基本操作ガイド

Basic Guide

組織設定

SSOの設定

BLOCKSは、SAML(Security Assertion Markup Language)認証を使用したシングルサインオン(SSO)に対応しています。ここでSSOの設定を行うことで、社内のIdentity Provider(IdP)に登録されたユーザーアカウントで、BLOCKSにシングルサインオンできます。

error_outline 情報

BLOCKSは、SAML 2.0に対応し、Service Provider(SP)として動作します。

設定手順

info 補足

この説明では、IdPが構築済みであることを前提としています。IdPの構築については、各製品ベンダーにお問い合わせください。

warning 注意

SSO設定した組織は、BLOCKSにシングルサインオンした状態でないと表示されません。

  1. 組織設定の画面に切り替えます。

    1. 変更対象の組織に切り替えます。

    2. 組織が切り替わったら、もう一度グローバルナビゲーションの組織選択をクリックして、組織のリストを表示させます。

      組織選択

    3. 組織名横のアイコン(settings_applications)をクリックします。

      パスワード保護ダイアログボックス

      セキュリティ保護により、この操作を続けるにはログイン時のパスワードを入力する必要があります。パスワードを入力して、[送信]ボタンをクリックしてください。再表示しないをチェックすると、以降1時間以内はパスワードの入力は必要ありません(ユーザー設定をクリックしても同様)。

      lightbulb ヒント

      パスワード入力後1分以内であれば、再び組織名横のアイコン(settings_applications)をクリックしてもパスワード入力要求はありません(ユーザー設定をクリックしても同様)。また、組織を切り替えて、組織名横のアイコン(settings_applications)をクリックすると必ずパスワード入力要求があります(再表示しないの機能はリセット)。

  2. 左側のメニューから「SSO」をクリックします。

    SSO設定画面

  3. 有効・無効の項目で、SSOを有効にします。

  4. 通常ログインの許可の項目で、SSO有効時にも通常ログインを許可するかどうかを設定します。

    この設定は、SSOの疎通確認を行うためのものです。SSO設定時は、この設定をオンにして、SSOログインが確実に行えることを確認してください。その後、この設定をオフにしてください。

    dangerous 警告

    この設定がオフの場合は、通常ログインができないため、このSSO設定にアクセスできなくなります。このため、SSO設定にミスがあっても設定内容の修正ができません。SSO設定時は、この設定をオンにすることをおすすめします。疎通確認後は、セキュリティ保護のため、オフに設定して運用することをおすすめします。

  5. 設定項目に必要事項を入力します。

    1. ログインURL:SAMLリクエストの送信先URLを入力します。
    2. ログアウトURL:BLOCKSからログアウトしたときに表示されるIdPのURLを入力します。
    3. パスワード変更URL:パスワード変更するときに表示されるIdPのURLを入力します。
    4. IdP証明書(PEM形式):[ファイルを選択]ボタンをクリックして、PEM形式のIdP証明書ファイルを添付します。

  6. 保存]ボタンをクリックします。

    error_outline 情報

    保存]ボタンをクリックすると、[エンティティID]および[Consume URL]の内容が表示されます。

  7. 画面右上の「閉じる」ボタンをクリックすると、組織設定の画面が閉じます。

メールアドレスの変更

SSO設定された組織でメールアドレスを変更する場合、以下の手順に従ってください。

  1. BLOCKSにログインした状態でBLOCKSユーザーのメールアドレスを変更します。
  2. シングルサインオン設定のユーザーのメールアドレスを変更します。
  3. BLOCKSにSSOでログインして、変更が正しく反映されていることを確認します。

dangerous 警告

先にシングルサインオン設定のメールアドレスを変更してしまうと、BLOCKSのユーザーメールアドレスの変更が不可能になる場合があります。必ずBLOCKSユーザーのメールアドレスの変更を先に行ってください。

通常ログインの重要性

SSO設定時や、メールアドレス変更時には、通常ログインを許可しておくことが重要です。以下の理由から、一時的に通常ログインを許可することをお勧めします。

  1. SSO設定の疎通確認時に、問題が発生した場合のトラブルシューティング
  2. メールアドレス変更時に、SSO側の設定変更とBLOCKS側の変更にタイムラグが生じた場合の対応
  3. 意図せずにSSO側の設定変更が先に行われた場合の復旧手段

トラブルシューティング

  1. メールアドレス変更後にSSOログインできない場合:
    • 通常ログイン許可時:旧メールアドレスでの通常ログインを試行
    • ログイン後:新メールアドレスへの変更とSSOログインを再試行
  2. SSO設定にミスがあり、ログインできなくなった場合:
    • 組織管理者への連絡:通常ログイン許可の一時的な有効化を依頼
    • 通常ログイン後:SSOの設定を修正
  3. SSO側の設定変更とBLOCKS側の変更にタイムラグがある場合:
    • 組織管理者との連携:SSO側設定変更タイミングを把握
    • 変更直後:通常ログインを使用し、その後メールアドレスを更新してSSOログインを試行

これらの手順と注意点を守ることで、SSO設定された組織でのスムーズな運用が可能になります。

この情報は役に立ちましたか?