SAML統合の戦略とベストプラクティス

**記事本文（HTMLコンテンツ）:**

IDPでユーザーを管理し、OptiSignsにアクセスするためのSAMLの実装方法は多数あります。

ここでは、統合を計画し、後の管理作業や手作業を削減するのに役立つOptiSignsでの高レベルのベストプラクティスをご紹介します。

この記事では、統合戦略とアプローチに焦点を当てています。プラットフォーム別の詳細な手順については、以下のガイドをご参照ください：

• OktaでのSAML SSO
• MS Entra IDでのSAML SSO
• OneLoginでのSAML SSO
• OneLogin（Shibboleth）でのSAML SSO
• Google WorkspaceでのSAML SSO

セットアップ中にバックアップ管理者アカウントを作成する：

セットアップ中は、ユーザー名とパスワードによるログインを有効にしておき、ロールやグループの割り当てミスで誤ってロックアウトされた場合に備えて、ユーザー名/パスワードでログインして設定できる管理者アカウントを作成することをお勧めします。

実装が完了したら、このアカウントを無効にできます。

この場合、ユーザーの一意の識別子としてメールアドレスを使用せず、代わりにユーザー名や従業員IDを使用することを計画している場合、このオプションをオンにすることをお勧めします。これにより、アカウント所有者と管理者アカウントは、パスワードを忘れたり、プロバイダーの識別に問題が発生したりしても、中断することなくアカウントを管理できます。

SAMLを使用するための戦略：

1) 認証および認可サービスとして使用（推奨）

SAMLは、本人確認を強制するだけでなく、OptiSignsでのユーザー、チーム、ロールのマッピングを強制するためにも使用できます。

このアプローチでは、IDPですべてのユーザーをグループにマッピングし、IDPグループをOptiSignsのチーム/ロールにマッピングします。IDPで変更があった場合（例えば、ユーザーが追加されたり、グループが変更されたりした場合）、自動的にOptiSignsに反映されます。

これを実装するには、ユーザーオーバーライドを有効にするをチェックします。チェックすると、ユーザーがSAMLを使用してログインするたびに、OptiSignsは名前やグループ割り当てが変更されたかどうかを確認します。そして、それに応じて適用します。名前や割り当てが更新されていれば、OptiSignsも更新されます。

適切なグループをすべてOptiSignsのロールとチームにマッピングします。

例えば、3つのグループがあるとします：

• Marketing West Coast - 西部地域のスクリーン、コンテンツの管理を担当するユーザー
• Marketing East Coast - 東部地域のスクリーン、コンテンツの管理を担当するユーザー
• IT Support - 両地域をサポートし、その他の管理タスクを実行できる管理者

マッピングは以下のようになります。

このセットアップでは、例えばユーザーがMarketing West Coastに所属しているとします。そのユーザーをMarketing East Coastに移動させたい場合、IDPを更新してWest CoastからEast Coastに移動させるだけです。次回OptiSignsにログインすると、それが反映され、Marketing East Coastチームに所属し、OptiSignsでそのコンテンツのみを表示できるようになります。

ユーザー管理の詳細については、OptiSignsのチームとフォルダセキュリティに関する記事をご覧ください。

2) 認証サービスとしてのみ使用

SAMLを使用して、MFA、パスワードポリシーを強制し、ユーザーを削除してOptiSignsへのアクセスを取り消すことができます。これらのユーザーを管理し、チームやロールに割り当てることは引き続き可能です。このアプローチは素早くセットアップでき、OptiSignsでユーザーを迅速に移動できるため柔軟性があります。ただし、IDPでユーザーが移動した場合、必要に応じてOptiSignsでも移動することを忘れないようにする必要があります。

これを実装するには、ユーザーオーバーライドを有効にするのチェックを外します。

先ほどの例に戻ると：ユーザーがMarketing West CoastからMarketing East Coastに移動した場合、必要に応じてOptiSignsに移動してユーザーのチーム割り当てを変更する必要があります。

また、ユーザーが名前を更新、変更した場合も、同期を保つためにOptiSignsを更新する必要があります。

ユーザー作成を有効にする：

このオプションをチェックしておくことをお勧めします。有効にすると、ユーザーが認証され、SAMLがユーザーをOptiSignsを使用できるチームまたはロールにマッピングした場合、ユーザーは自動的に作成されます。

無効にした場合、SAML SSOでログインする前に、OptiSignsで各ユーザーを最初に作成する必要があります。

古い例に戻ります。IDPにMarketing West Coastグループに所属する20人のユーザーがいて、Marketing West CoastがOptiSignsのMarketing West Coastチームにマッピングされているとします。

Marketing West CoastグループのユーザーがOptiSignsにログインすると、自動的に作成され、すぐにWest Coastチームのスクリーンとコンテンツにアクセスできます。

他の19人のユーザーは、ログインを試みるまでOptiSignsに作成されません。

また、マッピングされていないユーザー/グループをチームなし（無効）にマッピングすることもできます。この方法では、IDPの他のグループに属するユーザーがログインしようとした場合、エラーが発生し、ユーザーはOptiSignsに作成されません。

この方法により、システムをクリーンに保ち、アプリへのアクセスが必要なユーザーのみが複製されます。

SAML統合についてご質問がある場合やヘルプが必要な場合は、support@optisigns.comまでお気軽にお問い合わせください。