概要: AppsFlyerと SSOアイデンティティプロバイダーとを連携することで、アカウントのチームメンバーがシングルサインオン(SSO)で AppsFlyer にログインできるようにします。
SSOとは何ですか?
アイデンティティおよびアクセス管理システム - Okta, Azure AD, OneLoginなど - はIdP(アイデンティティ・プロバイダー)として機能し、認証されたユーザーデータを含むトークンを生成します。
IdP は、データを暗号化するための自己署名入りAppsFlyer証明書と、リクエストの署名を検証するための証明書の 2つの証明書を取得します。AppsFlyerと御社のIdPを統合するために、SSOメタデータを交換し、システムを更新します。
注意事項
- 両方のシステムで設定する必要があります。AppsFlyerは、ユーザーのメールアドレスを識別できなければなりません。
- このソリューションは、サービスプロバイダー(SP)が開始したログインを処理します。ユーザーが自分のIdPのアイコンをクリックしてもログインできません。
- この機能がSSOオンリーモードに設定されている場合、特定のユーザーを除外することはできません。すべてのユーザーがSSOのみでログインする必要があります。
- モードが ハイブリッドから SSO 専用に変更されるたびに もしくは SSO 専用からハイブリッドに変更されるたびに IdP SSO 証明書 を再アップロードする必要があります
ログイン設定
SSOの有効化/無効化は、アカウント管理者のみが行うことができます。
- ログインはAppsFlyerのインターフェースから行います。
- 選択した設定は、アカウント管理者とすべてのチームメンバーに適用されます。
- アクティベーション時にアカウントにいたチームメンバーは影響を受けず、次回のログイン時にSSOを設定する必要があります。
- SSOを有効/無効にすると、アカウント内のすべてのチームメンバーに適用されます。
SSOおよびIdP SSO証明書
AppsFlyerプラットフォームは、SAML2.0技術を用いたSSO認証に対応しています。
証明書をコピーしてSSOを実装するには:
- 1メールアドレスをクリック > ドロップダウンメニュー > ログインセキュリティ ページへ移動します。
- Copy AppsFlyer certificate に移動します。
- コピーアイコン をクリックすると、証明書の内容が表示されます。
- [オプション] View をクリックすると、証明書の詳細が記載されたAppsFlyer SSO証明書メッセージが開きます。エンティティID、暗号化キー、ロケーションURLなどの証明書の詳細が記載されたAppsFlyer SSO証明書メッセージが表示されます。
- コピーした証明書の値を SAML 2.0 IdP に実装します。
- ログインセキュリティ ページへ戻り、IdP SSO証明書をインポート > 追加 をクリック
-
IdP SSO証明書のメッセージで、1つのオプションを選択し、SSO証明書をインポート/アップロードします。
- URLからインポート をクリック > URLアドレス を入力 > インポート をクリック > 保存 をクリック もしくは
- ファイルをアップロード (.xml file) をクリック > アップロード > 保存 をクリック
ログインセキュリティページ
アドミン(管理者): SSOを有効化/無効化するには、メールアドレスのドロップダウンメニュー > ログインセキュリティ ページに移動します。2種類のログインモードがあります:
- SSOオンリーモード(強制SSOログイン): ユーザーはSSOを使用してログインする必要があります。
- ハイブリッドモード: ユーザーはSSOでログインするか、AppsFlyerのユーザー名とパスワードでログインするかを選択できます。
ハイブリッドモードの有効化
このモードでは、SSOのみ、またはAppsFlyerのユーザー名とパスワードを使ったログインが可能です。
ハイブリッドモードを有効化するには:
- SSOトグルをオンに設定する
-
表示される通知メッセージをご確認ください。必要なIdPの設定を示しています:
- AppsFlyerにユーザーが割り当てられていること
- ユーザーのメールアドレスは、AppsFlyerによって特定できるものでなければなりません。
- Activate(有効化)をクリック
SSOオンリーモードの有効化
このモードでは、SSOを使用して、AppsFlyerインターフェースを介してのみログインが可能です。
SSOオンリーモードを有効化するには:
- Force SSO login(強制SSOログイン)のボックスにチェックを入れます。
-
表示される通知メッセージをご確認ください。必要なIdPの設定を示しています:
- AppsFlyerにユーザーが割り当てられている必要があります。
- ユーザーのメールアドレスは、AppsFlyerが特定できるものでなければなりません。
- Enable(有効化)をクリックします。
- SSOトグルをオンに設定する
-
表示される通知メッセージをご確認ください。必要なIdPの設定を示しています:
- AppsFlyerにユーザーが割り当てられている必要があります。
- ユーザーのメールアドレスは、AppsFlyerで特定できるものでなければなりません。
- Activate(有効化)をクリックします。
ハイブリッドモード / SSOオンリーモードの無効化
ハイブリッドから SSOオンリー または SSOオンリーからハイブリッドとモードを変更するたびに、IdP の SSO証明書を再アップロードする必要があります。
- Force SSO login(強制SSOログイン)を無効化にするには、チェックボックスのマークを外すだけでは完了しません。
- Force SSO login(強制SSOログイン)を無効化にするには、SSOトグルを無効(オフ)にする必要があります。
SSOモード / 強制SSOログインの両方を無効にするには:
- SSOトグルを無効にします。
-
表示される通知メッセージを確認してください:
- SSOログインが解除されます。
- IdP SSOのメタデータが削除されます。
- Deactive(無効化)をクリック - SSOとForce SSO login(強制SSOログイン)の両方が解除されます。
- AppsFlyerのユーザー名とパスワードを使ってログインしてください 。
IdPメタデータの削除
ハイブリッドから SSOオンリー または SSOオンリーからハイブリッドとモードを変更するたびに、IdP の SSO証明書を再アップロードする必要があります。
削除するには:
- IdP SSO証明書ファイルの横にある削除アイコン(ゴミ箱)をクリックします。
- 表示される通知メッセージを確認してください。SSOのログインが無効になり、IdPのSSOメタデータが削除されます。
- 削除をクリックします。
- 必要に応じて 別のIdP SSO証明書をアップロードします。
SSOと二段階認証のオプション
一度に使用できるセキュリティログインオプションは、SSOまたは2FAのいずれか1つのみです。
- SSOが有効な場合は、SSOを無効にして2FAを有効にします。
- 2FAが有効な場合は、2FAを無効にしてSSOを有効にします。
FAQ|トラブルシューティング
SSOで接続できないチームメンバーがいるのですが?
すべてのユーザーのEメールが、IDPとAppsFlyerプラットフォームの両方のシステム-に設定されていることを確認してください。
メールアドレスでログインすると、503のメッセージが表示されるのはなぜですか?
IdPとAppsFlyerの両方のシステムにメールが設定されていることを確認してください。
SSOログインをテストするにはどうすればいいですか?
ハイブリッドモードでSSOログインを有効にします。テスト中、ユーザーはAppsFlyerのユーザー名とパスワードを使ってログインできます 。
本番環境に移行する前に、セットアップをテストするためのテスト環境が必要ですか?
テスト環境は必要ありません。
- ハイブリッドモードでは、既存のワークフローに影響を与えずにセットアップを試すことができます。
- テスト中、ユーザーはAppsFlyer のユーザー名とパスワードを使ってログインすることができます。
次のようにテストします:
- 本番用またはテスト用のメタデータを使用して、ハイブリッドモードでSSOログインを有効にします。
- ログインをテストします。
validUntil 項目を メタデータ で更新する必要がありますか?
この項目には以下のようなものがあります:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2020-11-12T09:32:23.418436776Z" entityID="https://hq1.appsflyer.com">
この日付は、メタデータ・ドキュメントが使用されるたびに、7日単位で自動的に更新されます。
AppsFlyerの証明書はどのように更新されますか?
証明書の有効期限が切れる前:
- AppsFlyerのシステムから、新しい証明書が発行されることを通知します。
- その後、新しい証明書でIdPを更新する必要があります。