シングルサインオン (SSO) は、複数のアプリケーションにアクセスするために、各アプリケーションごとに認証情報を再入力することなく、1セットのログイン資格情報を使用できるシステムです。 SSOを使用すると、組織の中央アイデンティティプロバイダー (IdP) を使用して、MoEngageダッシュボードに簡単にアクセスできます。 組織の中央アイデンティティプロバイダー (IdP)。
SSOの利点
SSOを使用する利点には次のものがあります:
- シンプルなユーザーエクスペリエンス : SSOは、ユーザーが異なるアプリケーションのために複数のユーザー名とパスワードを覚えたり管理したりする必要を排除し、ログインプロセスをはるかに簡単かつ迅速にします。
- パスワード疲れの軽減 : 資格情報を統合することで、SSOはユーザーが多数のパスワードを記憶し管理する負担を軽減し、これがセキュリティリスクやフラストレーションにつながる可能性があります。
- 強化されたセキュリティ : SSOによる中央集権的な認証は、より効果的なセキュリティ管理を可能にし、強力なパスワードポリシーや多要素認証などを提供し、ユーザーアクセスと権限の管理プロセスを簡素化します。
- 生産性の向上 : SSOは、ユーザーがログインプロセスに費やす時間を減らし、コアの作業タスクにもっと時間を費やすことを可能にし、生産性と効率の向上につながります。
- ITコストの削減 : SSOはユーザーアクセス管理を効率化し、ITチームの負担を軽減し、パスワードのリセットやサポートコールの必要性を最小限に抑えることで、コスト削減につながります。
SSO構成
MoEngageは、Security Assertion Markup Language (SAML) 2.0を使用してSSOをサポートし、SSOサービスプロバイダー(SP)として機能します。SAMLは、OAuth 2.0に似たユーザー認証の委任を可能にする業界標準のプロトコルです。
ログインすると、認証のために内部または外部のSSOシステムにリダイレクトされ、応答が確認されるとMoEngageに戻されます。
| info |
Information
|
アイデンティティプロバイダー (IdP)
MoEngageは、ユーザーのログインを簡素化し、中央集権化するためにアイデンティティプロバイダー(IdP)を使用しています。これにより、SAML 2.0標準に基づくSSOを使用して、MoEngageサービスに安全にアクセスすることができます。現在、MoEngageは以下のIdPをサポートしています:
- Okta
- Onelogin
- Azure (Microsoft Entra ID)
-
Google Admin
- その他(SAML 2.0 準拠の他の IdP を設定できます)
MoEngageダッシュボードでSSOを有効にするには、以下の手順を実行してください:
-
MoEngageダッシュボードの左側のナビゲーションメニューで、
設定
>
アカウント
>
セキュリティ
をクリックします。
- セキュリティページで、 ログイン タブをクリックします。
- クリックして シングルサインオン (SSO) のみ 。
-
「
シングルサインオン
」の下で、
SSOの設定
をクリックします。
「 SSOの設定 」ダイアログボックスが表示されます。 -
「
アイデンティティプロバイダー
」リストから、あなたのアイデンティティプロバイダーを選択してください。
今、特定のIdP管理コンソールに切り替えて、SSO設定を構成し、MoEngageと選択したIdP間のSSO統合が意図した通りに機能することを確認する必要があります。
info 情報
お好みのアイデンティティプロバイダーが「 アイデンティティプロバイダー 」リストにない場合は、 その他 を選択してSSOを構成できます。この機能は、SAML 2.0に準拠した任意のプロバイダーで機能します。
OktaでSSOを設定するには、次の手順を実行してください:
- 「 Okta Admin Console 」に移動します。
-
左側のナビゲーションメニューで、
アプリケーション
>
アプリケーション
をクリックします。
-
「
アプリケーション
」ページで、
アプリ統合を作成
をクリックします。
新しいアプリ統合を作成するポップアップウィンドウが表示されます。 -
「
SAML 2.0
」オプションをクリックし、次に「
次へ
」をクリックします。
「SAML統合の作成」ページが表示されます。アプリを定義するための最初のステップ「 一般設定 」に進みます。
-
以下の詳細を入力してください:
フィールド 必須 説明 アプリ名 はい アプリ名を入力してください。
アプリロゴ 任意 アプリケーションアイコンとして使用する画像ファイル(通常はPNG、JPG、またはGIF)をアップロードしてください。
注意 :画像ファイルは1MB未満である必要があります。アプリの可視性 任意 アプリケーションアイコンをユーザーから隠すには、 アプリの可視性 の隣にある アプリケーションアイコンをユーザーに表示しない チェックボックスを選択してください。 - クリックして 次へ。 次のステップ SAMLの設定を構成 し、SAML設定を定義します。
-
MoEngage ダッシュボードの
SSO 設定
ダイアログボックスで、
シングルサインオン URL
と
オーディエンス URI (SP エンティティ ID)
をコピーします。
-
以下の詳細を
SAML設定
に入力してください:
フィールド 必須 説明 シングルサインオンURL はい このURLは、OktaからMoEngageへのSAMLアサーション(認証応答)を受信します。
MoEngageダッシュボードからコピーしたURLを貼り付けてください。
オーディエンスURI(SPエンティティID) はい このURLは、認証アサーションが意図されている特定のアプリケーション(MoEngage)についてOktaに通知します。
MoEngageダッシュボードからコピーしたURIを貼り付けてください。
注意 :このボックスには、異なるワークスペースからの複数のエンティティIDをカンマで区切って追加できます。
名前IDフォーマット はい EmailAddress を選択してください。
- ページの最後までスクロールして、 次へ クリックしてください。あなたは第三ステップ、 フィードバック に進みます。
-
「
これは私たちが作成した内部アプリです
」チェックボックスを
アプリタイプ
の隣に選択してください。
- クリックして 完了 します。あなたは今、アプリをOktaに接続するための SAML署名証明書 を生成する必要があります。
- デフォルトでは、 サインオン タブにいます。ページの一番下までスクロールし、 SAML署名証明書 の下にある ステータス が アクティブ としてマークされているものを見つけて、証明書をダウンロードしてください。
- 「 アクション 」列の アクション 矢印をクリックします。
-
証明書をダウンロード
をクリックしてください。
メタデータはXMLファイルでダウンロードされます。 - MoEngage ダッシュボードの Configure SSO ダイアログボックスの Enter XML Configuration ボックスにダウンロードした XML ファイルをアップロードします。
- デフォルトでは、 テスト環境のために同じ設定を更新する チェックボックスが選択されています。選択されると、構成はテスト環境と本番環境の両方に適用されます。ライブ環境のみに設定を適用したい場合は、チェックボックスの選択を解除してください。
-
クリックして
設定
します。
アラートポップアップウィンドウが表示され、指示を適切に確認するように促されます。 - このワークスペースの ユーザーにメールを送信する チェックボックスを選択して、ワークスペースのシングルサインオン(SSO)の有効化についてすべてのユーザーに通知します。
-
クリックして
完了
を選択します。
SSO構成が正常に完了しました。 ログイン タブでOkta SSOを確認できます。
OneloginでSSOを設定するには、以下の手順を実行してください:
- 「 Onelogin Admin Console 」に移動します。
-
プロフィールの右上隅にある
管理
をクリックしてください。
-
クリック
アプリケーション
>
アプリケーション
。
-
アプリケーションページで、
アプリを追加
をクリックします。
アプリケーションを見つけるページが表示されます。 -
「
検索
」ボックスにSAMLと入力し、ページをスクロールして「
SAMLテストコネクタ(IdP)
」をクリックします。
SAMLテストコネクタ(IdP)を追加するページが表示されます。 - In the Display Name box, type the SAML name being tested.(任意)
-
クリックして
保存
します。
あなたのSAMLは正常に追加され、SAMLテストコネクタ(IdP)ページが表示されます。 -
左側のナビゲーションメニューで
設定
をクリックします。
-
MoEngage ダッシュボードの
SSO を構成
ダイアログボックスで、
オーディエンス、ACS (コンシューマ) URL バリデーター
、および
シングルログアウト URL
をコピーします。
-
「
アプリケーションの詳細
」セクションに、以下の詳細を入力してください:
フィールド 必須 説明 オーディエンス はい このURLは、SAMLアサーションの意図された受信者を指定します。
MoEngageダッシュボードからコピーしたオーディエンスを貼り付けてください。
ACS(コンシューマ)URLバリデーター はい このURLは、MoEngageがSAMLアサーションのみを受け入れることを保証するための追加のセキュリティを追加します。
MoEngageダッシュボードからコピーしたURLバリデーターを貼り付けてください。
ACS(コンシューマ)URL はい このURLは、OneloginからMoEngageにSAML認証データを受信し、処理します。
注意 :MoEngageダッシュボードからコピーした ACS(コンシューマ)URLバリデーター を ACS(コンシューマ)URL ボックスに貼り付けてください。
シングルログアウトURL はい このURLはシングルログアウト機能を可能にします。
-
クリックして
保存
します。あなたのSAML構成は正常に更新されました。
-
右上隅の
その他のアクション
矢印をクリックし、
SAML メタデータ
を選択します。
メタデータは XML ファイルとしてダウンロードされます。 - ダウンロードしたXMLファイルをMoEngageダッシュボードの Configure SSO ダイアログボックスにアップロードするには、 Upload をクリックしてください。
- デフォルトでは、 テスト環境の同じ設定を更新する チェックボックスが選択されています。選択されると、設定はテスト環境と本番環境の両方に適用されます。本番環境のみに設定を適用したい場合は、チェックボックスの選択を解除してください。
-
クリックして
設定
を選択します。
アラートポップアップウィンドウが表示され、指示を適切に確認するように促されます。 - このワークスペースの ユーザーにメールを送信 するチェックボックスを選択して、ワークスペースのシングルサインオン(SSO)機能の有効化についてすべてのユーザーに通知します。
-
クリックして
完了
を選択します。
SSOの設定が正常に完了しました。 ログイン タブにOnelogin SSOが表示されます。
AzureでSSOを設定するには、以下の手順を実行します:
- Azure 管理コンソールに移動します。
-
Azure サービス ページで、
Microsoft Entra ID
をクリックします。
-
概要ページで、左側のナビゲーションメニューに移動し、
管理
>
エンタープライズ
アプリケーション
をクリックします。
-
エンタープライズアプリケーション | すべてのアプリケーションページで、
+ 新しいアプリケーション
をクリックします。
- Microsoft Entra ギャラリー ページの検索ボックスに SAML Toolkit. と入力します。
-
クリックして
Microsoft Entra SAML Toolkit
タイルを選択し、アプリケーションを作成します。
作成したアプリケーションは Enterprise applications | All applications ページに表示されます。 -
「
アプリケーション名またはオブジェクトIDで検索
」ボックスに、作成したアプリケーションの名前を入力し、アプリケーションを選択します。
作成したアプリケーションが表示されます。
次に、作成したアプリケーションのSSOを構成する必要があります。 -
開いているアプリケーションページで、左側のナビゲーションメニューに移動し、
管理
>
シングルサインオン
をクリックします。
作成したアプリケーションのためのSAMLベースのサインオン設定ページが表示されます。
- 最初のステップである 基本的なSAML構成 に移動して、メタデータを定義します。
-
「
基本 SAML 設定
」セクションで、右上の
編集
をクリックします。「
基本 SAML 設定
」ペインが右側に表示されます。
-
MoEngage ダッシュボードの
SSO の設定
ダイアログボックスで、
識別子 (エンティティ ID)、返信 URL (アサーション消費サービス URL)
、および
サインオン URL
をコピーします。
-
基本的な SAML 構成セクションに、次の詳細を入力します:
フィールド 必須 説明 識別子 (エンティティ ID) はい この URL により、MoEngage は Azure からの認証リクエストを検証し、安全でシームレスなログインを保証します。
MoEngage ダッシュボードからコピーした ID を貼り付けます。
応答 URL (アサーション コンシューマ サービス URL) はい この URL は、Azure から MoEngage に対する SAML 認証データを受信および処理します。
MoEngage ダッシュボードからコピーした応答 URL を貼り付けます。
サインオン URL はい この URL は、Azure からのエントリーポイントで、MoEngage にアクセスするための SAML SSO プロセスをトリガーします。
MoEngage ダッシュボードからコピーしたサインオン URL を貼り付けます。
-
クリックして
保存
します。
- あなたのSSO設定は正常に保存されました。XMLファイルをダウンロードするには、3番目のステップである SAML証明書 に移動してください。
-
In the
SAMLCertificates
section, click
Download
adjacent to the
Federation Metadata XML
.
The metadata will be downloaded in an XML file. - ダウンロードしたXMLファイルをMoEngageダッシュボードの Configure SSO ダイアログボックスにアップロードするには、 Upload をクリックしてください。
- デフォルトでは、 テスト環境の同じ設定を更新する チェックボックスが選択されています。選択されると、設定はテスト環境とライブ環境の両方に適用されます。本番環境にのみ設定を適用したい場合は、チェックボックスのチェックを外してください。
-
クリックして
設定
を選択します。
アラートポップアップウィンドウが表示され、指示を適切に確認するよう促されます。
- このワークスペースの ユーザーにメールを送信 するチェックボックスを選択して、ワークスペースのシングルサインオン (SSO) の有効化についてすべてのユーザーに通知します。
-
完了を
クリック
します。
SSO構成は正常に完了しました。 ログイン タブでAzure SSOを確認できます。
Google AdminでSSOを設定するには、次の手順を実行します:
- Google Admin Consoleに移動します。
-
左側のナビゲーションメニューで、
アプリ
をクリック >
Webおよびモバイルアプリ
をクリックします。
-
クリックして
アプリを追加
矢印をクリックし、
カスタム SAML
アプリ
を追加します。
最初のステップ アプリの詳細 に移動し、アプリを定義します。 -
「
アプリの詳細
」ページに、次の詳細を入力します:
フィールド 必須 説明 アプリ名 はい あなたのSAMLアプリケーションの名前。 説明 はい あなたのSAMLアプリケーションの構成の説明。 ロゴをアップロード 任意 アプリケーションアイコンとして使用する画像ファイル(通常はPNG、JPG、またはGIF)をアップロードします。
注意 :画像ファイルは4MB未満でなければなりません。
- クリックして 続行 します。次のステップに進みます。 Google アイデンティティ プロバイダーの詳細 。
-
オプション 1: IdP メタデータのダウンロード
の下で、
メタデータのダウンロード
をクリックします。
メタデータは XML ファイルとしてダウンロードされます。 -
クリックして
続行
します。
あなたは3番目のステップ サービスプロバイダーの詳細 に進みます。 -
MoEngage ダッシュボードの
SSO の設定
ダイアログボックスで、
ACS URL
と
エンティティ ID
をコピーします。
-
「
サービスプロバイダーの詳細
」ページに、以下の詳細を入力してください:
フィールド 必須 説明 ACS URL はい このURLは、Google AdminからMoEngageへのSAML認証データを受信し、処理します。
MoEngageダッシュボードからコピーしたURLを貼り付けてください。
エンティティID はい アプリケーションの一意の識別子です。
MoEngageダッシュボードからコピーしたIDを貼り付けてください。
スタートURL オプション ここは空白のままにしてください。 - 全体の SAML 応答に署名するには、 署名付き応答 チェックボックスを選択します。これには、アサーションおよびその他のプロトコル関連情報が含まれます。
- リストの Name ID format で Email を選択します。
-
クリックして
続行
します。
次に、4番目のステップ 属性マッピング に進みます。ここでは、オプションのユーザー属性(例えば、名、姓、メールアドレス)をマッピングできます。 -
クリックして
完了
します。
あなたのSAML設定は更新されました。 - MoEngage ダッシュボードの SSO の設定 ダイアログボックスで、 アップロード をクリックして、ステップ 6 でダウンロードした XML ファイルをアップロードします。
- デフォルトでは、 テスト環境の同じ設定を更新する チェックボックスが選択されています。選択されると、設定はテスト環境と本番環境の両方に適用されます。本番環境にのみ設定を適用したい場合は、チェックボックスの選択を解除してください。
-
クリックして
設定
します。
アラートポップアップウィンドウが表示され、指示を適切に確認するよう促されます。 - このワークスペースの ユーザーにメールを送信 するチェックボックスを選択して、ワークスペースのシングルサインオン(SSO)機能の有効化についてすべてのユーザーに通知します。
-
クリックして
完了
を選択します。
SSOの設定は正常に完了しました。 ログイン タブでGoogle SSOを確認できます。
| info |
Information 上記にリストされていないIDPを使用している場合は、 その他 オプションを アイデンティティプロバイダー リストから選択できます。 |
SSOを その他 オプションで設定するには、次の手順を実行します:
- IdP管理コンソール内で必要な設定を完了してください。
- MoEngageダッシュボードの SSOを設定 ダイアログボックスに表示されるメタデータ値を、あなたのIdP管理コンソールの対応するフィールドに追加してください。
- IdPによって生成されたSAMLメタデータファイルをダウンロードして保存します。
- ダウンロードしたXMLファイルをMoEngageダッシュボードの SSOを構成 セクションにアップロードするには、 アップロード をクリックしてください。
- デフォルトでは、 テスト環境のために同じ設定を更新する チェックボックスが選択されています。選択すると、構成はテスト環境と本番環境の両方に適用されます。本番環境にのみ設定を適用したい場合は、チェックボックスの選択を解除してください。
-
クリックして
設定
します。
アラートポップアップウィンドウが表示され、指示を正しく確認するように促されます。 - このワークスペースのユーザーにメールを送信 するチェックボックスを選択してください。
-
クリックして
完了
します。
SSO構成は正常に完了しました。
よくある質問
認証に失敗しました
これは一般的に、アイデンティティプロバイダーとのSAML認証が失敗したときに発生します。IDプロバイダーに詳細をお問い合わせください。
持続的なエラー
MoEngageは、メールIDとパスワードの組み合わせを使用して管理者ログインをサポートしています。管理者はシングルサインオン画面に戻ることができる(設定に移動 > セキュリティ設定)そしてSSOを無効にすることができる。
これは一般的に、アップロードされたXMLファイルが無効な場合に発生します。正しいXMLファイルで再試行してください。問題が解決しない場合は、アイデンティティプロバイダーに確認してください。
MoEngageは、SAML 2.0をサポートするすべてのアイデンティティプロバイダー(IdP)をサポートしています
はい、異なるワークスペースに対して異なるアイデンティティプロバイダーを設定できます。たとえば、1つのワークスペースに対してSSOを構成するためにOktaを使用し、別のワークスペースに対してGoogleを使用することができます。テスト環境と本番環境で異なるアイデンティティプロバイダーを持つこともできます。
ユーザーは、前回のセッションが終了する前に使用した最新のワークスペースに関連付けられたIDPにリダイレクトされます。
テスト環境を使用して、SSOセットアップをテストし、すべてが望み通りに機能していることを確認できます。テストで確認したら、ライブ環境で再度SSOを設定する必要があります。一方で、SSOは本番環境で最初に設定すると、自動的にテスト環境に設定されます。
ユーザーがSSOが有効になっているワークスペースの一部でない場合、MoEngageにログインすることはできません。
ユーザーは、ID プロバイダーからリダイレクトされる際に MoEngage ダッシュボードで Auth Status Failure エラーを見ることになります。
SSOは、 セットアップと管理 の権限を持つユーザーのみが、有効化/無効化/編集できます。 ログイン設定 の下で。
必要な権限を持つユーザーは、 設定 -> ログイン -> 認証 に移動し、 シングルサインオン(SSO)のみ を選択して、必要なアクションを実行できます。
もしSSOがワークスペースの1つに対して有効になっていない場合や、ワークスペースに異なるIDプロバイダーが使用されている場合、ユーザーはそれらの間を切り替える際に再認証が必要になります。
異なるワークスペース間をシームレスに再認証なしで切り替えるには、ユーザーはテスト環境とライブ環境の両方で同じアイデンティティプロバイダーを持つすべてのワークスペースでSSOを強制する必要があります。
SSOが有効になると、管理者のみがMoEngageの資格情報を使用してログインするオプションがあります。すべての他のユーザーはSSOを通じてログインする必要があります。
UPNは、UPNプレフィックス(ユーザーアカウント名)とUPNサフィックス(DNSドメイン名)で構成されています。接頭辞は "@" シンボルを使用して接尾辞と結合されます。someone@example.comUPNは、ディレクトリ内のすべてのセキュリティプリンシパルオブジェクトの中で一意でなければなりません。詳細については こちら をお読みください。
ここに一般的な問題とその解決策があります。
| エラー | 解決 |
| 不正なクラスターURL | MoEngage ダッシュボードにログインするには、データセンターに応じた正しいログイン URL を使用してください。詳細については、 データセンター を参照してください。 |
| 不正な名前ID形式 | 名前ID形式は、以下に示す形式である必要があります: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
| シングルサインオンURLが見つかりません | SAMLメタデータファイルには、有効な値のシングルサインオンURLが含まれている必要があります。 |
| NameIDFormat |
|
はい、ワークスペースにSSOを有効にしても、二要素認証は引き続き有効です。