メインコンテンツにスキップ
Skip to article
  • Customer Experience
    Customer Experience
  • Employee Experience
    Employee Experience
  • Brand Experience
    Brand Experience
  • Core XM
    Core XM
  • Design XM
    Design XM

SSO の技術要件

Was this helpful?


This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The feedback you submit here is used only to help improve this page.

That’s great! Thank you for your feedback!

Thank you for your feedback!

技術要件の概要

シングルサインオン(SSO)により、サードパーティーは、Qualtricsシステムへのアクセス権を付与する前にユーザーを認証できます。Qualtricsでは、GoogleOAuth 2.0、セントラル認証サービス(CAS)、Lightweight Directory Access Protocol(LDAP)、Security Assertion Markup Language(SAML)の4種類のSSO認証をサポートしています。各タイプでは、サードパーティに特定のタイプのサーバが必要です。たとえば、CAS SSO 認証は、サードパーティの CAS サーバに依存しています。

このページでは、満たす必要がある技術要件について説明します。これらの設定は、IT チームで設定し、Qualtrics SSO サポートチームに通知する必要があります。

Google OAuth 2.0

Google OAuth 2.0 は、Qualtrics プラットフォームに対してユーザーを認証するために使用できる権限フレームワークです。サードパーティ認証用に Google OAuth 2.0 を設定するには、プラットフォームにアクセスするユーザに Google アカウントが必要です。

以下の設定パラメータを指定する必要があります。

  • 有効なメールドメイン
    • ログイン試行ごとにに対してユーザーの電子メールアドレスを認証するには、特定の電子メールドメインが必要です。

クアルトリクスは、Google OAuth 2.0に対する認証時にのみ、ユーザーのGoogleアカウントに関連付けられたメールを受信します。メールは、クアルトリクスの[ユーザー名]、[名]、[姓]、[メールアドレス]の各フィールドの入力に使用されます。

必要な有効なメールドメインが提供されたら、QualtricsはサードパーティーとGoogle OAuth 2.0の統合をセットアップできます。

注意:Google OAuth 2.0では、クアルトリクスオフラインアプリへのアクセスはサポートされていません。

Lightweight Directory Access Protocol (LDAP)

Lightweight Directory Access Protocol (LDAP) は、サードパーティが認証できるディレクトリサービスです。Qualtricsは、ユーザーがQualtricsプラットフォームにログインしようとしたときに、LDAPサーバーに対して自動的に認証されるように設定できます。LDAP 統合を設定するには、サードパーティに有効な LDAPv3 サーバがあることを前提としています。

以下の設定パラメータを指定する必要があります。

  • LDAP サーバホスト名: IP アドレスまたはサーバ名。
  • LDAP サーバーポート:サーバーとの通信にQualtricsポートを使用します。
  • 基本識別名 (DN): 例: 
    o=組織
  • Bind Distinguished Name: 検索ベースバインド DN またはバインド DN ユーザ。これは、LDAP サーバで認証されていない検索が許可されている場合は必要ありません。
  • Bind Password: LDAP サーバで認証されていない検索が許可されている場合は、これは必要ありません。
  • 認証フィルタパラメータ: 例: 
    uid=%username%
  • ログアウトのリダイレクトURL:クアルトリクスには、ログアウト時にユーザーのログインセッションをクリアするためのログアウトのリダイレクトURLが必要です。[ログアウトのリダイレクト URL]が指定されていない場合、Qualtricsはユーザーを https://qualtrics.com または任意の別のURLにリダイレクトできます。ただし、ユーザーのログインセッションはクリアされず、ユーザーは [戻る] ボタンをクリックするかログインページに戻ることで、すぐにログインし直すことができます。
  • LDAP 属性

上記の情報が提供されたら、Qualtricsはサードパーティーとの LDAP 統合の設定を手配できます。

セントラル認証サービス (CAS)

セントラル認証サービス (CAS) は、エンタープライズシングルサインオンサービスを提供し、JA-SIG CAS によってサポートされています。CAS の詳細については、https://www.apereo.org/projects/cas を参照してください。Qualtrics システムは CAS クライアントとして機能し、ユーザーが CAS を介して認証し、Qualtrics システムにログインできるようにします。CAS SSO を設定するために、サードパーティには CAS 2.0 プロトコル以降を使用して動作する CAS サーバがあることを前提としています。

以下の設定パラメータを指定する必要があります。

  • CAS サーバホスト名: サーバ名。
  • CASサーバーポート:サーバーとの通信にQualtricsポートを使用します。
  • ホスト上の CAS システムの URI
  • ログアウトのリダイレクトURL:クアルトリクスには、ログアウト時にユーザーのログインセッションをクリアするためのログアウトのリダイレクトURLが必要です。[ログアウトのリダイレクト URL]が指定されていない場合、Qualtricsはユーザーを https://qualtrics.com または任意の別のURLにリダイレクトできます。ただし、ユーザーのログインセッションはクリアされず、ユーザーは戻るボタンをクリックするか、再度ログインページに移動することですぐにログインし直すことができます。

以下のパラメータは、SAML 1.1 をサポートする CAS のバージョンを使用しているかどうかによって異なります。

上記の情報が提供されたら、クアルトリクスはサードパーティーとの CAS 統合の設定を手配できます。

Security Assertion Markup Language (SAML)

Security Assertion Markup Language (SAML) は、セキュリティドメイン間、またはアイデンティティプロバイダ (アサーションのプロデューサ) とサービスプロバイダ (アサーションのコンシューマ) 間で認証および権限データを交換するための XML ベースの標準です。クアルトリクスシステムは、ユーザーがクアルトリクスシステムにログインしたときに、SAML を使用してサードパーティのアイデンティティプロバイダ(IdP)を通じて自動的に認証されるように設定できます。SAML 統合を設定するために、サードパーティには動作中の SAML 2.0 (シボレス 2.0) の実装があり、サービスプロバイダ (SP) が開始したログインをサポートできることを前提としています。

Qualtricsでは、SAML ログインについて、IdP と SP が開始するワークフローの両方をサポートしています。2 つのうちで共通なのは、SP によって開始される交換です。これにより、ユーザーはフローを次の場所から開始します。 https://brandID.datacenter.qualtrics.com 組織の Vanity URL などですIdP 起動の交換は、主にユーザが内部ネットワークで認証を行う際に使用されます。これにより、ユーザは内部アプリケーションポータルでフローを開始します。

以下の設定パラメータを指定する必要があります。

  • アイデンティティプロバイダ (IdP) メタデータ (リンクまたは添付文書としての XML 形式)
    • 必須タグ:
      • EntityDescriptor
      • キー記述子
      • SingleSignOnService
        • SingleSignOnService 内の HTTP Post バインドと HTTP Redirect バインディングの両方がサポートされています。ただし、AuthnRequest の署名が必要な場合は、HTTP Post を使用する必要があります。
      • SingleLogoutService
        • このフィールドは、ログアウト時にユーザーのログインセッションをクリアする URL にユーザーをリダイレクトするために使用されます。SingleLogoutService URLが指定されていない場合、Qualtricsはユーザーを https://qualtrics.com または任意の別のURLにリダイレクトできます。ただし、ユーザーのログインセッションはクリアされず、ユーザーは戻るボタンをクリックするか、再度ログインページに移動することですぐにログインし直すことができます。
  • SAML 属性

上記の情報が提供されたら、Qualtricsはサードパーティとのシボレス/SAML統合をセットアップできます。

SAML 応答の取得および解読方法

SAML 応答は、SAML 認証が成功した後、アイデンティティプロバイダによってサービスプロバイダに送信されます。SAML 応答には、属性、証明書、バインドなど、アイデンティティプロバイダから渡されるすべての情報が含まれます。この情報は、権限またはログインプロセス全体に関する問題のトラブルシューティングを行う場合に役立ちます。

SAML 応答の取得に役立つ数多くのツールが用意されています。以下は、ほとんどのブラウザで使用できる方法ですが、どのような方法でも自由に使用してください。

  1. ブラウザで新しいタブを開きます。
  2. 開発者ツールを開きます。
    ヒント:使用するブラウザーに応じて、さまざまな場所に配置できます。このページのスクリーンショットは、Chrome ブラウザのルックアンドフィールを示しています。
  3. ネットワークタブを選択します。
  4. ログ保持を選択します。
  5. このブラウザタブにログインの URL を入力し、SSO を使用してログインします。
  6. 名前で、”default-sp” という項目を選択します。
  7. ヘッダの下のフォームヘッダの下に、SAML 応答というラベルの付いた文字のブロックが表示されます。
    ヒント:サポートチームからSAML応答のリクエストがあった場合は、このステップで停止できます。
  8. SAML 応答は現在 Base64 でエンコードされています。SAML 応答を読みやすい形式にデコードするには、オンラインで見つかった任意の Base64 デコーダを使用します。
    ヒント:base64をエンコードし、base64をデコードするためのツールを確認してください。

SAML 応答の読込方法

SAML 応答には、トラブルシューティングに役立つ重要な情報がいくつかあります。

  1. 宛先: これはサービスプロバイダアサーションコンシューマサービス URL に対応し、通常は SAML 応答の上部に位置します。
    SAML 応答での宛先
  2. 発行者: これはアイデンティティプロバイダのエンティティ ID に対応しており、通常は SAML 応答の上部に位置します。
    SAML 応答での発行者
  3. X509証明書: これはアイデンティティプロバイダの署名証明書に対応しており、通常は SAML 応答の途中にあります。
    X509SAML 応答の証明書
  4. オーディエンス: これはサービスプロバイダエンティティ ID に対応しており、通常は SAML 応答の途中にあります。
    SAML 応答のオーディエンス
  5. 属性文: これには、アイデンティティプロバイダによって送信されるすべての属性名と値が含まれ、通常は SAML 応答の下部にあります。
    SAML 応答の属性ステートメント

当サポートサイトの日本語のコンテンツは英語原文より機械翻訳されており、補助的な参照を目的としています。機械翻訳の精度は十分な注意を払っていますが、もし、英語・日本語翻訳が異なる場合は英語版が正となります。英語原文と機械翻訳の間に矛盾があっても、法的拘束力はありません。