Tealiumアカウントのシングルサインオンの設定

要件

• アイデンティティプロバイダー：SAML 2.0のサポート
• Tealium：アカウント管理者およびユーザー管理者の権限

複数のTealiumアカウントにアクセスできる場合、SSOはプライマリアカウントでのみ有効になります。

仕組み

SSOは、一つの認証システムを使用して複数のアプリケーションにアクセスする安全な方法です。Tealiumは、SSOを実装し、あなたのアイデンティティプロバイダー（IdP）設定のサービスプロバイダー（SP）として機能するために、Security Assertion Markup Language（SAML）2.0をサポートしています。TealiumのSSOでSAMLを使用することで、ユーザーのアカウントを信頼できるエンタープライズIdPの下で保護することができます。

サポートされているIdP

TealiumのSSOは、以下のIdPへの接続の設定手順をサポートしています：

• Amazon AWS
• ADFS（Active Directory）
• Azure
• Jumpcloud
• OneLogin
• Okta

Tealiumはまた、上記に記載されていないIdPプラットフォームへのSSOの実装もサポートしています。ただし、他のプラットフォームからのIdP接続を設定するためには、追加のテストと設定時間が必要になる場合があります。他のIdPプラットフォームの実装に関する質問は、Tealiumサポートにお問い合わせください。

Tealium SSOログインプロセス

TealiumのSSOログインプロセスは以下の手順に従います：

1. 次のログインオプションのいずれかを使用して、TealiumのSSOを介してTealiumアカウントにログインします：
   • Tealium経由で https://my.tealiumiq.com/login/sso
   • カスタムTealium URL、例えば https://my.tealiumiq.com/login/sso/customURL
   • あなたのIdP経由
2. my.tealiumiq.com経由でログインすると、TealiumのSSO SPはあなたのIdP接続情報を検証し、あなたのIdPにSAMLリクエストを送信し、あなたをIdPのログインページにリダイレクトします。あなたのIdP経由でログインする場合、このステップはスキップされます。
3. あなたのIdPはSAMLレスポンスをTealium SSO SPに送信し、Tealium SSO SPはログイン情報を検証します。
4. 新しいTealiumのログインセッションが作成されます。

SSOの設定と管理

クライアントサイドまたはサーバーサイドの**管理メニュー > SSO（シングルサインオン）**を通じて、TealiumのSSOを設定および管理します。IdPへの接続を確立し、認証をオンにすると、TealiumのSSOはクライアントサイドとサーバーサイドの製品全体で有効になります。

SSOの設定

TealiumのSSOを以下の4つのステップで設定します：

1. あなたのIdPを設定する
2. あなたのIdPに接続する
3. あなたのSSOをテストする
4. あなたのSSOを有効化する

ステップ1：あなたのIdPを設定する

以下の手順を完了して、新しいSAML SSO接続を作成します：

1. **管理メニュー > SSO（シングルサインオン）**に移動します。

2. 新しいSAMLシングルサインオン（SSO）接続 > IdPの設定画面で、Tealiumのメタデータファイルをコンピュータにダウンロードし、このファイルをあなたのIdPにインポートします。
3. あなたのIdPで新しいTealiumアプリケーションを作成し、あなたのIdPのメタデータファイルをダウンロードします。各IdPは、新しいSSO接続を作成するためのメタデータファイルにアクセスし、ダウンロードするための異なる設定を必要とします。
   特定のIdPの手順については、IdP設定手順を参照してください。
   あなたのIdPから以下の情報を確認してください：
   • SAMLメタデータファイル
   • あなたのIdPアカウントの管理者のメールアドレス
   • （オプション）SAML 2.0署名証明書。あなたの署名証明書はメタデータファイルの一部である可能性があります。
4. あなたのIdPを設定し、新しいSSO接続に必要な情報を収集した後、Tealiumの新しいSAMLシングルサインオン（SSO）接続ウィザードで続行をクリックします。

IdP設定手順

以下の表は、TealiumのSSOと連携するためのIdPの設定方法についての指示をリストしています：

IdP	カスタム設定情報
Amazon AWS	Amazon AWSのドキュメンテーションの指示に従って、メタデータファイルをダウンロードしてTealiumにアップロードします。
ADFS	ADFS（Active Directory）IdPとのSSO設定の指示に従って、メタデータファイルをダウンロードしてTealiumにアップロードします。
Azure	Azure IdPとのSSO設定の手順を完了して、Azureアカウントからメタデータファイルをダウンロードします。詳細については、Azureのドキュメンテーションを参照してください。
Jumpcloud	Jumpcloudのドキュメンテーションの指示に従って、メタデータファイルをダウンロードしてTealiumにアップロードします。あなたの設定では、以下の値が設定されていることを確認してください： 設定には、user.emailの値を持つemail属性が含まれています。
OneLogin	OneLoginのドキュメンテーションの指示に従って、メタデータファイルをダウンロードしてTealiumにアップロードします。 あなたの設定では、以下の値が設定されていることを確認してください： ユーザーにはemailと設定された属性があります。 RelayStateは、Tealiumのメタデータファイルで提供されたEntityIDと同じ値に設定されています。 Audienceは、TealiumのメタデータファイルのAssertionConsumerServiceノードのLocation属性と同じ値に設定されています。 Recipientは、TealiumのメタデータファイルのAssertionConsumerServiceノードのLocation属性と同じ値に設定されています。 ACS（Consumer）URL Validatorは、TealiumのメタデータファイルのAssertionConsumerServicenodeのLocation属性と同じ値に設定されています。すべてのスラッシュはバックスラッシュでエスケープする必要があります。 例えば、Location属性がhttps://prod-federation.auth.us-west-1.amazoncognito.com/saml2/idpresponseの値を持つ場合、URL Validatorはhttps:\/\/prod-federation.auth.us-west-1.amazoncognito.com\/saml2\/idpresponseであるべきです。 ACS（Consumer）URLは、TealiumのメタデータファイルのAssertionConsumerServiceノードのLocation属性と同じ値に設定されています。
Okta	Okta IdPとのSSO設定の手順を完了して、メタデータファイルをダウンロードしてTealiumにアップロードします。詳細については、Oktaのドキュメンテーションを参照してください。

ステップ2：あなたのIdPに接続する

以下の手順を完了して、あなたのIdPに接続します：

1. IdPに接続画面で、あなたのIdPからダウンロードしたSAMLメタデータファイルをアップロードします。接続が確立されると、Identity ProviderフィールドはあなたのIdPの名前で自動的に入力されます。

2. IdP管理者のメールフィールドに、あなたのIdPアカウントの管理者のメールアドレスを入力します。
3. （オプション）あなたのIdPが別の署名証明書を提供している場合は、そのファイルをIdP SAML 2.0署名証明書の下にアップロードします。
4. 接続を確立をクリックします。

ステップ3：あなたのSP-Initiated SSOをテストする

あなたのIdPに接続した後、あなたのSSOはテスト認証モードに設定されます。テストモードでは、あなたのアカウントのユーザーは、Tealiumが開始したログインまたはSPが開始したログインのいずれかを選択することができます。認証モードを切り替える前に、SPが開始したログインを検証するためにこのモードを使用します。テストが成功するためには、次のURLを使用してログインすることを確認してください：my.tealiumiq.com/login/sso。

あなたのIdPへの接続をテストするために、証明書の詳細の下のテストURLをコピーして、ブラウザに貼り付けてください。

ステップ4：あなたのSP-Initiated SSOを有効化する

あなたのユーザーのSPが開始したログイン体験に満足したら、以下の手順を完了して、SPが開始したSSOを有効化します。

1. SSOを管理画面から、認証モードをオンに切り替えます。認証モードをオンに切り替えると、あなたのアカウントのすべてのユーザーがSPが開始したログインを通じて認証するように強制し、すべてのユーザーのTealiumが提供するログイン資格情報がリセットされます。
2. 確認ダイアログが表示されます。新しいSSOログインを有効化する前に、SSO認証フローをテストし、あなたのアカウントのユーザーに新しいSSOログイン手順について通知を提供したことを確認します。ステートメントを確認した後、SSOを有効化をクリックします。
3. 保存をクリックします。

認証モードをテストからオンに切り替えると、SSO認証が有効化され、Tealiumのログインが無効化されます。Tealiumのログインを再有効化するには、認証モードをテストに戻します。

TealiumのSSOがオンになると、Tealiumはもはやあなたのユーザーのパスワードを管理しません。Tealium内からユーザーを追加し、権限を管理することはできますが、パスワードと認証に関連する機能（例えば、多要素認証）はTealiumのインターフェースを通じては利用できなくなります。ユーザーはあなたの企業システムを通じて認証し、カスタムSSO URLを使用してTealiumアカウントにアクセスします。