ドキュメントWorkfrontWorkfront ガイド

Workfront Proof ユーザー向けのシングルサインオンの設定

Last update: Wed Jul 17 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

作成対象:

  • ユーザー
IMPORTANT
この記事では、スタンドアロン製品の Workfront Proof の機能について説明します。Adobe Workfront 内のプルーフについて詳しくは、プルーフを参照してください。

Select プランまたは Premium プランがある場合は、既存の組織のユーザー名とパスワードを使用して Workfront Proof アカウントにアクセスできる、シングルサインオン(SSO)機能を提供することができます。

すなわち、Workfront Proof ログインページではなく、自分のログインシステムに対して認証するわけです。

NOTE
SAML を有効にするには、Workfront Proof アカウントにカスタムのサブドメインまたはドメインを設定する必要があります。カスタムサブドメインは自由に設定できます。詳しくは、ブランディングを参照してください。完全にカスタマイズされたドメインの詳について詳しくは、アドビの Workfront Proof サイトのブランド - 詳細を参照してください。

Workfront Proof 内で SSO を有効化

シングルサインオン機能は、アカウント設定の「シングルサインオン」タブで有効化でき、Workfront Proof アカウントのすべてのユーザーに適用されます。詳しくは、アカウント設定を参照してください。

エンティティ ID

サービスプロバイダーとして、次のようにエンティティ ID を公開しました。

https://yoursubdomain.proofhq.com/saml/module.php/saml/sp/metadata.php/phq(「yoursubdomain」はアカウントのサブドメインです)。

Workfront Proof では、一意の識別子としてユーザーのメールアドレスが必要です。これは、以下の属性のいずれかとして渡すことができます。

  • urn:mace:dir:attribute-def:emailAddress
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • http://schemas.xmlsoap.org/claims/EmailAddress
  • urn:oid:0.9.2342.19200300.100.1.3
  • http://axschema.org/contact/email
  • openid.sreg.email
  • mail
  • メール
  • emailAddress

SSO を設定するには、以下のように行います。

  1. シングルサインオン」タブを開きます(1)。

  2. SSO URL を入力します(2)。
    これは SSO サーバーへのリンクです(例:https://sso.mycompany.com/opensso)。

  3. ログイン URL を入力します(3)。
    これは、ユーザーを ID プロバイダーにリダイレクトするために呼び出される URL です。

  4. ブラウザーに入力する実際の URL ではなく、むしろログイン画面を表示するために送信された情報を処理するエンドポイントです。

ログアウト URL を入力します(4)。
これは、ログアウト後に返される URL です。例:

https://www.yourcompany.com/services/logout.asp

  1. 証明書フィンガープリント ​を入力します(5)。

  2. SAML ID プロバイダーによって提供される SAML 証明書の SHA1 フィンガープリント。

  3. ID プロバイダーにこれを設定して、必ずキー情報を含めてください。

  4. SSO を「有効」に切り替えます(6)。
    SSO が有効になると、ご自身と他のユーザーはアカウント上で、独自の認証メカニズムを使用してログインします。これは、ユーザーがWorkfront Proofアカウントのログイン画面(例えば、yourcompany.proofhq.com/login)にアクセスすると、認証ログインページへの転送ウィンドウが表示されることを意味します。

  5. (オプション)「ユーザーを自動的にプロビジョニング」を有効にします(7)。
    このオプションを有効にすると、独自の Workfront Proof プロファイルを持たないユーザーに対してユーザーアカウントが自動的に作成されますが、そのようなユーザーは、シングルサインオン資格情報を使用して Workfront Proof アカウントにアクセスします。これは、アカウントのユーザー制限にまだ達していない場合にのみ実行されます。

  6. 新しくプロビジョニングされたユーザーには、デフォルトでマネージャープロファイルの権限が割り当てられます。詳しくは、 Workfront Proof のプルーフ権限プロファイルを参照してください。

Enable_SSO_SAML_2.0.png

サテライトアカウントでの SSO の有効化

サテライトアカウントをハブアカウントに接続している場合は、ハブアカウントレベルで管理できます。

シングルサインオンは Select と Premium の機能なので、シングルサインオンは Select と Premium のプランにあるサテライトでのみ有効にできます。

  1. 設定アカウント設定 ​をクリックします(1)。

  2. ドロップダウンメニューでサテライトアカウントをクリックします(2)。

  3. シングルサインオン」タブを開きます(3)。

  4. SSO 設定の編集を開始します(4)。

  5. Enabling_SSO_-_Satellite_Account.png
    ここでは次の 2 つの設定方法(5)を示します。

  6. 継承:ハブアカウントから取得した設定での SSO。
    ユーザーが     デフォルトのログインページ     から Workfront Proof にアクセスする場合(https://www.proofhq.com/login)、そこに 2 段階認証 ​があります:まず、ユーザーは Workfront Proof アクセスデータ(メールとパスワード)を使用してログインするように求められます。次に、ユーザーは SSO ウィンドウから SSO ログインページに転送されます。
    したがって、SSO サービスを有効にした上で、自身の Workfront Proof サブドメインまたはドメインからログインすることをお勧めします。

    note note
    NOTE
    現時点で Workfront Proof アカウントでシングルサインオンが有効である場合、これらの資格情報を使用して iPhone アプリにログインすることはできません。

    1. 手動(デフォルト):別の設定(別の ID プロバイダーを指すなど)の SSO。

      note note
      NOTE
      サテライトアカウントがハブアカウントから SSO 設定を継承している場合、ログイン画面はハブアカウントの SSO 設定になります。サテライトアカウントユーザーがこのページの SSO ログインの詳細を入力すると、サテライトアカウントにリダイレクトされます。

      Enabling_SSO_-_Satellite_Account_2.png

    2. 保存」をクリックします(6)。

ハブアカウントから継承された SSO 設定

設定をハブアカウントから継承する場合は、すべてのフィールドにハブアカウント(7)のデータが入力され、メインアカウントと同様にシングルサインオンが自動的に有効/無効(8)になります。また、サテライトアカウントの SSO 設定全体がハブアカウントから設定および管理されるようになるため、フィールドにはもう編集リンクもありません。

Satellite_Account_-_Inherited_SSO.png

ハブアカウント(9)では、「SSO の使用」フィールドは、この設定がサテライトアカウント(10)で使用されていることを示します。
Hub_Account_-_Inherited_SSO.png

手動で設定された SSO

サテライトアカウント(1)に対して手動 SSO 設定が選択されている場合は、シングルサインオンのデータを手動で入力する必要があります。

  1. 設定アカウント設定 ​をクリックします(1)。

  2. シングルサインオン」タブを開きます。

  3. 編集」をクリックして、「」フィールドに値を入力し、「保存」をクリックします(2)。

  4. SSO 行で、「有効」に切り替えます(3)。

Satellite_Account_-_Manual_SSO.png

SSO ログイン

  1. 設定アカウント設定 ​をクリックします(1)。

  2. シングルサインオン」タブを開きます。

  3. Workfront Proof ドメインまたはサブドメイン(1)が設定され、ユーザーがこのカスタマイズされたドメインまたはサブドメインから Workfront Proof アカウントにアクセスできることを確認します。
    SAML_Subdomain.png
    シングルサインオンが有効な場合、サブドメインログイン URL(例:yourcompany.proofhq.com/login)には、SSO ログインページに直接移動する転送画面(2)が表示されます。
    SSO_login_page.png

  4. ユーザーが​ デフォルトのログインページ ​から Workfront Proof にアクセスする場合(https://www.proofhq.com/login)、そこに​ 2 段階認証 ​があります。まず、ユーザーは Workfront Proof アクセスデータ(メールとパスワード)を使用してログインするように求められます。次に、ユーザーは SSO ウィンドウ(2)から SSO ログインページに転送されます。
    したがって、SSO サービスを有効にした上で、自身の Workfront Proofサブドメインまたはドメインからログインすることをお勧めします。

  5. 現時点で Workfront Proof アカウントでシングルサインオンが有効である場合、これらの資格情報を使用して iPhone アプリにログインすることはできません。

新しいユーザーの追加について

シングルサインオン機能が Workfront Proof アカウントで有効である場合、自動的にアクティブ化され、使用できる状態になるので、新しいユーザーには確認メールは送信されません。

Workfront Proof ログインページで「ログイン」ボタンをクリックすると、ユーザーは SSO ログインページに転送され、シングルサインオンのログイン資格情報を入力するように求められます。

IMPORTANT
ユーザーは、認証プロセス中にメールアドレスで識別されます。つまり、SSO ログインに使用するメールアカウントは、アカウント内に登録されているユーザーのメールアドレスにする必要があります。

Active Directory フェデレーションサービス(AD FS)

Active Directory フェデレーションサービス(AD FS)は、組織の境界を越えたシステムやアプリケーションへのシングルサインオンアクセスをユーザーに提供するために、Windows Server オペレーティングシステムにインストールできる Microsoft ソフトウェアコンポーネントです。詳細情報については、Microsoft Developer Network の Web サイトの「Active Directory フェデレーションサービス」を参照してください。

Workfront Proof システムは SAML 2.0 をサポートし、AD FS バージョン 2.0 以降とのみ互換性があります。

詳しくは、シングルサインオン Workfront Proof:AD FS 設定を参照してください。

recommendation-more-help
5f00cc6b-2202-40d6-bcd0-3ee0c2316b43