリクスと、ITチームがSSOに統合したその他のソフトウェアへアクセスできます。
  3. ユーザー管理の簡素化:SSOは、組織のITシステムに保存された情報を使用してクアルトリクスのユーザーを管理できるため、多くのライセンス数を扱う場合に管理が簡単になります。例えば、クアルトリクスはユーザー名、名、姓、メールアドレスの値をユーザーアカウントの割り当てに使用するために、お使いのシステムから渡されたユーザー属性を使うことができます。また、ユーザータイプ (英語)部署 (英語)グループ (英語)マッピングを介して、ユーザーアカウント権限の自動割り当てやアップデートを行うために使用することもできます。これらの機能により、アカウントが常に適切な権限を持ち、適切な管轄下にあることが保証されます。よって、通常ブランド管理者が行う必要のあるユーザーアカウント情報や権限の手動管理の管理作業を削減します。

ユーザーの自動登録

クアルトリクスは、ユーザーが認証に成功したうえで、まだお使いのクアルトリクス組織にアカウントを持っていない場合、ユーザーアカウントを作成することができます。ユーザーがSSOを介してクアルトリクスにログインすると、システムはユーザーからシステムに渡されたユーザー名の値をクアルトリクス組織内で検索します。ユーザー名の値を持つアカウントが存在しなければ、クアルトリクスシステムがユーザーに対してアカウントを作成します。このプロセスは、一般的に「ジャストインタイムプロビジョニング」と呼ばれます。

自己登録を介してユーザーが作成されると、クアルトリクスシステム内にユーザー名が重複するのを避けるため、クアルトリクスのユーザー名の最後に、#組織IDが追加されます。この#組織IDのサフィックスは組織ごとに異なり、ユーザーが使用しているクアルトリクスの組織IDを使用して形成されます。例えば、組織IDが「fakeenvironment」である場合、サフィックスは「#fakeenvironment」となります。

SSOに対応している組織は、ユーザーのSSOの有無にかかわらず、全てのユーザーに#組織IDというサフィックスをつけることを推奨します。

例:John DoeがSSOを介してクアルトリクス組織の「fakeenvironment」にログインを試みる場合、以下が発生します。

  1. ユーザーがSSOを介して認証に成功すると、組織のシステムがユーザー属性をクアルトリクスのシステムに送信します。送信されるユーザー名の値は「johndoe@email.com」です。
  2. クアルトリクスのシステムは、fakeenvironment組織内に「johndoe@email.com#fakeenvironment」のユーザー名を持つアカウントが既に存在するか確認します。
  3. fakeenvironment内に以下のユーザー名(リスト順に確認されます)を持つアカウントが存在する場合は、ユーザーはそのアカウントにログインされます。
    • 「johndoe@email.com#fakeenvironment」
    • 「johndoe@email.com」
  4. ステップ4のリストのユーザー名の値のどちらも存在せず、組織に自己登録が有効化されている場合は、クアルトリクスシステムが渡された値について、ユーザーのメールアドレスのドメインが有効なメールドメイン (英語)のリストに含まれているかどうか確認します。ユーザーのメールアドレスに有効なドメインが含まれている場合、クアルトリクスシステムは「johndoe@email.com#fakeenvironment」のユーザー名でアカウントを作成します。

ユーザーの名と姓を送信する場合、クアルトリクスのシステムはこれらの値を使用してユーザーアカウントに関連付けられた名と姓を付与します。送信されない場合は、名と姓のフィールドにはユーザー名の値が使用されます。

ヒント:ユーザーがSSOを経由してクアルトリクスで自己登録した場合にメール通知を受け取りたい場合は、クアルトリクスサポートにお問い合わせください。
注意:組織のジャストインタイムユーザープロビジョニングが無効化されている場合、ユーザーアカウントはクアルトリクスでブランド管理者が手動作成する必要があります。ユーザーがクアルトリクス組織にアカウントを持たない状態でログインしようとする場合、プラットフォームへのアクセスは拒否されます。

ログインポータルのカスタマイズ

クアルトリクスはユーザーがLDAP SSOを介してログインをする場合、ログインページの詳細 (英語)を表示することができます。ブランド管理者は管理ページの組織設定タブに表示されたテキストを編集することができます。

注意:組織にCAS (英語)SAML (英語)Google OAuth 2.0 (英語)が有効化されている場合、この機能によりSSOログインポータルに表示されるメッセージは変わりません。これらのSSOタイプを使用されている場合、SSOログインポータルをカスタマイズする際は、自身の組織のITチームと連携する必要があります。

ユーザー権限の割り当て

ユーザータイプ、部署、グループマッピング

ユーザーがSSOを介してクアルトリクスにログインしようとする場合、組織のシステムからユーザー属性を介してユーザーについての追加情報を渡すことができます。クアルトリクスはこの情報を使用して、ユーザーのユーザータイプ (英語)部署 (英語)グループ (英語)の割り当ておよび更新を行えます。こちらは一般的にマッピングと呼ばれます。このユーザータイプ、部署、グループのマッピングはクアルトリクスSSOチームによって実装されます。希望される属性が含まれるように、ご自身とITチームに寄り添って作業を行います。

注意:CAS (英語)またはGoogle OAuth 2.0 (英語)には、追加の属性をクアルトリクスシステムに送信できないため、これらの機能との互換性がありません。
ヒント 組織にジャストインタイムユーザープロビジョニング が有効化されている場合、ユーザータイプと部署のマッピングがアカウント作成時に適用されます。

ユーザー属性はログインごとにアップデートされるため、ブランド管理者によって行われたユーザーのユーザータイプまたは部署への変更はユーザーの次回ログインで上書きされます。こちらは以下のいずれかにより回避することができます。

  1. 組織のITチームが、ユーザータイプまたは部署属性内で渡される値をユーザーに対してアップデートする。
  2. ブランド管理者が、ユーザーのユーザータイプや部署を変更するのではなく、ユーザーの権限をユーザー単位で管理する (英語)

ユーザーは一度に複数のグループに所属することができないため、ユーザータイプや部署のマッピングとは異なり、グループのマッピングはブランド管理者がユーザーのグループに行った変更を上書きしません。

クアルトリクスが参照できるのは、各ユーザータイプ、部署、グループのマッピングに対し1つの属性のみです。ユーザーが割り当てられるべきユーザータイプ、部署を示す値は、ユーザーそれぞれに同じ属性で送信される必要があります。クアルトリクスはそれぞれRegExを使用できる50のグループマッピング条件まで構成できるので、柔軟性もあります。

例:以下は、「部署」の属性に基づくユーザータイプのマッピング条件の例です。

  1. 部署が人事である場合ユーザータイプは標準ユーザータイプとなります。
  2. 部署が人事または経理である場合ユーザータイプは標準ユーザータイプとなります。
  3. 部署が人事を含む場合ユーザータイプは標準ユーザータイプとなります。
  4. 部署が人事でない場合ユーザータイプは制限付きユーザータイプとなります。
  5. 部署が人事でも経理でもない場合ユーザータイプは制限付きユーザータイプとなります。
注意:カスタムのユーザータイプ、部署、グループは、マッピング構成およびログイン時に自動的にユーザーを割り当てる前にブランド管理者が作成する必要があります。
ヒント:ブランド管理者のアカウントはユーザータイプのマッピングによって影響を受けません。ブランド管理者アカウントは他のブランド管理者によってのみ変更することができます。
ヒント:1つの値のみがリストされる場合は、期待される値の前と後に.*をつける(例:.*student.*)ことがベストプラクティスです。これにより、複数の値を持つ属性を通して送信する場合に発生可能な問題を回避できます。

クアルトリクスはユーザータイプと部署のマッピングを、クアルトリクスのユーザータイプと部署のマッピング条件の順に採用します。つまり、ユーザーを特定のユーザータイプまたは部署に割り当てる際に、システムに複数の条件を構成した場合、クアルトリクスは最上の条件から順に確認をしていきます。

例:心理学部に所属する全てのユーザーを標準ユーザータイプ、経営学部に所属する全てのユーザーを制限付きユーザータイプに割り当てるユーザータイプのマッピング条件の組み合わせがあるとします。新規のユーザーがSSOを介してクアルトリクスにログインし、「心理学部」と「経営学部」の両方の学部でコースを教えているなどの理由で、自分の部署に「心理学部」と「経営学部」の両方を渡す場合、システムはマッピングで先に示されているユーザータイプを割り当てます。以下の組み合わせでは、ユーザーは自動的に標準ユーザータイプに割り当てられます。

  1. 心理学部である場合ユーザータイプは標準ユーザータイプとなります。
  2. 経営学部である場合ユーザータイプは制限ユーザータイプとなります。

SAML応答のユーザー属性の値から、クアルトリクスはグループのマッピングを順番に採用します。つまり、ユーザーを特定のグループに割り当てる際に、システムに複数の条件を追加した場合、システムは最初の条件から順番に確認を行います。

例:心理学部の全てのユーザーを心理学部のクアルトリクスグループに、経営学部の全てのユーザーを経営学部のクアルトリクスグループに割り当てるグループのマッピング条件の組み合わせがあるとします。新規のユーザーがSSOを介してクアルトリクスにログインし、「心理学部」と「経営学部」の両方の領域でコースを教えているなどの理由で、自分の所属学部で「心理学部」と「経営学部」の両方の値を送信する場合、システムはどちらがSAML応答で先に示されているかでグループを割り当てます。SAML応答が以下を送信する場合、ユーザーは自動的に心理学部グループに割り当てられます。

<AttributeStatement>

<Attribute Name="学部">

<AttributeValue>心理学部</AttributeValue>

</Attribute>

<Attribute

<AttributeValue>経営学部</AttributeValue>

</Attribute>

</AttributeStatement>

ユーザーがユーザータイプのマッピング条件に示されていない値を送信している場合、ブランド管理者が構成した、組織の自己登録(デフォルト)ユーザータイプ (英語)が自動的に割り当てられます。

ヒント:ユーザーがユーザータイプのマッピング条件に示されている値を送信していない場合、クアルトリクスにログインできないようにするには、クアルトリクスはユーザータイプを検証経由でそれを実現できます。

ユーザーが部署またはグループのマッピング条件に示されていない値を送信する場合、部署またはグループに割り当てられません。ユーザーはブランド管理者によって部署 (英語)もしくはグループに追加される (英語)必要があります。

ヒント:ブランド管理者は、新規のグループを作成 (英語)または更新をする際に、そのグループを組織内全てまたは特定の部署のユーザーのみに使用可能に設定できます。

CXダッシュボード自動役割登録

ユーザーがSSO経由でクアルトリクスにログインする場合、ユーザーはアカウントに関する情報をシステムから追加で送信できます。クアルトリクスはこの情報を使用して、自動役割登録 (英語)を介してアカウントのCXダッシュボードの役割 (英語) の割り当ておよびアップデートを行えます。

注意:CAS 2.0またはGoogle OAuth 2.0を通して追加の属性をクアルトリクスシステムに送信できないため、この機能との互換性がありません。

ユーザー情報をCXダッシュボードのユーザー属性として保存

ユーザーがSSO経由でクアルトリクスにログインする場合、ユーザーはクアルトリクスアカウントに関する情報をシステムから追加で送信できます。クアルトリクスはこの情報をCXダッシュボードに送信してユーザー属性 (英語)として保存できます。ITチームとクアルトリクスのSSOチームと連携してクアルトリクスに引き継ぐ属性を決定してください。

注意:CAS 2.0またはGoogle OAuth 2.0には、追加の属性をクアルトリクスシステムに送信できないため、この機能との互換性がありません。
ヒント:SSO属性によって取得されたユーザー属性 (英語)は、毎回のログインでユーザー属性を更新の有効状況を問わず、ユーザーがSSO経由でプラットフォームにログインする度に毎回更新されます。

ユーザーのアクセスを制限

有効なメールドメイン

ジャストインタイムユーザープロビジョニングが有効、またはGoogle OAuth 2.0 SSOが使用されている場合、クアルトリクスはユーザーの認証時にご使用のクアルトリクス組織にリストされている有効なメールドメイン (英語)を参照します。SSO経由のユーザー認証が成功した後、そしてクアルトリクスがユーザーの新規のアカウントを作成する前、ユーザーのメールアドレスについて、メールアドレスのドメインが組織の有効なメールドメインのリストに含まれているか確認します。ユーザーのメールに有効なドメインがあれば、クアルトリクスシステムが組織にユーザーのアカウントを作成します。ユーザーのメールに有効なドメインがなければ、クアルトリクスシステムがユーザーのプラットフォームへのアクセスを拒否します。

クアルトリクスサポートに組織の有効なメールドメインリストの構成を依頼する場合、ワイルドカード(*)または特定のメールドメインを指定できます。ワイルドカードを使用するとSSO経由で認証に成功する人は誰でもクアルトリクスでアカウントを作成できる一方、特定のメールドメインを指定するとクアルトリクス組織でアカウントを作成できる人が制限されます。ユーザーがクアルトリクス組織でアカウントを作成するには、SSO経由での認証に成功し、かつ有効なメールドメインを持つ必要があります。

注意:ワイルドカードを有効にしていても、ユーザーがログインするためには、メールアドレスの形式(value@domainなど)でSSOメール属性に値を送信する必要があります。適切な形式でない値が送信されると、ユーザーはアクセスを拒否されます。
注意:特定のメールドメインを指定する場合は、セキュリティの観点からご自分の組織で所有しているドメインのみ使用できます。
ヒント:Google OAuth 2.0のSSOタイプはワイルカードが使用できないため、特定のメールドメインを指定する必要があります。ユーザーのメールアドレスは、毎回のログイン試行ごとに提供されたメールドメインに対して認証されます。

クアルトリクスにアクセスする必要のある特定のメールドメインを持つユーザーが数人いるものの、そのドメインを持つ全てのユーザーに自己登録を許可したくない場合、ブランド管理者はこれらのユーザーのアカウントを手動作成 (英語)することができます。

有効なメールドメインの組織リストに対する検証はアカウント作成時のみ発生し、毎回のログイン時には発生しません。

ユーザータイプを検証

クアルトリクスはユーザータイプマッピング属性に送信された値を検証できます。つまり、毎回ユーザーがSSO経由でクアルトリクスにログインしようとする際にシステムが属性として送信された値を検証してユーザータイプのマッピング条件に含まれているかを確認します。

例:以下のユーザータイプマッピング条件の組み合わせがあると考えてください。

  1. 学部が心理学部である場合ユーザータイプは心理学部となります。
  2. 学部が経営学部である場合ユーザータイプは経営学部となります。

ユーザーがSSO経由でクアルトリクスにログインしようとするものの、学部に「心理学部」もしくは「経営学部」がない場合、クアルトリクスはユーザーのアクセスを拒否します。

注意:CAS 2.0またはGoogle OAuth 2.0には、追加の属性をクアルトリクスシステムに送信できないため、この機能との互換性がありません。