グループをSSOプロバイダーと同期する
Optimizelyマニュアル|シームレスなアクセス管理を実現するために、SSOプロバイダーとOpti ID間でユーザーグループを自動的に同期します。
SSOプロバイダーからのグループを同期する
Opti ID では、権限のある製品へのユーザー アクセスはグループを使用して行われます。 Opti ID のグループの詳細については、 「グループ」を参照してください。
ユーザーをグループに割り当てるプロセスを容易にするために、Opti ID では、ユーザーがサインインすると、そのユーザーを Opti ID 内の既存のグループに自動的に追加できます。 これを有効にするには、ユーザー ログイン時にアサーションとともにグループ要求を送信するようにシングル サインオン (SSO) プロバイダーを構成する必要があります。
前提条件
SSO を使用したセキュリティ プロトコルにSecurity Assertion Markup Language (SAML) を使用するか、 OpenID Connect (OIDC) を使用するかを選択します。
Microsoft Entra ID または Okta を使用して、Opti ID 組織内で SSO を構成します。
同期する Opti ID グループ名と同じ名前を持つグループを Entra ID または Okta に作成します。
考慮事項
グループのクレームは文字列配列である必要があります。 文字列値は、Opti ID で表されるグループの名前である必要があります。
グループ要求で指定されたグループは、SSO プロバイダーが存在する Opti ID 組織に既に存在している必要があります。
Opti ID 組織では、 EveryoneグループとAdmin Center Administratorsグループは編集できません。
全員– 組織内の全員を反映します。 Everyoneグループへのユーザー メンバーシップは、 SSO プロバイダーによって送信されたグループによる影響を受けません。
管理センター管理者– Opti ID 管理センターの管理者を反映します。 SSO プロバイダーに同じ名前でこのグループを作成し、管理者をこのグループに割り当てて、Opti ID 管理センターへの管理者アクセス権を取得できるようにする必要があります。
ジャストインタイム (JIT) プロビジョニングを使用してユーザーが作成されると、 Everyoneグループに追加されます。 SSO プロバイダーがログインしたユーザーに対してグループ要求を提供し、同じ名前のグループが Opti ID 内に存在する場合、ユーザーはサインイン時に Opti ID 内のユーザー グループに追加されます。
注記
JIT プロビジョニングを使用すると、ユーザーが SAML SSO または OIDC SSO を介して Opti ID にログインするときに、ユーザーを自動的に作成および更新できます。 これにより、手動でプロビジョニングする必要なく、新規ユーザーが承認されたアプリケーションに自動的にアクセスできるようになります。 これにより、管理作業の負荷が軽減され、生産性が向上します。
JIT プロビジョニングのユーザー作成プロセスは、グループ要求に関係なく実行されるため、グループ要求が欠落している場合や Opti ID に見つからないグループがある場合でも、ユーザーは作成され、 Everyoneグループに追加されます。
アップストリーム SSO プロバイダーにユーザーを追加すると、Opti ID がログイン時にクレームとしてグループを受信し、これらのグループが Opti ID に同じ名前で存在する場合、Opti ID はグループとともにユーザー (まだ存在しない場合) を追加します。
アップストリーム SSO プロバイダーでユーザーを更新し (たとえば、ユーザーにグループを追加する)、Opti ID がログイン時にこれらのグループをクレームとして受け取ると、同じ名前のグループが Opti ID に存在する場合、Opti ID はユーザーをそれらのグループに追加します。
SSO プロバイダーから Opti ID への同期では、グループ (またはグループへのユーザー) のみが追加されます。 SSO プロバイダーでグループ (またはグループからユーザー) を削除する場合は、Opti ID でもそのグループ (またはグループからユーザー) を手動で削除する必要があります。
Opti ID でグループの名前を変更する場合は、SSO プロバイダーでも同じ変更を行う必要があります。 同様に、SSO プロバイダーでグループの名前を変更する場合は、Opti ID でも同じ変更を行う必要があります。 そうしないと、SSO プロバイダーで行ったグループ メンバーシップの変更が Opti ID に反映されません。
SSOプロバイダーでグループを作成する
Entra IDでグループ同期を設定する
Entra ID を使用する際の初期の考慮事項を確認する必要があります。 機能の可用性は、以下に記載されている現在の Entra ID SKU に基づいています。 アプリケーション グループ機能の場合、Entra ID インスタンスはプレミアム SKU である必要があります。 プレミアム SKU にアクセスできない場合は、個々のユーザーをアプリケーションに割り当てることで、Opti ID にログインしながらクレームにグループ情報を提供する代替方法を使用できます。
Entra ID で、SSO 用に設定したエンタープライズ アプリケーションに移動します。
グループ クレーム]ページで、アプリケーションに割り当てられたグループなど、クレームで返される目的のグループを選択します。
[ソース属性]ドロップダウン リストを展開し、グループ名が含まれる属性を選択します。
注記
マッピングが機能するには、ソース属性値が Opti ID のグループ名と一致する必要があります。
Microsoft Entra ID ベースの顧客–クラウドのみのグループ表示名を選択します。
オンプレミスのお客様– Active Directory でその属性が正しく構成されているsAMAccountNameを選択します。
(オプション)組織の要件に基づいて、詳細オプションのフィルター グループセクションを設定し、Opti ID と同期するグループのみを送信します。
SSO プロバイダーはグループ ID を配列で送信し、Opti ID はそれを受信し、ユーザーがサインインしたときに適切なグループに追加します。
Oktaでグループ同期を設定する
同期する Opti ID グループ名を反映した名前のグループを作成します。
SSOプロバイダーのグループにユーザーを割り当てる
SSO プロバイダーとしてEntra IDまたはOkta を使用できます。
Entra IDでユーザーをグループに割り当てる
Azure ポータルで、 [Microsoft Entra ID] > [グループ]に移動します。
管理するグループを選択します。
メンバーまたは所有者のいずれかを選択します。
[追加] (メンバーまたは所有者)をクリックします。
追加するユーザーを検索して選択します (一度に複数のユーザーを選択できます)。
[選択]をクリックします。
グループの概要ページが更新され、グループに追加したメンバーまたは所有者の数が表示されます。
Okta でユーザーをグループに割り当てる
Okta 管理パネルで、 「ディレクトリ」>「グループ」に移動します。
グループを検索して選択します。
追加するユーザーの名前を検索します。
「割り当て」をクリックして、ユーザーをグループに割り当てます。
「完了」をクリックします。
ユーザーをグループに割り当てた後、グループアサーションの SAML アプリケーションにグループ要求を追加します。
SAML アプリでグループ クレームを設定する
Entra IDまたはOktaで SAML アプリのグループ要求を設定できます。
Entra ID SAML アプリ
Entra ID で、SSO 用に設定したエンタープライズ アプリケーションに移動します。
[グループ要求の追加] をクリックします。
[グループ クレーム]ページで、クレームで返す目的のグループ (アプリケーションに割り当てられたグループなど) を選択します。
ソース属性ドロップダウン リストで、グループ名が含まれる属性を選択します。 マッピングが機能するには、ソース属性値が Opti ID のグループ名と一致する必要があります。
Entra ID ベースの場合、通常はクラウドのみのグループ表示名が機能します。
オンプレミスの場合、アクティブ ディレクトリでその属性を正しく構成している限り、 sAMAccountName は通常機能します。
(オプション)組織の要件に基づいて、Opti ID と同期するグループのみを送信するには、詳細オプションのフィルター グループセクションを設定します。
名前としてGroupsを使用し、名前空間なしでグループ要求の名前をカスタマイズします。 他のチェックボックスは選択しないままにしておきます。
Okta SAML アプリ
Okta で、SSO 用に設定したエンタープライズ アプリケーションに移動します。
[全般設定]タブを選択し、 SAML 設定グループで[編集] をクリックします。
「次へ」をクリックします。
「次へ」をクリックして、更新されたアプリケーション設定を保存します。
OIDC アプリでグループ要求を設定する
Entra IDまたはOktaで OIDC アプリのグループ要求を設定できます。
Entra ID OIDC アプリ
Entra ID で、SSO 用に設定したアプリケーション登録に移動します。
[管理]の下にある[トークン構成]をクリックします。
[グループ要求の追加]をクリックします。
返されるグループの種類 (セキュリティ グループ、ディレクトリ ロール、すべてのグループ、またはアプリケーションに割り当てられたグループ) を選択します。
「保存」をクリックします。
アプリケーション マニフェストを通じてグループのオプションの要求を構成するには、次の手順を実行します。
オプションのクレームを構成するアプリケーションを選択します。
[管理]の下にある[マニフェスト]をクリックします。
マニフェストの optionsClaimsセクションを使用するようにグループ要求を次のように変更します: "optionalClaims": { "idToken": [ { "name": "groups", "additionalProperties": [ "cloud_displayname" ] } ] }
Entra ID ベースの場合は、 additionalPropertiesにcloud_displaynameを追加すると通常は機能します。
オンプレミスの場合は、 additionalPropertiesにsam_account_nameを追加すると通常は機能します。
(オプション) [シングル サインオン] > [属性とクレーム] > [編集]に移動して、フィルター グループを設定します。 組織の要件に基づいてグループ フィルター条件を追加し、Opti ID と同期するグループのみを送信します。
SSO プロバイダーはグループ名を配列で送信し、Opti ID はそれを受信し、ユーザーがサインインしたときに適切なグループに追加します。
Okta OIDC アプリ
Okta で、 「アプリケーション」 > 「アプリケーション」に移動し、構成する OIDC クライアント アプリケーションを選択します。
[サインオン] タブに移動し、 OpenID Connect ID トークンセクションで[編集] をクリックします。
グループクレームタイプに対してフィルターまたは式を選択します。
グループクレーム フィルターの既定の名前グループをそのままにして、適切なフィルターを追加します。 たとえば、 「正規表現に一致」を選択し、 .*と入力すると、ユーザーのグループがすべて返されます。
「保存」をクリックします。
Opti ID 管理センターでグループを作成する
Opti ID にログインし、Opti ID 管理センターに移動します。
[ユーザー マネージャー] > [グループ]に移動します。
SSO プロバイダーで作成したグループと同じ名前のグループを作成するには、[グループの追加]をクリックします。 これにより、次回 Opti ID を使用してログインしたときに、SSO プロバイダーのグループがユーザーに同期されます。
このグループ名は、SSO プロバイダーから送信されたグループ名と完全に一致する必要があります。 この値は SSO プロバイダーによって構成されるため、SSO プロバイダーが送信する名前と一致するように後でグループ名を編集する必要がある場合があります。 たとえば、一部の Entra ID SKU および状況では、送信する最適な値はグループ ID です。 この場合、Opti ID のグループ名を Entra ID グループ ID の GUID にする必要があります。
Opti ID では、デフォルトでEveryone グループとAdmin Center Administratorsグループが使用可能です。 SSO プロバイダーが送信するグループに関係なく、すべてのユーザーはEveryoneに残ります。 SSO プロバイダーでAdmin Center 管理者グループを作成すると、それらのユーザーを Opti ID の対応するグループに同期できます。
役割とグループを設定する
管理センター内の Opti Id でロールとグループを設定します。 以下のトピックを参照してください。
グループがOpti IDに同期するときのイベント
初回ログイン
ユーザーが初めて Opti ID にログインすると、トークン内のグループ要求(存在する場合)が Opti ID 内のグループ(組織のグループ名別)と一致します。 これらのグループは、ユーザーが初めてログインに成功したときに割り当てられます。
注記
最初のログイン時にグループ割り当てを正常に行うには、ドメインベースのルーティングを設定する必要があります。
アイデンティティプロバイダー (IdP) でドメインベースのルーティングが設定されている場合は、Opti ID で JIT ユーザーを作成できます。 Opti ID 管理センターでユーザーを組織に明示的に追加することもできます。
どちらの場合でも、一致するグループが見つかった場合は、ログインが成功するとユーザーに割り当てられます。
以降のログイン
ユーザーが IdP を介してその後ログインする場合、同じ名前の一致するグループが Opti ID で見つかった場合、前回のログイン以降にユーザーに割り当てられた新しいグループが Opti ID に割り当てられます。
注記
SSO プロバイダーのグループからユーザーを削除した場合、そのユーザーがその後ログインしても、Opti ID のそのグループからは削除されません。 Opti ID のグループからユーザーを手動で削除する必要があります。
この記事の手順を完了して SSO グループを同期した後でも、Opti ID 管理センターで組織内のユーザーに Opti ID グループ (Opti ID で設定されている SSO グループに対応) を明示的に割り当てることができます。