シングルサインオンを使用した Studioユーザーの認証

このトピックでは、シングルサインオンを使用してユーザーを認証するための Studioの設定方法について説明します。

シングルサインオン(SSO)は、ユーザが1組のログイン認証情報 (例えば、ユーザ名とパスワード) を使用して複数のアプリケーションにアクセスすることを許可する、セッションとユーザ認証サービスです。 このサービスは、ユーザーに権限が与えられている、すべてのアプリケーションに対してエンドユーザーを認証し、ユーザーが同じセッション中にアプリケーションを切り替えた際に、それ以上のプロンプトを表示しないようにします。

Video Cloud Studio では SAML ベースのシングルサインオンをサポートしており、パブリッシャーは選択した ID プロバイダ(IdP)を通して SSO で Studioにアクセスすることができます。機能の一部を以下に示します:

  • Video Cloud Studio は、SAML 2.0 SSO プロトコルをサポートしています。
  • ID マッピングは、単一のメール ドメインではなく、ユーザー名(完全なメール アドレス)に基づいています。 これにより、一部のユーザーを SSO で有効にし、他のユーザーは通常の Video Cloud Studio ログインを経由させたいと考えているパブリッシャーにとって、より柔軟な対応が可能になります。
  • アカウントとその既存ユーザーが SSO 用に設定されると、Video Cloud Studio UI を通じてアカウントに追加された新規ユーザーは、追加したユーザーの SSO 設定を継承します。
  • Video Cloud Studio は、SSO のためにサービス プロバイダーによるログインをサポートしています。 現時点では、IdP による直接ログインはサポートしていませんが、ID プロバイダー ポータルからリンクできる Video Cloud Studio ログイン画面をバイパスするための URL を提供することが出来ます。

SSOを有効にするためのアカウントの詳細については、担当営業までお問い合わせください。

利点

Video Cloud Studio ログインに SSO を追加する利点には、次のようなものがあります:

  • すべてのアプリケーションに単一のログイン - 複数のユーザー名とパスワードを覚えておくことは、管理が難しくなり、IT チーム(またはツールのアカウント管理者)にとって頭痛の種となります。 SSO を有効にし、そこに Video Cloud Studio ログインを追加することで、Brightcoveのアカウント管理者はこれらの問題に対処する必要がなくなり、ツールのユーザーは Video Cloud Studio 用の別のユーザー名/パスワードを覚える必要がなくなります。
  • セキュリティとパスワード要件 - 企業には、長さ、有効期限、複雑さなど、さまざまなユーザー パスワード要件があると思います。 SSO を使用することで、Brightcoveは、Video Cloud Studio に組み込まれたセキュリティ管理を変更しなくても、個々の要件に対応し、これらの要件をサポートすることができます。
  • ユーザー アクセスをすばやく簡単に無効化 - シングルサインオンにより、IT 部門はユーザーを一元管理し、従業員が退職するとすぐにユーザー アクセスを削除できます。 SSO により、不満を持つユーザーが Brightcoveのメディア、プレーヤー、トークンなどを変更または削除することを防ぎます。

制限事項

  • SAML のジャストインタイム ユーザー プロビジョニングがサポートされています。 IDP 経由で、初めてログインするユーザーのアカウントは、Video Cloud Studio に自動的に作成されます。 権限とモジュール アクセス制御は、Video Cloud Studio の管理モジュールから設定することができます。
  • トライアル アカウントではSSOを有効にすることはできません。
  • Studio ユーザーアカウントが Studio SSO 用に構成されている場合、新規ユーザーにはウェルカム メールは送信されません

FAQ

SAMLベースの SSOがサポートされていることは分かりましたが、二要素(2FA)や多要素認証についてもサポートされていますか?

現時点では、通常の Studio ログインで 2FA をサポートする予定はありません。 SAML ベースの SSO でログインを有効にし、IdP 設定に 2FA を追加することはできますが、これは ITチームが独自の IdP で設定することになります。

CAS や Kerberosのような他の SSOプロトコルをサポートする予定はありますか?

現時点ではサポートする予定はありません。

私たちのアカウントには、SSOを経由すべきでないユーザーと、SSOを経由する必要があるユーザーがいます。 これはサポートされていますか?

はい。SSOはユーザーごとに有効化されるため、一部のユーザーには SSO ログインを有効にし、他のユーザーには通常の Studio ログインを有効にすることができます。1つ注意すべき点は、Studioのユーザー管理UIでは、新しいユーザーをアカウントに追加するときに、どの認証パスを経由するかを選択する方法がないことです。 現在のところ、ユーザーは、ユーザを追加する管理者が設定している認証パスを継承します。将来、Studioでこれを選択できるオプションを公開する予定です。 認証フローが混在している場合の現時点での回避策は、1つの管理者をSSO用に設定し、もう1つを通常のStudioログイン用に設定することです。 管理者は、新規ユーザーを追加するときに、どの認証方法で設定するかに基づいて、適切なユーザーアカウントにログインする必要があります。

弊社では、異なるユーザーを異なる ID プロバイダー用に構成する柔軟性をサポートしていますが、単一の IdP を使用し、すべてのユーザーを常にその単一の IdP 用に構成することを希望するお客様もいらっしゃいます。そのような構成も可能です。

1つのアカウントに複数のIDプロバイダーを設定することはできますか?

はい。 ある組織(顧客)に対して複数のIDプロバイダを設定することができ、ユーザーをいずれかのIdPに割り当てることができます。 アカウントに新しいユーザーを追加する際の認証パスの継承については、上記の質問を参照してください。

ユーザーに対して SAML SSO が有効になっている場合、Brightcoveへのローカル ログイン(Studio 認証のユーザー名/パスワード)できますか?

いいえ、できません。いったんユーザが SSOを有効にすると、そのアカウントで認証できる唯一の方法となります。

Brightcoveは、SP が開始する SSO で SAML v2.0 をサポートしていますか?

はい

  • SP主導のログインは、以下のような特別なダイレクト・ドメイン・ログインURLでサポートされています:
    https://signin.brightcove.com/login/ext/saml?behavior=xxxxxxxxx
  • さらに、signin.brightcove.com にアクセスしてログインすることもできます。 Brightcoveのサインイン ページでユーザー名を入力すると、そのユーザー名がチェックされ、そのユーザーが SSO に対応しており、まだサインインしていない場合は、認証のために IDP にリダイレクトされます。
Brightcoveは、SSO 後に動画に直接アクセスするために、SAMLRequest/SAMLResponse で RelayState パラメータを使用することをサポートしていますか?

いいえ。SSO経由でログインすると、ユーザーは常にStudio Homeダッシュボードに移動します。

SSO統合はシングルサインアウトをサポートしていますか?

いいえ、サポートしていません。

サポートしているIDプロバイダーはどこですか?

Brightcoveは、すべての SSO ID プロバイダーでテストしたわけではありませんが、IdP が SAML 2.0 をサポートしている限り、問題は発生しないはずです。 一般的なものには、次のようなものがあります: Okta、Ping Federated、Ping Identity、Microsoft Active Directory、OneLogin、Auth0などがあります。