シングルサインオンを使用したStudioユーザーの認証
シングルサインオン(SSO)は、セッションおよびユーザー認証サービスで、ユーザーがログイン資格情報のセット(ユーザー名やパスワードなど)を使用して複数のアプリケーションにアクセスできるようにするサービスです。このサービスは、ユーザーに権限が与えられているすべてのアプリケーションについてエンドユーザーを認証し、同じセッション中にユーザーがアプリケーションを切り替えるときにそれ以上のプロンプトを排除します。
Video Cloud Studio では、SAML ベースのシングルサインオンサポートを利用できます。これにより、パブリッシャーは任意の ID プロバイダー (IdP) を通じて SSO 経由で Studio にアクセスできます。次のような機能があります。
- ビデオクラウドスタジオは SAML 2.0 SSO プロトコルをサポートしています
- アイデンティティマッピングは、単一の電子メールドメインではなく、ユーザー名(完全な電子メールアドレス)に基づいています。これにより、一部のユーザーが SSO を有効にし、他のユーザーは通常の Video Cloud Studio ログインでログインできるようにするパブリッシャーがより柔軟になります。
- アカウントとその既存のユーザーが SSO 用に構成されると、Video Cloud Studio UI を使用してアカウントに追加された新規ユーザーは、追加しているユーザーの SSO 設定を継承します。
- Video Cloud Studio は、サービスプロバイダーが開始した SSO のログインをサポートしています。現時点で開始された直接 IdP はサポートされていませんが、ID プロバイダーポータルからリンクできる Video Cloud Studio ログイン画面をバイパスする URL を提供できます。
アカウントの SSO を有効にする方法については、アカウントマネージャーにお問い合わせください。
メリット
Video Cloud Studio ログインに SSO を追加する利点には、次のようなものがあります。
- すべてのアプリケーションにシングルログイン -複数のユーザー名とパスワードを記憶することは管理が難しくなり、ITチーム(またはツールのアカウント管理者)が対処するのが困難になります。SSO を有効にして Video Cloud Studio ログインを追加することで、ブライトコーブのアカウント管理者はこれらの問題に対処する必要がなくなり、ツールのユーザーは Video Cloud Studio 用に別のユーザー名/パスワードを覚える必要もなくなります。
- セキュリティとパスワードの要件 -企業では、ユーザーパスワードの要件(長さ、期間、複雑さなど)が異なります。SSO を使用すると、Video Cloud Studio の組み込みセキュリティ管理を変更することなく、ブライトコーブはこれらの要件をサポートし、個々の要件セットに対応できます。
- ユーザーアクセスを迅速かつ簡単に無効にする -シングルサインオンにより、IT部門はユーザーを一元管理し、従業員が退社するとすぐにユーザーアクセスを削除できます。SSO は、不満を持つユーザが、ブライトコーブのメディア、プレーヤー、トークンなどを変更または削除することを防ぎます。
制限事項
SAML のジャストインタイムユーザープロビジョニングは現在サポートされていません。ユーザーは引き続きStudio経由でアカウントに追加する必要があり、権限/モジュールのアクセス制御はStudioユーザー管理UIを使用して構成されます。新しいユーザーがアカウントに追加されると、そのユーザーはそれらを追加しているユーザーの SSO 設定を継承します。
よくある質問
SAMLベースのSSOがサポートされていることを知っていますが、2ファクタ(2FA)または多要素認証についてはどうですか?それはサポートされていますか?
いいえ。現時点では、通常の Studio ログインで 2FA をサポートする予定はありません。SAML ベースの SSO のログインを有効にし、IdP セットアップに 2FA を追加できますが、これはお客様の IdP で IT チームによって設定されます。
CAS や Kerberos などの他の SSO プロトコルをサポートする予定はありますか。
現時点ではない
アカウントには、SSOを通過してはならないユーザーや、SSOを通過する必要があるユーザーもいます。これはサポートされていますか?
はいSSOはユーザーごとに有効になっているため、一部のユーザーはSSOログインを有効にでき、他のユーザーは通常のStudioログインで有効にできます。注意すべき点は、Studioユーザー管理UIで、新しいユーザーがアカウントに追加されるときにどの認証パスを通過させるかを選択する方法がないことです。現在、ユーザーは、それらを追加している管理者が設定した認証パスを継承します。後日、Studioでこれを選択するためのオプションを公開する予定です。混在認証フローの今の回避策は、SSO 用に 1 人の管理者を設定し、1 人を通常の Studio ログイン用に設定することです。管理者は、セットアップする認証方法に基づいて、新しいユーザーを追加するときに、適切なユーザーアカウントにログインする必要があります。
異なる ID プロバイダーに対して異なるユーザーを設定するという柔軟性をサポートしていますが、1 つの IdP とすべてのユーザーを常にその単一の IdP 用に設定したいお客様もいます。この構成も利用できます。
1 つのアカウントのユーザーに対して複数の ID プロバイダーを設定する機能はサポートされていますか。
はい特定の組織 (顧客) に対して複数の ID プロバイダーを設定でき、どちらの IdP にもユーザーを割り当てることができます。アカウントに新しいユーザーを追加するときの認証パスの継承に関する上記の質問を参照してください。
ユーザに対して SAML SSO が有効になっている場合、ブライトコーブへのローカルログイン(Studio 認証ユーザ名/パスワード)は直接許可されますか?
なしユーザーが SSO を有効にした後は、そのユーザーがアカウントで認証できる唯一の方法です。
ブライトコーブは、SP が開始した SSO で SAML v2.0 をサポートしていますか?
はい
- SPが開始するログインは、次のような特別な直接ドメインログインURLを介してサポートされます。
https://signin.brightcove.com/login/ext/saml?behavior=xxxxxxxxx
signin.brightcove.com
ユーザーがページに移動することもできます。Brightcove のサインインページでユーザ名/パスワードを入力すると、IdP にリダイレクトされてログインします(まだログインしていない場合)。Brightcove ログインページではパスワードフィールドが無視されることに注意してください。ユーザが SSO を有効にしているかどうかを確認するために、メールアドレスを調べるだけです。
ブライトコーブは、SSO 後に動画に直接アクセスするための samlRequest/SAMLResponse の RelayState パラメータの使用をサポートしていますか?
なしSSO経由でログインすると、ユーザーは常にStudioホームダッシュボードに移動します。
SSO 統合はシングルサインアウトをサポートしていますか。
なし
サポートされている ID プロバイダーは何ですか?
ブライトコーブは、すべての SSO アイデンティティプロバイダーでテストされていませんが、お客様の IdP が SAML 2.0 をサポートしている限り、問題はないはずです。お客様にお話しした一般的なものには、次のようなものがあります。Okta、Ping フェデレーション、Ping ID、Microsoft Active Directory、OneLogin、Auth0。