シングルサインオンを使用した Studio ユーザーの認証

このトピックでは、Studio においてシングルサインオンを使用してユーザーを認証する設定方法について説明します。

シングルサインオン(SSO)は、1 組のログイン情報(例:ユーザー名とパスワード)で複数のアプリケーションにアクセスできるようにするセッションおよびユーザー認証サービスです。このサービスは、ユーザーが権限を持つすべてのアプリケーションに対して認証を行い、同じセッション中にアプリケーションを切り替える際の追加の認証を不要にします。

SAML ベースのシングルサインオンは Video Cloud Studio に対応しており、お客様が選択した IdP(Identity Provider)を通じて SSO 経由で Studio へアクセスできます。主な特徴は以下の通りです:

  • Video Cloud Studio は SAML 2.0 SSO プロトコルをサポートしています。
  • ユーザー名(フルメールアドレス)に基づくアイデンティティ マッピングに対応しており、単一のメールドメインに制限されません。これにより、SSO を有効にしたユーザーと通常の Studio ログインを使用するユーザーを柔軟に管理できます。
  • アカウントおよび既存ユーザーが SSO に対応すると、Studio UI から新たに追加されたユーザーも追加元ユーザーの SSO 設定を引き継ぎます。
  • SAML による「ジャストインタイム(Just-in-time)」ユーザー作成に対応しています。ユーザーが初めて IdP 経由でログインすると、自動的に Video Cloud Studio 上にアカウントが作成されます。権限やモジュール アクセスの管理は Studio の管理モジュールから設定可能です。

アカウントに SSO を有効にする方法については、弊社営業までお問い合わせください。

利点

Video Cloud Studio のログインに SSO を追加する利点には以下があります:

  • すべてのアプリケーションに対する単一のログイン - 複数のユーザー名やパスワードを覚えるのは面倒であり、IT チームやツールのアカウント管理者にとっても管理が大変です。SSO を有効にし Studio のログインも統合することで、Brightcove のアカウント管理者はこれらの問題から解放され、ユーザーも別々のログイン情報を覚える必要がなくなります。
  • セキュリティとパスワード要件 - 企業ごとにパスワードの長さ、期間、複雑さなどのポリシーが異なります。SSO を利用することで、Brightcove はそれぞれの要件に対応しつつ、Video Cloud Studio 内部のセキュリティ管理を変更せずに運用できます。
  • ユーザーアクセスの迅速な無効化 - SSO により、IT 部門はユーザーを一元的に管理でき、社員が退職した際には即座にアクセスを無効化できます。SSO は不正ユーザーによる Brightcove メディア、プレーヤー、トークンなどの改ざん・削除を防止します。

制限事項

  • SSO はトライアルアカウントでは有効化できません。
  • Studio のユーザーアカウントが SSO に設定されている場合、新規ユーザーには ウェルカムメールは送信されません。

FAQ

SAML ベースの SSO がサポートされているのは知っていますが、2 要素認証(2FA)や多要素認証には対応していますか?

いいえ。現在のところ、通常の Studio ログインでの 2FA 対応予定はありません。ただし、SAML ベースの SSO に 2FA を追加することは可能です。これはお客様側の IdP で IT チームが設定を行う必要があります。

CAS や Kerberos など、他の SSO プロトコルへの対応予定はありますか?

現在のところ、対応予定はありません。

SSO を使用しないユーザーと使用するユーザーが混在しています。このような運用は可能ですか?

はい。SSO はユーザー単位で有効化できるため、SSO ログインを有効にしたユーザーと通常の Studio ログインを使うユーザーを混在させることが可能です。ただし、Studio のユーザー管理 UI 上では、新規ユーザーの認証方式を選択する手段がないため、追加されたユーザーはそのユーザーを追加した管理者の認証方式を引き継ぎます。今後、Studio 上で認証方法を選択できるオプションを追加予定です。それまでは、SSO 用の管理者と通常ログイン用の管理者をそれぞれ用意し、認証方式に応じてユーザーを追加してください。

ユーザーごとに異なる IdP を設定することもできますが、すべてのユーザーを単一の IdP で統一する設定も可能です。

1 つのアカウント内で複数の IdP(アイデンティティプロバイダー)を設定できますか?

はい。1 つの組織(お客様)に対して複数の IdP を設定し、それぞれのユーザーに割り当てることが可能です。新規ユーザーの追加時には、どの認証方式を引き継ぐかにご注意ください。

SSO が有効なユーザーは、Brightcove にローカルログイン(ユーザー名/パスワード)できますか?

いいえ。SSO が有効になると、それが唯一の認証手段となります。

Brightcove は SAML v2.0 の SP-initiated SSO に対応していますか?

はい。

  • SP-initiated ログインは、以下のような専用のドメインログイン URL でサポートされています:
    https://signin.brightcove.com/login/ext/saml?behavior=xxxxxxxxx
  • また、signin.brightcove.comにアクセスしてログインすることも可能です。Brightcove のログイン画面でユーザー名を入力すると、SSO が有効でログインしていない場合、自動的に IDP にリダイレクトされて認証が行われます。
SSOログイン後、RelayState パラメーターを使用して直接ビデオにアクセスできますか?

いいえ。SSO ログイン後は常に Studio のホームダッシュボードに遷移します。

SSO 連携ではシングルサインアウト(Single Sign-Out)に対応していますか?

いいえ。

どのアイデンティティ プロバイダーがサポートされていますか?

Brightcove はすべての IdP で検証しているわけではありませんが、SAML 2.0 をサポートしていれば基本的に問題ありません。お客様からよく聞かれる主な IdP には、Okta、Ping Federated、Ping Identity、Microsoft Active Directory、OneLogin、Auth0 などがあります。