対象プランオプション機能

本ページではOkta, Inc.が提供する「Okta」を利用したSAML認証により、管理画面へSSO（シングルサインオン）をする設定方法をご紹介します。SAML認証の詳細は、SAML認証をご覧ください。

ご利用いただく環境が整いましたら、担当のカスタマーサクセスからご連絡をいたします。下記を参考に設定を進めてください。

<attention>- Service ProviderであるEventHubからログインを開始するSP initiated に対応しています。IdP initiated には対応しておりません。
- Oktaの設定は管理者権限が必要です。</attention>

Oktaの設定
メタデータURLもしくはメタファイルの共有
SAML認証でログイン
EventHub管理画面にログインしたメールアドレスを共有
注意・補足

1. Oktaの設定

① [メンバー管理]から、[SAML設定]をクリックします。

② 表示される [ACS URL]と[SP Entity ID]をコピーしてお手元にご準備ください。

③ Oktaの管理画面にログイン後、Admin Consoleで[アプリケーション]より[アプリ統合を作成]をクリックします。

④ ［SAML 2.0]を選択し、[次へ]をクリックします。 EventHub_Co___Ltd__-_アプリケーション.png

⑤ [❶一般設定]より、[アプリ名]と[アプリのロゴ]をご自由に設定して、[次へ]をクリックします。 EventHub_Co___Ltd__-_アプリケーション.png

⑥ [❷SAMLを構成]より、[シングルサインオンURL]と[オーディエンスURL（SPエンティティID）]を設定します。

EventHub_Co___Ltd__-_アプリケーション.png

Oktaの設定項目	設定内容
シングルサインオンURL	②で管理画面から取得した[ACS URL]を設定してください。
オーディエンスURL（SPエンティティID）	②で管理画面から取得した[SP Entity ID]を設定してください。

⑤ [❷SAMLを構成]より、[属性ステートメント]の設定をしてください。（推奨）
Oktaで設定している名称をEventHub管理画面に表示するメンバー名として表示できます。
[属性ステートメント（オプション）]に以下入力し、[次へ]をクリックします。

名前	名前のフォーマット	値
firstName	設定なし	user.firstName
lastName	設定なし	user.lastName

<tips>上記設定を行わない場合、管理画面上のメンバー名が空欄となり、ユーザーが識別が難しくなります。ユーザーを識別できる名前を設定してください。ヘルプページ：カスタマーサポート - Frame 53 (2).jpg </tips>

⑥ [❸フィードバック]を入力し、[終了]をクリックします。
EventHub_Co___Ltd__-_アプリケーション.png

2. メタデータURLの共有

[サインオン] ＞ [SAML2.0]より、メタデータURLをEventHubに共有してください。
EventHub_Co___Ltd__-_EventHub-QA-Developer__EventHub-QA-Developer.png

3. SAML認証でログイン

ご共有いただいた情報をもとに、EventHubで環境設定をします。設定が完了後、弊社カスタマーサクセスからSAML認証用のログインURLを共有いたします。当該URLを利用して、EventHubの管理画面へログインしてください。
ログイン.png

<attention>EventHubへはIDaaSから直接管理画面へログインすることはできません。SAML認証用のログインURLからアクセスしてください。</attention>

4. EventHub管理画面にログインしたメールアドレスを共有

管理画面にログイン時、右上に表示されるメールアドレス（IDaaSから連携されたメールアドレス）をEventHubに共有してください。

SAML認証でログインしたユーザーは、デフォルトでは全イベントの編集・閲覧する権限がない設定になっていますので、EventHubがイベント管理権限を付与いたします。<attention>最初に連携するユーザーには弊社で管理者権限を付与いたしますので、それ以降にログインされるユーザーの権限設定は貴社にてご対応をお願いします。管理者権限の詳細は、メンバー管理をご覧ください。</attention>

これで設定は完了です🎉

上記設定を行なっても、SAML認証によるログインができない場合、IdPの設定が正しくできていない可能性があります。その際は、有効化した設定を一度削除することが可能ですので、カスタマーサポートまでお問い合わせください。

5. 注意・補足

ID/PWログインとの併用

SAML認証設定後も、ID/PWでログインするメンバーを追加することは可能です。
SAML認証設定前に管理画面に登録されていたメンバーは、SAML認証設定後も従来のID/PWでログイン可能です。ID/PWでのログインを制限したい場合は、既存のID/PWメンバーを管理画面から削除した上で、EventHubへのログインを許可するメンバーをIDaaS側で制御してください。なお、ID/PWでログインしているメンバーは、メンバー管理画面上に⚠️マークが表示されます。

問題発生時などに迅速かつ適切なサポートを提供するため、EventHubでは管理者として1ユーザー登録させていただいております。当該ユーザーはSAML認証を利用環境であってもID/PWでログインしますので、ご理解のほどよろしくお願いいたします。

その他

SAML認証利用時のメールアドレス・パスワードについて
- SAML認証を使用してログインすると、IDaaSからランダムなメールアドレスが付与されます。これはEventHub全体でメールアドレスの重複を避けるための仕組みです。メールアドレスは初回ログイン時に付与され、その後は固定されます。EventHub管理画面からメールアドレスの変更は可能ですが、変更してもIDaaS側のメールアドレスには反映されません。
- SAML認証ユーザーは、パスワードリセットはできません。

IPアドレス制限機能と併用した場合、IDaaSとの接続等で意図せずIPアドレスで弾かれてしまう可能性がございますのでご注意ください。

Oktaでアクセス権限を解除すると、72時間経過後に管理画面にログインできなくなります。