エンタープライズ SSO は、ユーザーが顧客の ID プロバイダーで認証された後に FactVerse へ入る仕組みです。重複アカウント管理を減らし、ユーザーライフサイクル、パスワードポリシー、条件付きアクセス、ID 保証を顧客 IT ガバナンスに合わせやすくします。
このページは、SSO 計画、設定レビュー、受け入れテスト、サポート引き渡しで使用します。API レベルの SSO コールバック詳細は、連携チーム向けに SDK / SSO リファレンス を参照します。
計画フロー
入力情報
| 入力 | 所有者 | メモ |
|---|
| FactVerse 環境 URL | プロジェクト管理者 | 本番、ステージング、プライベートクラウド、オンプレミスなど、ユーザーが実際に開く URL を使用します。 |
| ID プロバイダー | 顧客 IT | Microsoft Entra ID、Okta、Ping Identity、Keycloak、その他の企業 IdP を環境に応じて使用します。 |
| プロトコルと metadata | 顧客 IT と DataMesh プロジェクトチーム | SSO 方式、metadata 交換、証明書、コールバック URL、ログアウト挙動を確認します。 |
| ユーザー識別子 | 顧客 IT | メール、ユーザー名、社員番号など、FactVerse ユーザーと対応付けられる安定した claim が必要です。 |
| テナントとロール | テナント管理者 | SSO は本人確認を行います。FactVerse ロールが操作範囲を決めます。 |
| テストユーザー | 顧客 IT と業務責任者 | 一般ユーザー、管理者、無効ユーザー、ロール未割当ユーザーを含めます。 |
設定チェック
| 範囲 | 確認内容 |
|---|
| ドメインとリダイレクト | FactVerse URL、コールバック URL、許可ドメイン、リダイレクト挙動が環境と一致する。 |
| 証明書または secret | 署名証明書、client secret、同等の資格情報が顧客ポリシーに従って保管、ローテーションされる。 |
| Claims | 必要な ID claim が存在し、安定している。 |
| テナント対応付け | 認証済みユーザーが正しいテナントとプロジェクト範囲に対応付けられる。 |
| ロール対応付け | FactVerse または承認済みプロビジョニング手順でロールが割り当てられる。 |
| エラー対応 | サポートチームが IdP エラー、FactVerse エラー、タイムスタンプ、テストユーザーを収集できる。 |
検証手順
- 対象の FactVerse 環境を開きます。
- FactVerse ログイン画面または顧客ポータルから SSO を開始します。
- 企業 ID プロバイダーで認証を完了します。
- リダイレクトループなしで FactVerse に戻ることを確認します。
- 表示された ID が想定ユーザーと一致することを確認します。
- 対象テナントへ入れることを確認します。
- 製品ナビゲーションと最初のタスクが割り当てロールに合っていることを確認します。
- アクセス権を持たないユーザーでもテストし、適切に拒否されることを確認します。
よくある問題
| 症状 | 最初に確認する項目 |
|---|
| IdP と FactVerse の間でリダイレクトが繰り返される | コールバック URL、Cookie ポリシー、ブラウザー制限、環境不一致。 |
| 認証後にテナントへ入れない | テナントメンバーまたはユーザー対応付け。 |
| テナントには入れるが製品が表示されない | ロール、製品パッケージ、プロジェクト範囲。 |
| 一部ユーザーだけ失敗する | ユーザー claim、グループ割当、条件付きアクセス、無効アカウント。 |
| API SSO 連携が失敗する | source identifier、token 有効期限、コールバックパラメーター、連携リファレンス。 |