★CloudGate UNO が開通してから SSO 開始までの流れ
CloudGate UNOをご導入いただき誠にありがとうございます。本記事では、CloudGate UNO が開通してから、実際にエンドユーザー様にご利用開始いただくまでのおおまかな流れをご案内します。ユーザーのサービス利用に影響がでるのは Step 7. から です。
Step 1. 管理者サイトにサインオンする
参照記事:サービス開通通知書の情報で管理者サイトに初回サインオンする
別途送付されている開通通知書に記載されている情報で、CloudGate UNO 管理者サイトにサインオンします。
Step 2. サービスプロバイダーを追加する
参照記事:サービスプロバイダーを追加する(1〜3)
参照記事内の手順1〜3までを実施します。事前に追加されたいサービスプロバイダーのSSO設定記事があることをご確認のうえ、CloudGate UNOにサービスプロバイダーを追加してください。
実際にユーザーがSSOするために必要な作業は本記事のStep 4、7で行いますので、こちらの作業によるユーザー影響はありません。
Step 3. セキュリティプロファイルを作成する
参照記事:セキュリティプロファイルの仕組み、セキュリティプロファイルを作成する
次の Step でユーザーを作成する際に、セキュリティプロファイルを指定する項目がありますので、事前に作成しておきます。ユーザー作成後もセキュリティプロファイルを変更できますので、作業が前後しても問題ありません。
Step 4. ユーザーを作成、サービスアカウントと連携する
参照記事:CSVファイルでユーザー情報を登録する際の順序、CloudGate UNOユーザーを一括で作成・更新・削除する
CloudGate UNOにユーザーを作成し、サービスプロバイダーのアカウントと連携します。Step 7のSSO有効化を実施することでCloudGate UNOを経由したサインオンになりますので、本作業でのユーザー影響はありません。
CSV ファイルを利用した一括処理、画面上で1つずつ作成のどちらでも作業の基本的な流れは「CSVファイルでユーザー情報を登録する際の順序」をご参考ください。
ここで作成する「ユーザーID」「パスワード」をエンドユーザーに通知していただくことになります。
Step 5. デバイス証明書を発行する※ご利用の場合のみ
参照記事:Cybertrust 証明書と CloudGate 証明書の比較表、Cybertrust証明書を発行する、CloudGate証明書を発行する
デバイス証明書のライセンスをお持ちであれば、Cybertrust / CloudGate 証明書どちらでも利用可能ですので、運用方法に応じて適宜発行してください。
Cybertrust 証明書の場合は、発行が完了すると同時に指定したメールアドレスに対して、インストール手順が記載された個別のメールが配信されます。そのため、そのようなメールが配信されると事前にユーザーへ通知するか、Step 6. と併せて通知することをお勧めします。
Step 6. ユーザーに初回サインオン情報を通知する
参照記事:ユーザーに初回サインオン情報を通知する
「サインオンURL」「ユーザーID」「パスワード」「利用開始日(SSO切替日)」などをユーザーに通知します。
Step 7. サービスプロバイダーの SSO を有効化する
参照記事:サービスプロバイダーを追加する(4)、各種サービスプロバイダーの SSO連携設定情報一覧
CloudGate UNOで認証させるかどうかの制御はサービスプロバイダー側で行いますので、以下の順番でSSO有効化に必要な設定をCloudGate UNO、サービスプロバイダー双方に設定します。
- CloudGate UNO管理者サイト上の設定を行います。Step2 で追加されたサービスプロバイダーの「SSO連携設定情報一覧」や参照記事内の「4. サービスプロバイダーを設定する」からCloudGate UNOに必要なサービスプロバイダー側の情報を確認、設定してください。
- サービスプロバイダーの管理コンソール上で設定を行います。「SSO連携設定情報一覧」や参照記事内の「4. サービスプロバイダーを設定する」からCloudGate UNOのURLなどサービスプロバイダー側に必要な情報を確認、設定するとSSOが有効化されます。
サービスプロバイダーごとに必要な作業は異なりますので、どのように進めたらよいか迷われた際にはご遠慮なくお問合せください。
必須の作業は以上です。
その他推奨する作業
新しい管理者アカウントを作成する
参照記事:ユーザーを作成する、ユーザーに管理者権限を付与する
管理者アカウントとは、ユーザーID に対して「管理者ロールの割当」「管理者サイトへのアクセス許可」をしたものを指します。少なくとも2つ用意することをお勧めします。
関連記事:【Q&A】temp_admin アカウントを削除してもよいか
システムからの自動通知先を設定する
参照記事:CloudGate UNO からの通知をメールで受信する、CloudGate UNO からの通知をWebhookで行う、通知の内容とタイミング