SSO（シングル・サイン・オン）はじめに

この記事では、Customer Community プラットフォームで SSO のセットアップを開始する方法の基本について概要を説明します。

• サポートされている SSO スキームとその設定方法
• Gainsight プラットフォームでエンド ユーザーに対して SSO がどのように機能するかについてのステップバイステップ ガイド
• Gainsight が提供するさまざまな SSO 構成オプション

シングル サインオン (SSO) とは何ですか?

シングル サインオン (SSO) エンドユーザーは、単一の ID とパスワードを使用して、選択した ID プロバイダーを通じてコミュニティで認証できるようになります。

サポートされている SSO スキームとその設定方法

• OAuth 2.0 セットアップガイド

• OpenID Connect セットアップガイド

• SAML 2.0 SSO セットアップガイド

• トークン（JWT）セットアップガイド

• Google セットアップ ガイド

サポートされている識別プロバイダーとその設定方法

• SAML 経由の Azure AD セットアップ ガイド
• OKTA SSO セットアップ ガイド

重要な用語

• コミュニティ - Gainsightプラットフォーム
• アイデンティティプロバイダー - サードパーティのサービス ユーザーのアイデンティティ情報を作成、維持、管理します
• ユーザー - コミュニティのエンドユーザー

コミュニティ SSO のフロー図

「Show Content」をクリックすると、コミュニティと ID プロバイダーの間の一般的なやり取りを説明する図が表示されます。

コミュニティSSOの詳細説明

選択したものとは独立して コミュニティ SSO スキーム、相互作用 コミュニティ そして アイデンティティプロバイダー 一連の主要な 3 つのステップとして説明できます。

1. ユーザーがコミュニティ ホーム ページにアクセスする
   • セッションがすでに存在する場合、ユーザーは正常にログインしています。。
   • セッションが存在しない場合、ユーザーは「ログイン」ボタンをクリックし、モーダル内の関連する SSO ボタンをクリックして SSO ログインを開始できます。
   • 「ログイン」ボタンをクリックせずに SSO ログインをセットアップすることもできます。
   • Hide contentShow content

     「ログイン」ボタンをクリックする代わりに、これを呼び出すことで SSO ログインを開始できます。 GET エンドポイントを直接: https://sso.api.inside.com/auth/[SSO_SCHEME]?customer=[CUSTOMER_ID]

     • 顧客 ID: これは、コントロール環境の URL の最初の部分です (例: customer-id.inside.com）
     • SSO_SCHEME : oauth2、 OpenID接続、 SAML、トークン、Google

      

      

2. ユーザーは ID プロバイダー サイトにリダイレクトされます
   • ここでユーザーは、アイデンティティ プロバイダーのルールに従って認証されるだけで済みます。
3. ユーザーはプロフィール データとともにコミュニティにリダイレクトされます。プロフィールデータは登録またはログインに使用されます。 
   • 自動的に解析およびマッピングされるようにするには、プロファイル データを次のように送信する必要があります。
     • ID (必須) 文字列 (例: 」kd2fj09234ls8」）、 大文字と小文字を区別しない (」qwerty123」 と同じです 」QWERTY123」）
     • 電子メール 文字列 (例: 」bob@gmail.com」）
     • ユーザー名 文字列 (例: 」ボブ」）
     • アバター 文字列　 HTTPで URL形式(例えば」http://foo.bar/image.jpg」）
     • カスタムロール カンマ区切りの文字列 (例えば 」1、2、3」） 

   •  ID が提供されない場合、ユーザーには 認証失敗エラーが表示されます。

   •  
   • 自動ログイン
     • Hide contentShow content
       • ユーザーが提供した場合 ID コミュニティにすでに存在するユーザーは自動的に ログインしました。 
       • ユーザーが提供した場合 ID 存在しないし、 電子メール フィールドが提供されている場合、コミュニティは一致するメールアドレスを持つユーザーがすでに登録されているかどうかを確認し、そのユーザーは自動的に登録されます。 ログインしました。 追加の自動ログイン オプション
         • もし ユーザー属性を更新* 機能が設定されており、 カスタムロールの更新 有効になっており、 カスタムロール フィールドが指定されている場合、ユーザーが持つ現在のカスタム ロールはすべて置き換えられます。
         • もし ユーザー属性を更新* 機能が設定されており、 メール更新 有効になっており、 電子メール フィールドには、ユーザーが所有する電子メールが置き換えられます。

        

   • 自動登録
     • Hide contentShow content

        

       もし 自動ログイン 失敗した場合、コミュニティは次のことを確認します。 自動登録* オプションが有効になっています。

       もし 自動登録 オプションが有効になっている場合、コミュニティは両方のことを確認します。 電子メール そして ユーザー名 フィールドが提供されます。

       • フィールドが提供されている場合、ユーザーは自動的に登録され、ログイン セッションが作成され、ユーザーはログインします (個別に設定されたものであれば、 必須のプロフィールフィールド 無視されます)。
       • もし アバター フィールドが提供されると、画像がダウンロードされ、ユーザーのプロフィールに添付されます。​​​​​

       追加の自動登録オプション

       • もし メールの左側の部分をユーザー名として使用する が有効になっている場合、電子メール フィールドのローカル部分がユーザー名として使用されます ( ユーザー名 フィールドは無視されます)。
       • 例えば。電子メールが john.doe@mail.com その場合、john.doe が使用されます。

        

   • 通常登録
     • Hide contentShow content
       • もし 自動登録 失敗したか、構成されていない場合、ユーザーには最小限のプロファイル フィールドが入力された登録フォームが表示されます。
       • ユーザーは必要に応じてそれらを編集し、フォームを送信します。
       • ユーザーが登録され、ログイン セッションが作成され、ユーザーは ログインしました。
       • もし アバター フィールドが提供されると、画像がダウンロードされ、登録されたユーザー プロファイルに添付されます

        

ログアウト

• ユーザーが「ログアウト」をクリックすると、 ログアウトURL 設定されている場合、ユーザーはその URL にリダイレクトされます