フェデレーティッド認証の詳細オプション
項目一覧
フェデレーション ユーザーと認証フローをより詳細に制御するために、フェデレーション認証インスタンスで詳細オプションを構成できます。
必要なアクセス権
フェデレーティッド認証を管理するには、インスタンスにフェデレーション設定を委任している 1 つ以上の組織に対する Organization Ownerアクセス権が必要です。
フェデレーション管理コンソール
フェデレーティッド認証はFederation Management Consoleから管理できます。
Federation Management Consoleを開くには:
Atlas で、Organization Settings ページに移動します。
まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー
[Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。
[ 組織設定]ページが表示されます。
組織のデフォルトのユーザー ロールを割り当てる
マッピングされた組織内のデフォルトの ロール を持つ、 IdP を介して認証する各ユーザーを自動的にプロビジョニングするように Atlas を構成できます。組織ごとに異なるロールを選択できます。
ドメインによる組織へのアクセスの制限
承認されたドメインのリストを指定して、それらのドメイン外のユーザーが組織にアクセスすることを防ぐことができます。 このリストを使用して、組織内で承認されたドメインのリストを定義し、それらのドメインをIdPに直接マッピングする必要はありません。
重要
Considerations
Restrict Access by Domainオプションを有効にすると、次の状況が発生します。
承認されたドメインのリストにあるメールアドレスを持つ新しいユーザーのみを組織に招待できます。
承認されたリストにユーザー名にドメインが含まれていないユーザーは、組織へのアクセスが制限されません。
IdPにマッピングされているドメインは、承認されたリストに自動的に追加されます。
Federation Management Consoleから を使用します。
承認されたリストにドメインを追加します。
承認されたリストにドメインを追加するには、次のいずれかを実行します。
[ Add Domains from Existing Membersをクリックします。 Atlas は、組織内の既存のユーザーのメールアドレスのドメインを含むモーダルを開きます。 このリストを使用して、組織のすでに一部のユーザーのアクセスを簡単に有効にします。
チェックボックスを使用して必要なドメインを選択し、[ Add ] をクリックして承認済みリストに追加します。
[ Add Domainsをクリックします。 Atlas では、承認されたリストにドメインを手動で追加できるモーダルが開きます。
入力ボックスに承認するドメインを入力し、 [ Add ] をクリックします。 承認するドメインごとにこのプロセスを繰り返します。
注意
ユーザーのメンバーシップをフェデレーションに制限した場合、フェデレーション外の組織へのアクセスに使用されるドメインを追加すると、Atlas は警告を発します。
必要なドメインをすべて追加したら、[ Submit ] をクリックします。
SAMLモードをバイパスする
Bypass SAML Mode が提供するログインURLはフェデレーティッド認証をバイパスし、代わりに Atlas 認証情報で認証できるようになります。
フェデレーティッド認証設定が正しく構成されていない場合、 IdP経由で Atlas にログインできない可能性があります。 Bypass SAML Mode URLは、Atlas 組織からロックアウトされるのを防ぐのに役立ちます。 IdPの構成とテスト中に、 Bypass SAML Mode URL をメモして、Atlas にログインし、フェデレーション認証設定を正しく構成できることを確認することをお勧めします。
各Bypass SAML Mode URL は個々のIdPに関連付けられ、IdP のLogin URLに対応します。
Bypass SAML Mode はデフォルトで有効になっていますが、フェデレーション認証が正しく構成されたことが確実な場合は、セキュリティ対策として無効にしたい場合があります。
Federation Management ConsoleからBypass SAML Modeを設定するには次の操作を行います。
有効化後にサインイン Bypass SAML Mode
Bypass SAML Modeを有効にした後は、以下を使用して Atlas にログインする必要があります。
ユーザーのメンバーシップをフェデレーションに制限する
フェデレーティッド認証インスタンス内のユーザーが新しい組織を作成したり、認証情報を使用してフェデレーション外の組織にアクセスしたりすることを防ぐことができます。 フェデレーティッド ユーザーを完全に制御し、フェデレーティッド ユーザーが必要な Atlas 組織にのみアクセスできるようにするには、この設定を構成します。
重要
この設定は、フェデレーション内のすべての IdP と組織を含むフェデレーション全体に適用されます。
Considerations
この設定を有効にすると、次のことを行います。
フェデレーティッド認証インスタンス内のどのユーザーも、フェデレーション外の組織にアクセスすることはできません。
同様に、フェデレーション ユーザーは、フェデレーション外の組織に参加するための招待を承諾したり受信したりすることはできません。
フェデレーション内で
Organization Ownerロールを持つユーザーは、引き続き新しい組織を作成できます。 これらの新しい組織は、フェデレーションに自動的に接続されます。フェデレーション内に
Organization Ownerロールがないユーザーは、新しい組織を作成できません。フェデレーション内のユーザーは、メンバーシップの制限前にアクセスできた組織へのアクセスを保持します。
手順
Federation Management Consoleから を使用します。