メインコンテンツにスキップ

SAML シングルサインオン(SSO)設定について

今週アップデートされました

概要

本ページは、amptalk サービスにおいて SAML 2.0 を利用したシングルサインオン(SSO)を設定するための手順を説明しています。

SAML SSO は amptalk analysis の Pro プランもしくは amptalk coach をご契約頂いている場合にご利用頂ける機能です。 amptalk analysis の Basic プランではご利用頂けません。

ご利用を希望する場合、担当営業やカスタマーサクセスまでご連絡ください。

対応仕様

  • プロトコル:SAML 2.0

  • 認証フロー:SP-initiated

    • IdP-initiated フローは非対応です

  • AuthnRequest 署名:必須

  • Assertion 署名:必須

  • Assertion 暗号化:任意(デフォルト不要)

利用までの流れ

  1. お客様|SAML アプリケーションのご利用登録

  2. お客様|フォームから情報を送信

  3. amptalk|共有された情報の登録

  4. お客様|テストログイン

この4つのステップが完了したタイミングでSAMLシングルサインオン(SSO)によるログインが可能になります。

1. お客様|SAML アプリケーションのご利用登録

まずは IdP 側での事前情報登録が必要です。

SAML アプリケーション登録を IT 部門へ依頼する際に、以下の情報をご提出ください。

アプリケーション名( IdP 管理上の識別名)

貴社の命名ルールに従って任意の値を設定してください。

例)amptalk / amptalk SSO など

SAML 識別子( Entity ID / Audience )

urn:amazon:cognito:sp:ap-northeast-1_verFrKTNs

SAML 応答 URL( ACS URL )

https://amptalk.auth.ap-northeast-1.amazoncognito.com/saml2/idpresponse

SAML サインオン URL ( SP Initiated )

  • SP-initiated のみ対応

  • IdP-initiated(IdP ポータルからの直接起動)は非対応

※サインオンURLの指定が必要な場合は、以下を設定してください

https://amptalk.auth.ap-northeast-1.amazoncognito.com/login

SAML リレー状態( RelayState )

未使用(空欄で問題ありません)

SAML ログアウト URL

  • 必須ではありません

  • 設定する場合は、以下を指定してください

https://amptalk.auth.ap-northeast-1.amazoncognito.com/logout

  • amptalk のログイン状態とは必ずしも連動しません。 IdP 側の要件により指定が必要な場合のみ設定してください

SAML 属性(必須)

  • amptalk 側でユーザー識別に使用するため、SAML 属性としてメールアドレスも必ず送信してください

  • このメールアドレスの値は、amptalk に事前登録されているユーザーのメールアドレスと完全に一致している必要があります

  • メールアドレスを設定した SAML 属性名をフォームよりご共有ください

    • 例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • NameID の形式( EmailAddress / UPN 等)は問いません。 amptalk では NameID は使用せず、SAML 属性として送信されるメールアドレスの値のみを利用します。そのため NameID によるユーザー識別には対応していません

署名・暗号化要件

  • AuthnRequest 署名:必須

  • Assertion 署名:必須

    • 署名アルゴリズム:IdP 標準設定で問題ありません

  • Assertion 暗号化:任意(デフォルト不要)

    • 有効にする場合

      • amptalk が提供する SP 公開鍵 を使用してください

      • 事前にご相談ください

2. お客様|フォームから情報を送信

IdP 側での SAML 設定が完了しましたら、amptalk 側にて SSO を有効化する作業を行います。有効化に必要となる以下の情報を SAML利用申請フォーム より送信してください。

ご共有いただきたい情報

  • IdP の種類

    • 例:Okta / Entra ID / ADFS など

  • SAML メタデータ URL

  • メールアドレスを設定した SAML 属性名

  • SSO 対象の メールドメイン

    • 例:example.com

    • 利用したいドメインが複数ある場合、すべてをお知らせください

3. amptalk|共有された情報の登録

ご連絡いただいた内容をもとに、amptalk 側で以下を実施します。以下の作業完了後から SSO ログインの利用ができるようになります

  • SAML IdP 登録

  • メールドメインと IdP の紐付け

  • SSO の有効化

* 手続きにかかる期間はおよそ 1週間ほどです。

* 対応完了後、 amptalk 担当者からご連絡いたいたします。

4. お客様|テストログイン

amptalk 担当者からステップ3の対応完了連絡があった後、代表者にて以下3点を正常に行えるかをご確認ください。

  • IdP ログイン後、amptalk に正常に遷移する

  • 正しいメールアドレスでユーザーがログインできる

  • 再ログイン時もエラーなく利用できる

ログインできない場合、トラブルシューティング をご参照下さい

ログイン方法

amptalk は SP-initiated SSO を採用しています。

ログイン手順

  1. amptalk ログインページ にアクセスします

    * 未サインイン状態の場合、ログインページへ自動でリダイレクトされます

  2. [シングルサインオン(SSO) でログイン]を選択します

  3. メールアドレス(例:user@example.com)を入力し[続ける]をクリックします

  4. 自動的に貴社 IdP にリダイレクトされます

注: IdP ポータルからの直接ログイン( IdP-initiated )はサポートしていません。

トラブルシューティング

ログインできない場合

SAML シングルサインオンで amptalk サービスにログインできない場合、以下をご確認ください。

  • SAML Assertion にメールアドレスが含まれているか

  • Assertion が署名されているか

  • メールドメインが事前登録されているか

問題が解決しない場合

以下を amptalk 担当者かチャットサポートまでご連絡ください。

  • エラーメッセージの内容

    • エラーメッセージのスクリーンや、ログインができない様子がわかる動画を頂けると解決に大変役立ちます

  • SAML Response

    • 可能な範囲でご教示ください

関連記事
初回ログインの方法
amptalk のログインに SSO(シングルサインオン) を利用する
こちらの回答で解決しましたか?