チューリップ・アカウントにSAML SSOを設定する方法

IT管理者がIdPとTulipの連携を設定する方法をご紹介します。

:::(Error) (制限）この機能はプロフェッショナルプラン以上でのみ利用可能です：

このガイドでは、このマッピングを設定する方法を説明します。

このマッピングを設定する前に考慮すべき3つの重要な注意事項があります：

1. このガイドを読んで、Tulipのロールの種類を理解してください。
2. Tulipでサポートされている承認と認証の方法を理解するには、このガイドをお読みください。
3. オペレーターにバッジIDでのログインを継続させたい場合は、Tulipの担当者にご相談ください。

:::(Info) 注

Tulipが作成したSAML証明書は**、1年ごとに有効期限が切れます**。Tulipは、証明書をローテーションする2週間前にチームに通知するよう連絡します：

SAMLによるIdPの接続（すべてのインスタンス）

これを設定するには、「アカウント所有者」ロールが必要です。画面右上のユーザー・プロファイルをクリックし、"Settings" を選択する。

次に、左側のオプション・リストから "SAML" を選択する。

ここから、SAML 機能を有効にすることができます。次に、メタデータ XML ファイルをダウンロードし、Identity Provider で Tulip アプリケーションを作成する。

次に、TulipはプロバイダからメタデータXMLを受け取るか、手動で以下を提供できます：

• SSOログインURL
• SSOログアウトURL
• 証明書（PEM形式）

ユーザーマッピングの設定

詳細については、このガイドを参照してください。

構成のテスト

次に、画面右上の "Test SAML Authentication" ツールを使用して、設定が正しく動作することを確認できます。これにより、構成が保存された後、少なくとも 1 人のユーザがインスタンスにログインし続けられることが確認される。

Authenticate "ボタンを押すと、任意の SAML ユーザの認証情報でログインを試みることができる。

ログインに失敗した場合は、エラーが表示されます。

ログインに成功すると、その SAML ユーザのすべての詳細が画面の右側に表示されます。nameIDはTulipに正常にマッピングされ、このユーザは今後IdP資格情報でTulipにログインできるようになります。

統合の詳細をすべて入力したら、一番下の「保存」ボタンを押します。

SAML SSOの移行（既存のインスタンスのみ）

すでに電子メール／パスワードを使用してユーザを認証している場合の切り替え方法を説明します。

既存のユーザ・データを維持したまま切り替えるには、アカウントで SAML へのユーザ移行を行う必要があります。

ページ上部の "Migration "タブを使用して、すべての既存ユーザが引き続きTulipを使用できるようにすることができます。

必要なカラムは2つです：

• ユーザの SAML nameID。形式は自由ですが、ユーザの Tulip アカウントと SAML アカウントを結びつける一意のID でなければなりません。Tulip のすべてのユーザは**、SAML で一意の nameID を持つ必要がある**。
• 現在のユーザが Tulip にサインインする際に使用するメールアドレス。

TulipでSAMLが動作していることを確認し、検証済みであることを確認してください。ユーザーが従来のメールアドレスとパスワードでログインする必要がある場合は、テスト後にSAMLをオフにしてください。

CSVをアップロードすると、どのユーザーがTulipに正常にマッピングされたかのフィードバックが表示されます。マッピングに成功したユーザは、すぐに SAML 認証情報でログインできるようになる。

時間経過に伴う SAML ログインの確認

ユーザ」ページで、どのユーザが SAML 認証情報でログインに成功したかを確認できます。

の右側にある "Status" 列を使用します。 Users page{target=_blank}の右側にある "Status" 列を使用して、各ユーザの IdP への接続を確認する。

さらに読む

• How SAML Impacts Different Tulip Features{target=_blank}