SSO のベスト プラクティス

シングル サインオン (SSO) は、ユーザーが同じログイン資格情報を使用して複数のプラットフォームにログインできるようにする認証スキームです。たとえば、あなたの会社には、全従業員がログインするプラットフォームがあるとします。調査のニーズに合わせて QuestionPro を購入する場合は、ユーザーがログインするために別の資格情報を使用する必要がなく、SSO を設定するだけで、ユーザーが個別にログインする必要がなくなります。プラットフォームにアクセスするための認証情報。 SSO の設定は難しいため、最高レベルのセキュリティを確保するために必要な手順に従っていることを確認する必要があります。

企業が SSO の実装をどのように決定するかは、SSO からアクセスする予定のアプリケーションによって異なります。まず、QuestionPro の SAML SSO 設定について理解し、QuestionPro に接続する ID プロバイダーを選択します。

SSO 実装に最適なフレームワークを決定することが重要です。 Security Assertion Markup Language (SAML) は、さまざまなシステム間で ID、認証、認可に関するセキュリティ情報を共有するためのオープン標準とプロトコルのセットであり、Web アプリケーション専用に設計されています。したがって、QuestionPro で SAML SSO を実装するには、より信頼性が高く安全な ID プロバイダーを選択することが重要です。独自の IDP を開発する代わりに、Okta、OneLogin などのサードパーティ IDP を使用して、QuestionPro で SAML SSO を設定できます。

すべての SSO ソリューションには、ユーザーの正確な情報が含まれる権限のあるディレクトリが必要です。組織は企業全体でユーザーの ID を統合することになるため、ユーザーの ID、つまりユーザーの電子メール アドレスを照合する必要があります。企業は、アプリケーション内の各ユーザーに正しい電子メール アドレスが入力されていることを確認する必要があります。そうしないと、SSO への切り替え後にユーザーはサインインできなくなります。

SSO は認証失敗の単一ポイントになる可能性があるため、SSO システムのすべてのコンポーネントを企業内で保護する必要があります。悪意のあるユーザーが SSO ログイン資格情報を入手すると、システムに登録されているすべてのアプリケーションが危険にさらされます。

企業はシングル サインオンを導入する前に、特権と誰に何を許可するかを考える必要があります。企業は、組織内のどのユーザーに QuestionPro プラットフォームへのアクセスを許可するかを決定し、それに応じて権限を付与する必要があります。

組織は、SSO システムで従業員がパスワードを使用してサインインできないようにする必要があります。これは、QuestionPro アカウントで「SSO のみに制限」機能を有効にすることで簡単に行えます。

ユーザーが無期限にサインインしたままになることを許可しないでください。代わりに、アイドル状態のユーザー セッションを期限切れにします。アカウントごとに設定を行うか、SAML 応答からのセッション タイムアウト値を使用します。セッションの有効期限が切れた後に従業員がアプリケーション内のリンクをクリックすると、アプリケーションは SAML リクエストを ID プロバイダーに送信して、ユーザーがまだサインインを許可されているかどうかを判断する必要があります。

アプリがサインイン要求を受信したが、ユーザーのブラウザーにすでにアクティブなセッションがある場合、そのセッションは新しいユーザーの新しいセッションに置き換えられる必要があります。これにより、あるユーザーが別のユーザーのデータを誤って閲覧してしまうリスクが軽減されます。これは、SSO ポータルを使用する従業員が同じアプリケーション内の異なるアカウントにサインインするのにも役立ちます。