Vault で SSO を有効化すると、全てのユーザが使用しなければならないのですか?
ユーザが Vault にアクセスする際にログイン認証情報を使用するか、または SSO を使用するかは、当該ユーザに設定されるセキュリティポリシーによって異なります。一部のユーザが SSO を使用し、他のユーザは使用しないよう、Vault を設定することができます。社外の人物 (例えば、広告代理店や監査官等) にユーザアカウントを付与する場合、この機能が便利です。SAML を使用すると、ログインページにアイデンティティプロバイダボタンを追加することもできるため、ユーザにログインオプションを提供できます。
Vault には、IdP 起点の SSO でサインインするユーザが電子署名を提供できないという制限があります。詳しくは以下を参照してください。
ログインの際、監査証跡追跡はどうなりますか?
ユーザが Vault にナビゲートし、SSO 経由で自動的にログインすると、その行動により監査証跡に新規ユーザログイン項目が生成されます。
ユーザプロファイルは、SAML と OAuth 2.0/OpenID 接続の両方を使用できますか?
はい。ユーザに関連づけられたセキュリティポリシーは、SAML と OAuth 2.0/OpenID 接続プロファイルをそれぞれ 1 つまで持つことができます。
SAML FAQ
Vault は、SAML アカウントでの二要素認証または多要素認証をサポートしていますか?
Vault は、シングルサインオンアカウントでの二要素認証または多要素認証をサポートしていません。ユーザは、SAML ID プロバイダシステムを介して、二要素認証と多要素認証を設定できます。
Vault で SAML を実装するのは、どれぐらい難しいですか?
御社が他のクラウドアプリケーションですでに SAML 2.0 を実装している場合、難しいことはありません。SAML やクラウドアプリケーションの経験がこれまでにない場合、一般的なインフラを構築し、SAML や IdP 構成に慣れるのに時間がかかることが考えられます。
Vault と Veeva CRM の統合に SAML を使用できますか?
はい。Veeva CRM org を SAML IdP にするよう設定することも、Veeva CRM と Vault の両方で SP として外部 IdP を使用することもできます。または、代理認証を使用することも可能です。
SAML を Vault API で使用できますか?
はい。詳しくは Vault 開発者ポータルをご覧ください。
SAML は、どのタイプの認証をサポートしていますか?
フォームベース認証のご使用をお勧めします。ケルベロス (Kerberos) 認証または NTLM 認証を使用すると、一部のブラウザおよび顧客が電子署名タスクの実行中にユーザに再認証を求めるメッセージを送る代わりに、キャッシュされた認証セッションを転送する場合があります。
SAML は、どのタイプの TLS 統合をサポートしていますか?
TLS 1.2 がサポートされています。
セッションタイムアウトは、IdP および Vault にどのように影響しますか?
SSO の使用時には、お使いの Vault とアイデンティティプロバイダに同じセッション時間を設定することが推奨されます。Vault のセッション時間が長い場合、Vault は有効なセッションしか考慮せず、IdP セッションのタイムアウト時に自動的にユーザをログアウトしません。Vault のセッション時間が短い場合、Vault はユーザをログアウトしますが、ブラウザは通常 IdP にリダイレクトし、IdP は Vault の新規セッションを開始するか、ユーザに再度ログインするようプロンプト表示します。
SAML で電子署名はどのように機能しますか?
弊社の電子署名アプローチでは、ユーザ名とパスワードの再入力をユーザに促します。SP 起点 SAML モデルを使用する SSO のみで電子署名をご利用いただけます。SSO ユーザが電子署名タスクを完了しようとすると、Vault はアイデンティティプロバイダのログインページをロードし、再認証をユーザに求めます。タスクを完了するにあたり、Vault ではそれ以上手順はありません。
注: アイデンティティプロバイダを設定する際、各 SAML リクエストの認証を強制する設定がオンになっていることを確認します。例えば、Okta の「テンプレート SAML 2.0」を使用している場合、認証を強制するのチェックボックスを選択する必要があります。アイデンティティプロバイダからテンプレートを使用する際には、SAML 2.0 テンプレートを使用してください。
一部のブラウザは、iFrame 経由でユーザが SAML アイデンティティプロバイダを使用して電子署名を行えないようにします。この問題は、サードバーティのクッキーを有効にしたり、*.veevavault.com ドメインを信頼できるドメイン一覧に追加したりすることで解決できます。または、SAML 電子署名の認証は iFrame でなくポップアップウィンドウで行うチェックボックスを選択して、電子署名フローをポップアップで完了するよう設定することができます。
注: 電子署名認証には SP 起点 SAML モードが必要です。
「SAML 電子署名の認証は iFrame でなくポップアップウィンドウで行う」設定がオフの場合、電子署名がポップアップを開くのはなぜですか?
SAML 電子署名の認証は iFrame でなくポップアップウィンドウで行う設定は、ドキュメントの電子署名にのみ適用されます。オブジェクトレコードに電子署名を提供すると、ユーザには常にポップアップウィンドウが表示されます。
シングルサインオンプロファイルと電子署名プロファイルの違いは何ですか?
SSO ログインには、シングルサインオンプロファイルが必要です。電子署名プロファイルは任意であり、SAML を介してドキュメントやオブジェクトレコードに電子署名を行うために特に使用されます。セキュリティポリシーで電子署名プロファイルが設定されていない場合、SSO ログインと電子署名の両方にシングルサインオンプロファイルが使用されます。1 つのシングルサインオンプロファイルと 1 つの電子署名プロファイルを同じセキュリティポリシーに関連付けることができます。
OAuth2.0 / OpenID 接続 FAQ
Vault に OAuth2 / OIDC を実装するにはどのようなインフラストラクチャが必要ですか?
Vault は PingFederate 認証サーバによる OpenID 接続のみに対応しています。Vault はアクセストークンを使用して Vault セッション ID を発行することができます。クライアントと AS が PKCE のサポートと実装を行っていることがさらに推奨されます。
OAuth2 / OIDC 接続は Vault UI へのログインに使用できますか?
いいえ。現時点では、OAuth / OIDC は API レベルの認証にのみ使用可能です。詳しくは Vault 開発者ポータルをご覧ください。
アクセストークンの期限が切れると、利用中の Vault セッション ID の期限も切れますか?
Vault セッション ID が発行されると、AS が指定したトークンの期限ではなく、Vault のセッション時間の設定に従います。これは、AS アクセストークンが Vault セッション ID より前に期限が切れる可能性があるということを意味します。Vault セッション ID の期限が切れると、AS アクセストークンを使用して新しいセッション ID を要求する必要があります。