SSO（シングルサインオン）認証の利用 – ヘルプセンター

概要： AppsFlyerと SSOアイデンティティプロバイダーとを連携することで、アカウントのチームメンバーがシングルサインオン（SSO）で AppsFlyer にログインできるようにします。

SSOとは何ですか？

アイデンティティおよびアクセス管理システム - Okta, Azure AD, OneLoginなど - はIdP（アイデンティティ・プロバイダー）として機能し、認証されたユーザーデータを含むトークンを生成します。

IdP は、データを暗号化するための自己署名入りAppsFlyer証明書と、リクエストの署名を検証するための証明書の 2つの証明書を取得します。AppsFlyerと御社のIdPを統合するために、SSOメタデータを交換し、システムを更新します。

注意事項

両方のシステムで設定する必要があります。AppsFlyerは、ユーザーのメールアドレスを識別できなければなりません。
このソリューションは、サービスプロバイダー（SP）が開始したログインを処理します。ユーザーが自分のIdPのアイコンをクリックしてもログインできません。
この機能がSSOオンリーモードに設定されている場合、特定のユーザーを除外することはできません。すべてのユーザーがSSOのみでログインする必要があります。
モードがハイブリッドから SSO 専用に変更されるたびにもしくは SSO 専用からハイブリッドに変更されるたびに IdP SSO 証明書を再アップロードする必要があります

ログイン設定

SSOの有効化/無効化は、アカウント管理者のみが行うことができます。

ログインはAppsFlyerのインターフェースから行います。
選択した設定は、アカウント管理者とすべてのチームメンバーに適用されます。
アクティベーション時にアカウントにいたチームメンバーは影響を受けず、次回のログイン時にSSOを設定する必要があります。
SSOを有効/無効にすると、アカウント内のすべてのチームメンバーに適用されます。

SSOおよびIdP SSO証明書

AppsFlyerプラットフォームは、SAML2.0技術を用いたSSO認証に対応しています。

証明書をコピーしてSSOを実装するには：

1メールアドレスをクリック > ドロップダウンメニュー > ログインセキュリティ ページへ移動します。
Copy AppsFlyer certificate に移動します。
コピーアイコン をクリックすると、証明書の内容が表示されます。
[オプション] View をクリックすると、証明書の詳細が記載されたAppsFlyer SSO証明書メッセージが開きます。エンティティID、暗号化キー、ロケーションURLなどの証明書の詳細が記載されたAppsFlyer SSO証明書メッセージが表示されます。
コピーした証明書の値を SAML 2.0 IdP に実装します。
ログインセキュリティ ページへ戻り、IdP SSO証明書をインポート > 追加をクリック
IdP SSO証明書のメッセージで、1つのオプションを選択し、SSO証明書をインポート/アップロードします。
- URLからインポート をクリック > URLアドレスを入力 > インポート をクリック > 保存をクリック　もしくは
- ファイルをアップロード (.xml file) をクリック > アップロード > 保存をクリック

ログインセキュリティページ

アドミン（管理者）： SSOを有効化/無効化するには、メールアドレスのドロップダウンメニュー > ログインセキュリティ ページに移動します。2種類のログインモードがあります：

SSOオンリーモード（強制SSOログイン）： ユーザーはSSOを使用してログインする必要があります。
ハイブリッドモード： ユーザーはSSOでログインするか、AppsFlyerのユーザー名とパスワードでログインするかを選択できます。

ハイブリッドモードの有効化

このモードでは、SSOのみ、またはAppsFlyerのユーザー名とパスワードを使ったログインが可能です。

ハイブリッドモードを有効化するには：

SSOトグルをオンに設定する
表示される通知メッセージをご確認ください。必要なIdPの設定を示しています：
- AppsFlyerにユーザーが割り当てられていること
- ユーザーのメールアドレスは、AppsFlyerによって特定できるものでなければなりません。
Activate（有効化）をクリック

SSOオンリーモードの有効化

このモードでは、SSOを使用して、AppsFlyerインターフェースを介してのみログインが可能です。

SSOオンリーモードを有効化するには：

Force SSO login（強制SSOログイン）のボックスにチェックを入れます。
表示される通知メッセージをご確認ください。必要なIdPの設定を示しています：
- AppsFlyerにユーザーが割り当てられている必要があります。
- ユーザーのメールアドレスは、AppsFlyerが特定できるものでなければなりません。
Enable（有効化）をクリックします。
SSOトグルをオンに設定する
表示される通知メッセージをご確認ください。必要なIdPの設定を示しています：
- AppsFlyerにユーザーが割り当てられている必要があります。
- ユーザーのメールアドレスは、AppsFlyerで特定できるものでなければなりません。
Activate（有効化）をクリックします。

ハイブリッドモード / SSOオンリーモードの無効化

ハイブリッドから SSOオンリー または SSOオンリーからハイブリッドとモードを変更するたびに、IdP の SSO証明書を再アップロードする必要があります。

Force SSO login（強制SSOログイン）を無効化にするには、チェックボックスのマークを外すだけでは完了しません。
Force SSO login（強制SSOログイン）を無効化にするには、SSOトグルを無効（オフ）にする必要があります。

SSOモード / 強制SSOログインの両方を無効にするには：

SSOトグルを無効にします。
表示される通知メッセージを確認してください：
- SSOログインが解除されます。
- IdP SSOのメタデータが削除されます。
Deactive（無効化）をクリック - SSOとForce SSO login（強制SSOログイン）の両方が解除されます。
AppsFlyerのユーザー名とパスワードを使ってログインしてください。

IdPメタデータの削除

削除するには：

IdP SSO証明書ファイルの横にある削除アイコン（ゴミ箱）をクリックします。
表示される通知メッセージを確認してください。SSOのログインが無効になり、IdPのSSOメタデータが削除されます。
削除をクリックします。
必要に応じて別のIdP SSO証明書をアップロードします。

SSOと二段階認証のオプション

一度に使用できるセキュリティログインオプションは、SSOまたは2FAのいずれか1つのみです。

SSOが有効な場合は、SSOを無効にして2FAを有効にします。
2FAが有効な場合は、2FAを無効にしてSSOを有効にします。

FAQ｜トラブルシューティング

SSOで接続できないチームメンバーがいるのですが？

すべてのユーザーのEメールが、IDPとAppsFlyerプラットフォームの両方のシステム-に設定されていることを確認してください。

メールアドレスでログインすると、503のメッセージが表示されるのはなぜですか？

IdPとAppsFlyerの両方のシステムにメールが設定されていることを確認してください。

SSOログインをテストするにはどうすればいいですか？

ハイブリッドモードでSSOログインを有効にします。テスト中、ユーザーはAppsFlyerのユーザー名とパスワードを使ってログインできます。

本番環境に移行する前に、セットアップをテストするためのテスト環境が必要ですか？

テスト環境は必要ありません。

ハイブリッドモードでは、既存のワークフローに影響を与えずにセットアップを試すことができます。
テスト中、ユーザーはAppsFlyer のユーザー名とパスワードを使ってログインすることができます。

次のようにテストします：

本番用またはテスト用のメタデータを使用して、ハイブリッドモードでSSOログインを有効にします。
ログインをテストします。

validUntil 項目をメタデータで更新する必要がありますか？

この項目には以下のようなものがあります：

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2020-11-12T09:32:23.418436776Z" entityID="https://hq1.appsflyer.com">

この日付は、メタデータ・ドキュメントが使用されるたびに、7日単位で自動的に更新されます。

AppsFlyerの証明書はどのように更新されますか？

証明書の有効期限が切れる前：

AppsFlyerのシステムから、新しい証明書が発行されることを通知します。
その後、新しい証明書でIdPを更新する必要があります。