メインコンテンツにスキップ
Skip to article
  • Customer Experience
    Customer Experience
  • Employee Experience
    Employee Experience
  • Brand Experience
    Brand Experience
  • Core XM
    Core XM
  • Design XM
    Design XM

組織のSSO設定の構成

Was this helpful?


This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The feedback you submit here is used only to help improve this page.

That’s great! Thank you for your feedback!

Thank you for your feedback!

組織のSSO設定について

ブランド
管理者は、SAML と OAuth 2.0 シングルサインオン(SSO)の接続を作成および管理できます。新しい接続の追加、既存の接続の証明書の更新、ジャストインタイムプロビジョニングなどの設定の変更などができるようになります。これらの接続を使用して、組織内のユーザーがクアルトリクスアカウントにログインする方法、および利用可能なアンケート認証オプションを管理できます。始めるには

  1. 管理者]ページに移動します。
    ウェブサイトの各ページの左上にある最上位のナビゲーションから[管理者]を選ぶ
  2. [組織の設定]に移動します。
    [管理者]ページの[組織の設定]で、左側にある[SSO]を選択する
  3. SSO を選択します。
ヒント:SAML または OAuth 2.0 SSO を初めて設定する場合は、セルフサービスポータルから独自に実装するか、経験豊富なコンサルタントのヘルプを購入することができます。導入コンサルタントとの共同作業に関心がある場合は、営業担当にお問い合わせください。
ヒント:この場合、QualtricsはSP(サービスプロバイダー)として機能しますが、ITチームでIdP(アイデンティティプロバイダ)を設定する必要があります。

接続の追加

すべてのステップと設定の詳細な説明
については、組織に対する SSO 接続の追加を参照してください。

組織のログインのための SSO 接続の管理

このセクションでは、組織のユーザーログインエクスペリエンスを制御するために SSO 接続を有効化および無効化する方法について説明します。

画像:内部で複数の接続が有効化された SSO タブ

[Your Organization ID] の Qualtrics Login というラベルの付いた接続が表示されます。この接続を無効にすると、すべてのユーザーがSSOを使用してログインする必要があり、ユーザーがクアルトリクスのユーザー名とパスワードを使用してログインするオプションがなくなります。

ヒント:所属組織でSSO認証情報がない外部コンサルタントと連携している場合、このオプションを有効にすることが必要になる可能性が高くなります。
警告: 接続を無効化すると、ユーザベース全体のログインが無効になります。SSO接続が無効になると、ユーザーは別のクアルトリクスのユーザー名とパスワードを使ってログインする必要があります。接続を無効または有効にする際には、ユーザーベースにどのような影響を与えるかを考慮してください。

接続を最初に追加すると、’Use for organization login’ 列のステータスはデフォルトで disabled になります。組織のログインで SSO 接続を有効にすると、SSO ログインがユーザベース全体のライセンスで稼働中であることが示されます。

警告: 接続を有効にする前に、接続の実装が完了していることを確認してください。ログインのテスト.
ヒント:同時に最大20件の接続を追加および有効化できます。

必要な接続を有効化および無効化
した後、組織 URL でのユーザエクスペリエンス (https://OrganizationID.qualtrics.com) は以下のいずれかのシナリオになります。

Qualtricsログインのみが有効な場合のユーザーエクスペリエンス

画像:クアルトリクスログインのみが有効有効にする唯一の組織ログイン接続が[組織ID]のクアルトリクスログイン]

の場合、組織URL(https://OrganizationID.qualtrics.com)はクアルトリクスの標準ログイン画面に移動し、すべてのユーザーがクアルトリクスのユーザー名とパスワードで認証します。

画像:標準的なクアルトリクスログインページ

1 つの SSO 接続のみが有効な場合のユーザーエクスペリエンス

画像:1 つの SSO 接続のみが有効「組織 ID の Qualtrics ログイン」接続が無効になっており、組織のログインに対して 1 つの SSO 接続のみが有効化

されている場合、ユーザーは組織 URL に移動し、SSO 認証フローを通じて自動的にリダイレクトされます。すべてのユーザーが SSO を使用してログインする必要があります。

ヒント:ユーザーが有効なSSOセッションを持っていない場合、SSOログインページが表示されます。現在アクティブな SSO セッションを持っているユーザーは、自動的にプラットフォームにログインできます。

複数の SSO 接続が有効になっている場合のユーザーエクスペリエンス

複数の接続の image有効 {{mage:ふくすうのせつぞくのゆうこうか}}「組織 ID の Qualtrics ログイン」接続が無効になっており、組織ログインに対して複数の SSO 接続が有効になっている

場合、ユーザーは自分の組織 URL に移動して、有効なすべての SSO 接続のリストを表示します。ユーザーは、認証に使用する SSO 接続を選択する必要があります。

有効化されている複数ログイン接続に一致する 2 つのオプションがあるログインページ

SSO 接続が有効になり、クアルトリクスログインが有効である場合のユーザーエクスペリエンス

画像:有効なANSSO接続とクアルトリクスログインが有効です「組織 ID の Qualtrics ログイン」接続が有効になっており組織ログインに対して複数の SSO 接続が有効になっている

場合は、利用可能なすべてのオプションを含むランディングページにユーザーをリダイレクトすることができます。このオプションを有効にすると、ユーザーは組織URLに移動し、有効なすべてのSSO接続のリストと[Qualtricsログイン]オプションが表示されます。ユーザは、使用する認証方法を選択する必要があります。

有効化されている複数ログイン接続に一致する 2 つのオプションがあるログインページ

このランディングページを有効にするためには

  1. [[組織ID]でクアルトリクスにログイン]という名前の接続を見つけます。
    接続の編集
  2. 編集を選択します
  3. [組織 URL で接続を有効にする] を選択します。
    接続の有効化
  4. 適用をクリックして変更を保存します。

このオプションを選択しない場合は、組織URLがSSO認証フローにリダイレクトされます。SSO を使用せずにログインするユーザーは、以下のいずれかのリンクを使用できます。

ヒント:組織でVanityURLを設定している場合、VanityのURLがブランドURLに代わるものです。

アンケート認証のためのSSO接続の管理

アンケート認証列が有効になっている接続が強調表示されている SSO タブのスクリーンショット接続を最初に追加

するとき、[アンケートの認証機能に使用]列のステータスがデフォルトで[無効]になります。アンケート認証機能に対してSSO接続を有効にすると、アンケート認証機能のオプションとしてSSOログインを利用できるようになります。

ヒント:アンケートの認証機能に対して同時に最大20個の接続を追加および有効化できます。
警告: 接続を有効化する前に、接続を完全に実装し、ログインをテストしていることを確認してください。
警告:現在そのSSO接続を使用しているプロジェクトがあるときに、アンケートの認証機能に対してSSO接続を無効にすると、アンケートの回答者にエラーページが表示されます。

デフォルトの SAML SSO 接続

クアルトリクスが、使用する特定のSAML接続を指定していないリクエストを受信するたびに、デフォルトのSAML 接続が使用されます。これは IdP 起動ログイン要求で特に重要です。

SSO ページの上部にあるデフォルトの SAML 設定の画像

  • デフォルトの組織ログイン SAML 接続: アイデンティティプロバイダからの SAML 応答が新しいリレーステータス形式を使用せず、古い形式を使用する場合、デフォルト組織ログイン接続が IDP 開始 SAML フローで使用されます。
  • デフォルトの認証機能 SAML 接続:このデフォルトは、2021 年 12 月 1 日より前に SSO 認証機能を使用してアンケートを設定できるようにするために必要です。この更新より前に作成されたアンケートは、デフォルトのオーセンティケータ接続に関連付けられます。

既存の接続の管理

[組織の設定]タブの[SSO]セクションには、ライセンスに設定されているすべての接続の概要が表示されます。設定時に、新しい接続の追加、接続の削除または無効化、既存の接続の編集、接続のテストを行うことができます。

リストアップされたすべての接続に、ステータスを有効または無効にするため切り替えボタン、名前、編集ボタン、テストボタン、削除ボタンがある

接続の有効化/無効化

組織ログインに使用で、無効化された接続と有効化された接続を切り替えることができます。関連する詳細と警告については、「組織ログインのための SSO 接続の管理」を参照してください。[アンケートの認証機能で使用

で、無効と有効の接続を切り替えることができます。関連する詳細と警告については、「アンケート認証のためのSSO接続の管理」を参照してください。

接続の編集、テスト、削除(&A)

アクション列の下にある 3 つのドット
をクリックすると、接続を削除、編集、またはテストするためのオプションが表示されます。

  • 編集:接続の設定を変更します。このオプションは、証明書のローテーションに特に役立ちます。
    注意: 有効な接続を編集する場合は、ユーザーベースのログインを妨げる可能性があるフィールドを編集するよう注意してください。
  • テスト: 接続をテストして、意図したとおりに機能することを確認します。詳細については、リンクされたセクションを参照してください。
  • 削除: [削除] をクリックすると、接続が完全に削除されます。このボタンがクリックされると、警告メッセージを表示するモーダルが開きます。アクションを確認するには、このモーダルで [削除] をクリックする必要があります。
    警告: 接続を削除する場合、それがユーザベースにどのように影響するかに留意してください。接続が削除されると、元に戻すことはできません
    ヒント:ステータスが[無効]に切り替わるまで、接続を削除できません。ユーザーが変更の影響を受けないことを確認するまでは、接続を削除しないでください。

IdP 証明書の回転

証明書は頻繁に期限切れになるため、ITチームに連絡して、クアルトリクスのログインに使用されている証明書が更新されていることを確認してください。ITチームと協力して、古い証明書の有効期限が切れる前に新しい証明書を追加し、接続テストを行い、更新が正常に行われることを確認してください。

ヒント:暗号化証明書がある場合は、署名証明書もある場合でも、[証明書]セクションに記載されている手順に従うべきではありません。代わりに、新しい IdP メタデータの完全なコピーをアップロードし、バインドを再度選択します。

署名証明書のみがある場合は、以下の手順に従います。

  1. [管理]の[組織の設定]に移動します。
    画像:SSO ページのすべての接続のメニューから右に編集オプションを選択
  2. SSO に移動します。
  3. 証明書を回転させる SSO 接続の横にある [処理] プルダウンリストをクリックし、[編集] を選択します。
  4. [認定] セクションまで下にスクロールします。
    [認定証の追加] ボタンを含む認定証セクションの画像
  5. [証明書の追加] をクリックします。
  6. 新しい証明書を [証明書] ボックスに貼り付けます。
    証明書詳細という名前の新しいウィンドウの画像
  7. 追加]をクリックします。
  8. 証明書タイプとして要求に署名を選択します。
    証明書の詳細が送信された後のイメージ。証明書の一覧の下にオプションの切替が表示されます。

    ヒント:このオプションをオンにすると、リクエストがクアルトリクスから送信され、メッセージを傍受した可能性のあるユーザーではないことを保証するために、当社はアイデンティティプロバイダに送信されたリクエストに署名します。これは、HTTP Post シングルサインオンサービスバインディングを選択した場合に常に有効になります。
  9. 必要に応じて、Force authentication を選択します。
    ヒント:このオプションをオンにし、アイデンティティプロバイダがサポートしている場合は、ユーザーがすでにログインしている場合でも、アイデンティティプロバイダによってユーザーに認証が強制されます。
  10. 必要に応じて、アサーション再生防止を有効化を選択します。
    ヒント:このオプションをオンにすると、すでに確認したアサーションは再利用されません。これは SAML リプレイ攻撃を防ぐ方法の 1 つです。
  11. ページの下部にスクロールし、[適用] をクリックして変更を保存します。
    適用ボタン
  12. 接続をテストして、証明書が正しくローテーションされたことを確認します。
    SSO 接続の横にあるアクションドロップダウンで、オプションをテストおよび編集します。
  13. 編集をクリックします。
  14. [認定] セクションまで下にスクロールします。
    画像:認定証セクション
  15. 古い証明書の横にあるごみ箱アイコンをクリックして削除します。
    ヒント:テストが以前に失敗した場合は、新しく追加した証明書を削除し、正しいことを再確認してから、上記の手順を繰り返して証明書を再追加してください。
  16. 終了したら、適用をクリックします。
    適用ボタン

接続のテスト

SSO接続を設定した後は、意図したとおりに動作しているかどうかをテストすることができます。接続をテストをクリックして開始します。

テストボタン

ブラウザに新しいタブが開き、認証するためのIdPにリダイレクトされます。ログインに成功すると、SSO 交換で IdP から正常にキャプチャされた属性と値を示すページにリダイレクトされます。

ページに SSO テストが成功したことが表示され、取得されたすべてのフィールドが一覧表示されます。

ログインに失敗した場合は、エラーメッセージが表示されます。  必要な基本的な手順については、トラブルシューティングのセクションを参照してください。

ヒント:有効化された接続と無効な接続の両方をテストできます。有効化する前に、すべての接続をテストすることをお奨めします。

トラブルシューティング

接続テスト中にエラーメッセージが表示された場合は、コードをクリックするか、以下のリストを参照して、そのエラーの詳細および考えられる原因を確認してください。

[SSO接続のテスト中にエラーが発生しました]という赤いテキスト

問題を解決
できない場合は、Customer Success Hub にログインしてサポートを受けてください。SSO チームにはエラーコードが必要です。

一般的な SSO エラーコード

  • SSO_UNKNOWN_ERROR: 不明なエラーが発生しました再度ログインを試みるか、サポートに連絡して生成されたエラーコードをお知らせください。
  • SSO_SPS_CONNECTION_ERROR: エラーが発生しましたCookie やキャッシュをクリアして、再度ログインしてみてください。

SAML エラー

  • SSO_MISSING_USERNAME: ユーザー名または電子メール属性の値が、サーバーからの SSO 応答で見つかりませんでした。この属性は必須であるため、SAML 応答の属性ステートメントセクションに SSO 接続設定のユーザ名フィールドと一致する属性が含まれていることを確認してください。
    ヒント:たとえば、ログインしようとしているユーザーに、[ユーザープロビジョニングオプション]の有効なメールドメインに一致するメールがないことが原因である可能性があります。
  • SSO_SAML_MISSING_SSO_BINDING: シングルサインオンバインド URL が SAML 設定で見つかりませんでした。この値は、SPから開始されるログインに必要な値であるため、SSOの接続設定を確認の上、再度お試しください。
  • SSO_SAML_INVALID_DECRYPTION_CERT: SAML 応答の解読中にエラーが発生しました。アイデンティティプロバイダの暗号化証明書が、SSO接続用に生成されたサービスプロバイダのメタデータファイルの暗号化証明書と一致しているかどうかを確認してください。
  • SSO_SAML_INVALID_AUDIENCE_RESTRICTION:SAML 応答のオーディエンス制限でエラーが発生しました。正しい値がアイデンティティプロバイダに設定されているか確認してください。これは、SSO接続用に生成されたサービスプロバイダのメタデータファイルに記載されているアサーションコンシューマサービスロケーションと一致することになっています。
  • SSO_SAML_INVALID_RECIPIENT:SAML 応答の受信者 URL にエラーがありました。正しい値がアイデンティティプロバイダに設定されているか確認してください。これは、SSO接続用に生成されたサービスプロバイダのメタデータファイルに記載されているアサーションコンシューマサービスロケーションと一致することになっています。
  • SSO_SAML_VALIDATION_ERROR:SAML 応答の検証中にエラーが発生しました。アイデンティティプロバイダの設定とクアルトリクスのSSO接続設定を確認して、もう一度試してみてください。

OAuth 2.0 エラー

さまざまな用語の意味
については、OAuth 2.0 接続の作成を参照してください。

当サポートサイトの日本語のコンテンツは英語原文より機械翻訳されており、補助的な参照を目的としています。機械翻訳の精度は十分な注意を払っていますが、もし、英語・日本語翻訳が異なる場合は英語版が正となります。英語原文と機械翻訳の間に矛盾があっても、法的拘束力はありません。