====== コーポレートサイン・イン ======

===== 概要 =====


Chaos社では、ユーザーは自分のアカウントを作成および管理し、それらを使用してログインできます。これは個人の顧客には適していますが、企業の顧客は、社内の要件に応じて、よりカスタマイズされたログイン エクスペリエンスを望む場合があります。その需要を満たすために、Chaos ログイン ページにコーポレート サイン イン オプションを導入しました。

企業のサインイン機能により、企業のお客様は独自のID プロバイダー サービス (IDP) を当社の Chaos ストアと統合できます。つまり、このような顧客の場合、ユーザー認証は顧客のログイン ページに統合されます。これには多くの利点があります:


  * 会社の従業員が Chaosの個別のアカウントを作成したり、追加のパスワードを覚えたりする必要がなくなります
  * 企業はアイデンティティ サービス プロバイダーを通じて、Chaosアカウントでは不可能なカスタム認証メカニズム (証明書ベースのログイン、２段階認証など) を実施できます。
  * Chaos Webページでユーザー セッションが期限切れになった場合、ユーザーがすでに企業システム セッションに参加している場合は、Chaos Webへのログイン動作が大幅に高速化されます。
  * 会社の管理者は、どの従業員が Chaos 製品を購入して使用できるかをより細かく制御できます。これは、セルフサービス ポータルを使用することでさらに強化できます。

一元化された認証に加えて、企業は一連のユーザーをChaos IDプロバイダーサービスに自動的にプロビジョニングすることで、より高度な統合を構成できます。より完全なコーポレート・サインイン・エクスペリエンスは、次の方法で実現されます。

  * ユーザー名の変更はChaosシステムで自動調整
  * 管理者は、アイデンティティ プロバイダー サービスでユーザーを一元的に非アクティブ化することができ、その非アクティブ化はChaos システムの各ユーザーに自動的に適用されます。


----
===== コーポレートサインインの構造 =====



Chaosのコーポレートサイン・イン機能の技術的な側面を見てみましょう。これは、後続の構成セクションの準備に役立ちます。

==== OpenID コネクト ====


OpenID コネクト は、委任された認証フローを実現するための業界標準です。OpenID コネクトは、OAuth2プロトコルの上に認証されたユーザーに関連する情報を取得する機能を追加しています。これは、IDトークンの伝搬によって実現されます。

IDトークンから取得してカオスシステムで使用する情報は以下の通りです。

  * Given Name = ユーザーの名前（名）
  * Family Name = ユーザーの名前（姓）
  * Email = ユーザーの仕事用メールアドレス

利用可能なものに応じて、この情報はID トークンの多くのフィールド("name", "given_name", "family_name", "email", "upn") から検索できます。


==== SCIM ====

SCIM は、OpenID コネクトとうまく連携するもう1つの標準認証システムです。OpenID コネクトは、認証を外部の ID プロバイダー サービスに委任するのに適していますが、企業のIDプロバイダーでのユーザーの状態（アクティブ/非アクティブ）変更をターゲット・システムに通知する方法を提供していません。 SCIMは、顧客の ID プロバイダーサービスからターゲット・システムへのユーザー プロビジョニングを管理することで、そのギャップを埋める事ができます。

プロビジョニング・プロセスの一環として Chaos システムによって処理される情報は次のとおりです。

  * Given Name = ユーザーの名前（名）
  * Family Name = ユーザーの名前（姓）
  * Email = ユーザーの仕事用メールアドレス
  * Username = 企業のシステムにおけるユーザーのユニークな識別子
    * これは、SCIMリクエストのためにのみ使用されます。
    * このユーザー名は、Chaos Webページへのログインには使用できません
  * External ID = SCIM プロビジョニングに使用されるオプションの識別子
  * Active = ユーザーのアクティブな状態を示します。ソースのシステムで非アクティブ化されたユーザーのこのフィールドは「false」です。

<alert type="success">
非アクティブ化されたユーザーは Chaos システムに維持されますが、再アクティブ化されるまでログインしたり、リソースを使用したりすることはできません。
</alert>
----
==== Chaosサイトへのコーポレートサインインの為の設定 ====


管理者がコーポレート・サインインを要求した後、企業が使用しているIDプロバイダー・サービスにいくつかの設定を適用する必要があります。現在、コーポレート・サインイン機能は、以下のいずれかのユーザー管理ソリューションを使用している企業のお客様に提供されています。

  * [[https://docs.chaosgroup.com/display/KB/Configuring+Corporate+Sign+In+with+Azure|Azure Active Directory]]
  * [[https://docs.chaosgroup.com/display/KB/Configuring+Corporate+Sign+In+with+PingFederate|Ping Identity]]

統合モデルはユーザー管理ソリューションプロバイダーごとにわずかに異なるため、関連するドキュメント セクションを確認してください。

----
===== コーポレート・サインインをリクエストする =====


[[https://www.chaosgroup.com/terms|会社でコーポレート・サインインを有効にする前に、この機能に関連する利用規約を読んで同意してください。]]

[[https://oakcorp.net/contact|この機能を有効にするには、ライセンスの責任者が会社のコーポレート・サインインを設定するように株式会社オークのサポートまでご依頼ください]]。このプロセスは、Chaos システムで行われる多くの構成と、2つのシステム (あなたの会社と Chaos) が安全に通信するために必要な資格情報を交換することで継続されます。使用される ID プロバイダーサービスによって、これらは異なる場合があります。
----
===== コーポレート・サインインを開始する =====


==== コーポレート・サインインを使用する ====


会社でコーポレート・サインイン機能が有効になっている場合、従業員は次のログイン ワークフローを使用して Chaos Webページへの認証を行うことができます。

Chaosのログイン ページでは、Continue with corporate email（企業のメールで続行）ボタンが使用できます。

{{ :chaosgroup:licenses:image_1.png?nolink |}}

選択すると、ユーザーはメールアドレスを入力するように求められます。

{{ :chaosgroup:licenses:image_2.png?nolink |}}

Chaos は、Emailのドメイン名を使用して、使用するコーポレート・サインインを判断します。これに基づいて、ユーザーは関連するアイデンティティ プロバイダー サービスにログインするようにリダイレクトされます。

たとえば、Azure の場合、これは次のようになります。

{{ :chaosgroup:licenses:image_3.png?nolink |}}

デフォルトでは、ChaosのログインフォームはEmailアドレスを企業のIDプロバイダーのログイン ページに転送します。ただし、IDプロバイダーでのログインにEmailアドレスを使用していない場合は、転送動作を無効にして、代わりに IDプロバイダーのログイン ページでユーザー名またはその他の表示を使用できるようにすることができます。

<alert type="warning">
ユーザーが企業のIDプロバイダー・システムにログインする際に、OpenID ConnectのIDトークンの一部として返される電子メールが、企業のサインイン・ページからのユーザー・メールと同一であることが重要です。
</alert>

ユーザーが会社のコーポレートログインページにログインすると，Chaosのログインページにリダイレクトされ，セッションが確立されます。ユーザーは，あたかもパスワードでログインしたかのように，ChaosのWebページを利用することができます．


----
==== 制限事項 ====


コーポレートサインインはまだ新しい機能であるため、注意すべきいくつかの制限があります。

=== 単一ドメインのサポート ===
<WRAP indent>
コーポレートサインインは、企業ドメイン名に基づいて機能します。つまり、Chaos Webページは、ユーザーの電子メールアドレスのドメイン名を使用して使用するログインワークフローを決定します。詳細については、"[[#コーポレート・サインインを使用する]]"セクションを参照してください。

現在、Chaosシステム内で会社を紐付ける事ができるドメイン名は1つだけです。別のドメイン名でログインしようとしても機能しません。このようなユーザーのプロビジョニングは無視され、SCIMを正しく機能させるために保存する必要のあるメタデータを超えてChaosシステムにプロビジョニングされません。
</WRAP>

=== ユーザーの削除 ===
<WRAP indent>
ソースIDプロバイダーサービスでユーザーが削除された場合、SCIMを介して、そのユーザーはChaos中間SCIMストレージからも削除されます。ただし実際には単にユーザーが無効になっているだけです。ユーザーを完全に削除するには、管理者がChaosサポートに連絡する必要があります。
</WRAP>

=== Emailの変更 ===
<WRAP indent>
ユーザーのメールアドレスが変更され、プロビジョニングの使用が有効になっている場合、結果として、古いメールアドレスを持つシステム内のユーザーが非アクティブ化され、新しいメールアドレス用に新しいユーザーが作成されます。管理者は、古いユーザーから新しいユーザーへのライセンスの転送を要求する為にChaosにサポートチケットを作成する必要があります。セルフサービスポータルを使用する場合、これはセルフサービスポータルダッシュボードから実行できます。
</WRAP>

=== シングルサインアウト ===
<WRAP indent>
Chaosからログアウトしても、企業のIDプロバイダーまたはそのIDプロバイダーを介してアクセスされた他のアプリケーションからユーザーがログアウトすることはありません。
</WRAP>

----
==== ノート ====


  * **[[chaosgroup:licenses:ssp|セルフサービスポータル]]**は、クライアントの要求に応じて有効になります。[[https://oakcorp.net/contact|興味のある方は株式会社オークのセールスまでお問い合わせください。]]