サービスプロバイダー (SP) が開始するログイン
この記事では、Braze アカウントの SAML シングルサインオンを有効にする方法を順に説明します。
要件
設定時に、サインオン URL と Assertion Consumer Service (ACS) の URL を指定するように求められます。
| 必要条件 | 詳細 |
|---|---|
| アサーションコンシューマーサービス (ACS) の URL | https://<SUBDOMAIN>.braze.com/auth/saml/callback欧州連合のドメインの場合、ASCのURLは https://<SUBDOMAIN>.braze.eu/auth/saml/callback 。IdP によっては、これを応答 URL、サインオン URL、オーディエンス URL、またはオーディエンス URI と呼ぶこともあります。 |
| エンティティ ID | braze_dashboard |
| RelayState APIキー | Settings(設定)>API Keys(APIキー)に進み、sso.saml.login 権限を持つAPIキーを作成し、生成されたAPIキーをIdP内のRelayState パラメータとして入力する。 |
古いナビゲーションを使用している場合、API キーは [開発者コンソール] > [API 設定] の [設定] にあります。
SAML SSO の設定
ステップ 1: ID プロバイダーの設定
ID プロバイダー (IdP) で以下の情報を指定して、Braze をサービスプロバイダー (SP) として設定します。さらに、SAML 属性マッピングを設定します。
ID プロバイダーとして Okta を使用する予定がある場合は、必ず Okta のサイトにあるビルド済みの連携を使用してください。
| SAML 属性 | 必要か? | 許容される SAML 属性 |
|---|---|---|
email |
required | emailmailhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/email |
first_name |
オプション | first_namefirstnamefirstNamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/first_name |
last_name |
オプション | last_namelastnamelastNamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/last_name |
Braze は SAML アサーションに email のみが必要です。
ステップ 2: Braze の設定
ID プロバイダーでの Braze の設定が完了すると、Braze アカウントに入力するターゲット URL と x.509 証明書が ID プロバイダーから提供されます。
アカウントマネージャーがアカウントの SAML SSO をオンにしたら、[設定] > [管理者設定] > [セキュリティ設定] に移動し、[SAML SSO] セクションを [オン] に切り替えます。
古いナビゲーションを使用している場合は、アカウントアイコンを選択し、[会社の設定] > [セキュリティ設定] に移動して、[SAML SSO] セクションを見つけます。
そのページで、次の項目を入力します。
| 必要条件 | 詳細 |
|---|---|
SAML Name |
これは、ログイン画面にボタンのテキストとして表示されます。 これは通常、「Okta」のような ID プロバイダーの名前です。 |
Target URL |
これは、IdP 内で Braze を設定した後に提供されます。 IdP によってはこれを SSO URL または SAML 2.0 エンドポイントと呼びます。 |
Certificate |
ID プロバイダが提供するx.509 証明書。 |
ダッシュボードに x.509 証明書を追加するときに、次の形式になっていることを確認してください。
1
2
3
-----BEGIN CERTIFICATE-----
<certificate>
-----END CERTIFICATE-----
ステップ 3:Braze へのサインイン
セキュリティ設定を保存してログアウトします。次に、ID プロバイダーにサインインし直します。
SSO の動作
SSO の利用を選択したメンバーは、以前とは異なり、パスワードを利用できなくなります。パスワードを使用し続けるユーザーは、以下の設定によって制限されない限り、パスワードを使用できます。
制限
サインインに Google SSO または SAML SSOのいずれかのみを使用するように、組織のメンバーを制限できます。制限をオンにするには、[セキュリティ設定] に移動し、[Google SSO のみのログインを強制する]、または [カスタム SAML SSO のみのログインを強制する] のいずれかを選択します。
制限をオンにすると、たとえ以前にパスワードでログインしていたとしても、会社の Braze ユーザーはパスワードを使用したログインができなくなります。
GitHub でこのページを編集