IDプロバイダー（IdP）を使用したSSO認証の設定

最初にすべきことは、IdP側の設定です。

主なIdPの設定手順

次のいずれかのIdPでSSO認証を設定する詳細な手順を確認してください：

• JumpCloud
• Okta
• OneLogin
• Ping Identity

他のIdPプラットフォームの設定の概要

他のIdPプラットフォームでの設定手順の概要：

• AppsFlyerアプリはSMAL 2.0 プロトコルに基づいてIdPプラットフォーム上に作成され、AppsFlyer認証証明書はIdPプラットフォームに実装されます
• ユーザーは新しいAppsFlyerアプリに割り当てられます
• IdPの証明書あるいはメタデータは、AppsFlyerで使用するために取得されます（ステップ２）

コールバックURLの設定  

AppsFlyerに入るユーザーを認証するデフォルトの方法は、IdPからです。 つまり、ユーザーはIdP認証プラグインまたはWebページからAppsFlyerに誘導されます。

IdP からユーザーを認証するには、次のリンクを使用します： https://hq1.appsflyer.com/auth/sso-callback/<Enter your AppsFlyer account ID here>

アカウントIDを取得するには、CSMにお問い合わせください。

IdPプラットフォームを設定した後、AppsFlyerに戻り設定を完了します。 

1. 上部のメニューバーから、アカウントメニュー（メールアドレスのドロップダウン） > セキュリティセンターを開きます。
2. 「強化されたログインセキュリティ」で、「 ログイン方法の設定」を選択します。
3. 「シングルサインオン(SSO)」セクションの「IdP SSO 証明書のアップロード 」の近くにある「追加」をクリックします。 
   
4. 次のいずれかの方法で、 IdP SSO メタデータを追加します。
   • URL アドレス: ステップ１で IdP プラットフォームからコピーした URL を貼り付けます
     
   • ファイルのアップロード: ステップ１で IdP プラットフォームからダウンロードしたファイルをアップロードします
     

     

5. 「インポート」をクリックし、その後「保存」をクリックします。
6. [任意] SSOログインの強制: このチェックボックスを有効にすると、ユーザーはユーザー名とパスワードではなく、 SSO を使用してサインインするようになります。注記:
   • 強制SSOログインを選択したままにすることは、より安全なログインのために推奨される方法です。つまり、ログインしようとするユーザーはIdPによって認証され、ユーザー名とパスワードではログインできません。
   • 強制SSOログインオプションは、シングルサインオントグルをオンにして保存すると無効になります。つまり、強制SSOログインが選択されているか選択されていないかにかかわらず、変更することはできません。 これを元に戻す方法については、こちらを参照してください。
7. シングルサインオンをオンにして、保存をクリックします。

IdPとAppsFlyerの両方のプラットフォームでSSO設定が完了したら、ユーザーが いずれかのURLコールバックメソッド(IdPまたはサービスプロバイダー( AppsFlyer))でAppsFlyerにログインでき、両方ではログインできないことを確認します。

IdP経由の認証のテスト

IdP経由でログインするように認証を設定している場合は、ユーザーがIdPプラグインまたはウェブページからAppsFlyerにアクセスできることを確認します：

1. AppsFlyerとIdPにサインインしている場合は、両方からサインアウトします。
2. ウェブページをシークレットモードで開きます。
3. IdPのウェブページにアクセスします。IdPにサインインしていないため、認証プロセスが実行されます。関連するユーザーでサインインします。
4. AppsFlyerを検索して選択します。AppsFlyerのホームページに移動します。これは、プロセスが成功したことを示します。

サービスプロバイダー(AppsFlyer) 経由の認証のテスト

サービスプロバイダー(AppsFlyer) 経由でログインするように認証フローを設定している場合は、ユーザーがメールアドレスを使用してAppsFlyerにアクセスできることを確認します：

1. AppsFlyerとIdPにサインインしている場合は、両方からサインアウトします。
2. ウェブページをシークレットモードで開きます。
3. AppsFlyerのログインページ に移動し、「SSOでログイン」をクリックします。
4. 関連するメールアドレスを入力し、「続行」をクリックします。これで、認証のために IdP にリダイレクトされます。
5. IdPの認証後、ログインユーザーとしてAppsFlyerに誘導されます。これは、プロセスが成功したことを示します。

SSOは、ユーザーがIDプロバイダー（例：Okta、Azure AD、OneLoginなど）を介して１回ログインすることで、複数の独立したアプリやシステム、プラットフォームにアクセスできるようにする認証方法です。IdPにAppsFlyerを追加すると、ユーザーはシングルサインオン(SSO)プロセスによってIdPから直接AppsFlyerにサインインすることができます。これにより、ユーザーは１セットの資格情報のみを使用して、より安全な認証で自動的にサインインすることができます。

AppsFlyerプラットフォームはSAML 2.0 プロトコルを使用したSSO認証に対応しています。AppsFlyerの認証証明書をSAML 2.0 IdPに実装することで、IdPは認証されたユーザーデータを含むトークンを生成します。同じプロセスがIdPからAppsFlyerまで行われ、そのトークンはAppsFlyerに実装されます。

AppsFlyerは、データを暗号化しSSOリクエストに署名するための暗号化証明書を提供します。どの証明書を使用するか選択することができます。

• 公開暗号化証明書:AppsFlyerの証明書 (.crtドキュメント)。この証明書は、AppsFlyerのメタデータURL（下記参照）から取得できます。
• 署名付き暗号化証明書: Amazonが署名したAppsFlyerの証明書。この証明書を取得するには、CSM に連絡してください。

AppsFlyerの証明書ファイルの作成

証明書ファイルを作成するには、暗号化キーを保持するファイルを作成する必要があります。 これは、次の2つの手順で行われます：

1. 必要なデータを取得します。
2. テキストファイルを作成し、データを入力します。

1. データの取得

証明書ファイルのデータは、セキュリティセンターまたは metadata URLから取得できます：

AppsFlyerセキュリティセンターから取得：

1. 上部のメニューバーから、アカウントメニュー（メールアドレスのドロップダウン） > セキュリティセンターを開きます。
2. 「強化されたログインセキュリティ」で、「 ログイン方法の設定」を選択します。
3. シングルサインオン（SSO）セクションの最新の証明書をコピーの近くで 、表示 / 確認をクリックします 。
4. 暗号化キーをコピーします。

Metadata URから取得：

1. AppsFlyerのメタデータURL を開き、use="signing" またはuse="encryption"を探します。
2. 要素からX509Certificate、またはuse="signing"からuse="encryption"データをコピーします(下の図で強調表示されている要素データを参照)。

2. 証明書テキストファイルの作成：

必要なデータを取得したら、以下で説明するように、データを含むテキストファイルを作成します。

1. コピーしたデータを新しいテキストファイルに貼り付けます。
2. ファイルの先頭に "-----BEGIN CERTIFICATE-----" を挿入します。
3. ファイルの末尾に "-----END CERTIFICATE-----" を追加します。
4. テキストファイルを拡張子または .CRT 付きで .PEM 保存します。

• 必須条件： ユーザーは、同じメールアドレスを使用して両方のシステム(AppsFlyerとIdP)で設定されなければいけません
• 管理者のみがSSOをアクティブ化または非アクティブ化できます
• この機能がSSO専用モードに設定されている場合、全てのユーザーはSSOのみを使用してログインする必要があり、特定のユーザーを除外することはできません
• 他の認証方法（ユーザー名やパスワードなど）で両方のSSOを有効にすることはお勧めしません

SSO認証を非アクティブ化すると、ユーザーはAppsFlyerのユーザー名やパスワード、2FAなどの他の方法でログインできるようになります。

1. 上部のメニューバーから、アカウントメニュー（メールアドレスのドロップダウン） > セキュリティセンターを開きます。
2. 「強化されたログインセキュリティ」で、「 ログイン方法の設定」を選択します。
3. 「シングルサインオン (SSO)」セクションで、「シングルサインオン」をオフにします。

一度に使用できるセキュリティログインの方法は、SSOまたは2FAのいずれか１つのみです。

• SSOがアクティブな時に2FAをアクティブ化するには: まずSSOを非アクティブ化してから、2FAをアクティブ化します
• 2FAがアクティブな時にSSOをアクティブ化するには: 最初に2FAを非アクティブ化してから、SSOをアクティブ化します

全てのユーザーのメールアドレスが、IDPとAppsFlyerプラットフォームの両方に設定されていることを確認してください。それが理由でない場合は、CSMに連絡してその理由と修正方法を見つけてください。その間、CSMは「SSOログインの強制」を一時的に無効にし、ユーザーはメールアドレスとパスワードでログインできるようになります。 

テスト環境は必要ありません。ステップ３ のステップに従って、IdPまたはサービスプロバイダー(AppsFlyer)のどちらかからSSOログインをテストします。

AppsFlyerのSSO証明書の有効期限が近づくと、AppsFlyer管理画面上で通知が表示されます。 以下の手順に従って、新しいAppsFlyer証明書を実装してください：

1. 更新された暗号化キーを使用して新しい証明書ファイルを作成します。
2. IdPに移動し、新しいAppsFlyer証明書を実装します。
3. 実装後、シングルサインオン(SSO)セクションに戻り、 証明書の実装を確認をクリックして、最新のAppsFlyer証明書を更新したことを確認します。

強制SSOログインオプションが選択され、設定が保存されると、このオプションは無効になります。 強制SSOログインに戻して有効にするには、SSOプロセスのステップ2を最初から再設定する必要があります。