Skip to main content
Skip to article
  • Qualtrics Platform
    Qualtrics Platform
  • Customer Journey Optimizer
    Customer Journey Optimizer
  • XM Discover
    XM Discover
  • Qualtrics Social Connect
    Qualtrics Social Connect

SSO を使用したユーザとブランドの管理

Was this helpful?


This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The feedback you submit here is used only to help improve this page.

That’s great! Thank you for your feedback!

Thank you for your feedback!

SSO を使用したユーザブランドの管理について(&A)

シングルサインオン(SSO)では、ユーザーは組織の内部ログインシステムを使用して Qualtrics への認証を行うことができます。この3つの大きなメリットは、セキュリティの向上、ユーザーのシームレスなログインエクスペリエンス、ブランド管理者のユーザー管理のシンプル化です。

  1. セキュリティの改善:ユーザーは、まず SSO を使用して認証に成功しない限り、Qualtricsアカウントにアクセスできません。
  2. シームレスなログインエクスペリエンス:ユーザーは、クアルトリクスプラットフォームにアクセスするために複数のログイン認証情報を覚える必要がなくなります。代わりに、1つのポータルとログイン認証情報を使用して、主要な組織ポータル、Qualtrics、およびITチームがSSOに統合したその他のソフトウェアにアクセスできます。
  3. ユーザー管理のシンプル化:組織のITシステムに保存された情報をQualtricsユーザーの管理に使用できるため、SSOによって大規模なライセンスの管理が容易になります。たとえば Qualtricsでは、システムから渡されたユーザー属性を使用して、ユーザー名、名、姓、メールの値をユーザーアカウントに割り当てる際に使用できます。また、これを使用して、ユーザータイプ事業部、およびグループのマッピングによって、ユーザーアカウント権限を自動的に割り当てて更新することもできます。これらの機能により、アカウントが常に適切な権限を持ち、適切な管轄に属するようにすることができます。これにより、ブランド管理者が行う必要がある管理作業が削減されます。ブランド管理者は、ユーザーアカウントの情報と権限を手動で管理する必要があります。

ユーザーの自動登録

Qualtricsでは、ユーザーが認証に成功したときにユーザーアカウントを作成できますが、クアルトリクスブランドにはまだアカウントがありません。ユーザーがSSOを使用してQualtricsにログインすると、システムからユーザーに渡されたユーザー名の値が取得され、クアルトリクスブランドで検索されます。ユーザー名値を持つアカウントが存在しない場合、クアルトリクスシステムによってユーザーのアカウントが作成されます。このプロセスは通常、”ジャストインタイムユーザプロビジョニング” と呼ばれます。

ユーザーが自己登録によって作成されると、#brandID の形式でサフィックスがクアルトリクスのユーザー名の末尾に追加され、クアルトリクスシステム内のユーザー名の重複に関する問題が回避されます。接尾語はブランドごとに異なり、ユーザーがいるクアルトリクスインスタンスのブランドIDを使用して作成されます。たとえば、ブランドIDが「fakeenvironment」の場合、サフィックスは「#fakeenvironment」になります。

SSO対応ブランドでは、すべてのユーザー(SSOまたは非SSO)に#brandIDという接尾語を付けることをお勧めします。

例:John Doeがクアルトリクスブランドの「fakeenvironment」にSSO経由でログインしようとすると、次の処理が行われます。

  1. ユーザが SSO を使用して正常に認証されると、複数のユーザ属性が渡されます。渡されるユーザー名の値は「johndoe@email.com」です。
  2. 次に、クアルトリクスシステムは、fakeenvironmentブランドにユーザー名「johndoe@email.com#fakeenvironment」のアカウントがすでに存在するかどうかを確認します。
  3. fakeenvironment ブランド内に以下のいずれかのユーザー名(表示されている順序でチェック済み)のアカウントがある場合、ユーザーはそのアカウントにログインします。
    • “johndoe@email.com#fakeenvironment”
    • “johndoe@email.com”
  4. どちらのユーザー名値もステップ 3 にリストされていないアカウントがあり、ブランドに対して自己登録が有効になっている場合、Qualtrics システムでは、ユーザーのメールアドレスに渡された値が検索され、有効なメールドメインのリストでメールのドメインが考慮されていることが確認されます。ユーザーのメールアドレスに有効なドメインがある場合、クアルトリクスシステムはユーザー名「johndoe@email.com#fakeenvironment」でアカウントを作成します。

ユーザーの姓名の値を渡すと、Qualtricsシステムではこれらの値を使用して、ユーザーアカウントに関連付けられた名と姓が入力されます。それ以外の場合は、ユーザー名の値を使用して名と姓のフィールドが入力されます。

ヒント:ユーザーがSSOを使用して自己登録した際にメール通知を受信する場合は、クアルトリクスサポートにお問い合わせください。ライセンスでSSOセルフサービスを使用している場合、自己登録メール通知に関してQualtricsサポートに連絡する必要はありません。
注意:ブランドの Just-in-Time-User Provisioning が無効になっている場合、ブランド管理者が Qualtrics でユーザーアカウントを手動で作成する必要があります。ユーザーがアカウントを所有せずにクアルトリクスブランドにログインしようとすると、プラットフォームへのアクセスが拒否されます。

ログインポータルのカスタマイズ

Qualtricsでは、ユーザーが LDAP SSOを使用してログインするときにログインページの説明を表示できます。ブランド管理者は、[管理]ページの[組織の設定]タブに表示されるテキストを編集できます。

注意: ブランドに対して CASSAML、または Google OAuth 2.0 が有効になっている場合、この機能によって SSO ログインポータルに表示されるメッセージは変更されません。これらのタイプの SSO の SSO ログインポータルを変更するには、IT チームと連携する必要があります。

ユーザ権限の割当

USER TYPE、DIVISION、&amp、GROUP MAPPING

ユーザーがSSOを使用してQualtricsにログインすると、ユーザー属性を介して組織のシステムからユーザーに関する追加情報を渡すことができます。Qualtricsには、この情報を使用してユーザーのユーザータイプ事業部グループの割当と更新を行う機能があります。これは通常、マッピングと呼ばれます。SSO実装を購入している場合、このユーザータイプ、事業部、グループのマッピングはQualtrics SSOチームによって実装され、ユーザーおよびITチームと緊密に連携して目的の属性が含まれるようにします。SSO を独自に設定している場合は、接続の設定時にこれらの属性のマッピングを設定することができます

注意:CAS または Google OAuth 2.0 は、追加属性を Qualtrics システムに渡すことができないため、これらの機能と互換性がありません。
ヒント:ブランドでジャストインタイムユーザープロビジョニングが有効になっている場合、アカウントの作成時にはユーザータイプと部署のマッピングが適用されます。

SSOの設定
に応じて、ユーザー属性はログインごとに更新されます。つまり、ブランド管理者が行ったユーザーのユーザータイプまたは部署に対する変更は、次回のログインで上書きされます。これは、以下のいずれかによって回避することができます。

  1. 組織の IT チームが、[ユーザーの種類]または[部門]属性内で、ユーザーに渡される値を更新します。
  2. ブランド管理者は、ユーザーの種類や部署を変更するのではなく、ユーザーレベルでユーザーの権限を管理します
  3. [すべてのログイン SSO でユーザ属性を更新する] 設定を無効にします。

ユーザータイプと部署のマッピングとは異なり、グループをマッピングしても、ユーザーが同時に複数のグループに含まれる可能性があるため、ブランド管理者が行った変更をユーザーのグループに上書きすることはありません。

クアルトリクスは、ユーザータイプ、事業部、グループのマッピングごとに1つの属性のみを参照できます。どのユーザタイプまたは部署ユーザを割り当てるかを示す値は、すべてのユーザの同じ各属性内で渡す必要があります。ただし、QualtricsはRegExを使用できるグループマッピング条件を50個まで設定できるため、いくつかの柔軟性があります。

例:「department」属性に基づくユーザーの種類のマッピング条件の例を以下に示します。

  1. 部門が HR と等しい場合ユーザタイプは標準ユーザタイプです
  2. 部門が HR または会計管理と等しい場合ユーザタイプは標準ユーザタイプです
  3. 部門に HR が含まれている場合ユーザタイプは標準ユーザタイプです
  4. 部門が HR でない場合ユーザタイプは制限付きユーザタイプです
  5. 部門が HR または会計管理ではない場合ユーザタイプは制限付きユーザタイプです
注意:ログイン時に自動的にユーザーを割り当てるようにマッピングを設定する前に、ブランド管理者がカスタムユーザータイプ、部署、グループを作成する必要があります。
ヒント:ブランド管理者のアカウントにはユーザータイプのマッピングが適用されません。ブランド管理者のアカウントを変更できるのは、他のブランド管理者のみです。
ヒント:期待される値(…*student.*) を選択します。これにより、複数値属性内で渡された場合、値の消費に関する問題が回避されます。

Qualtricsでは、ユーザータイプと部署のマッピング条件に基づいて、ユーザータイプと部署のマッピングが順番に適用されます。つまり、特定のユーザータイプまたは部署にユーザーを割り当てるときに考慮されるように複数の条件を設定した場合、Qualtricsは最上位の条件から開始して下方向に作業することになります。

例: ユーザタイプマッピングを設定して、心理学部門のすべてのユーザを標準ユーザタイプに割り当て、ビジネス部門のすべてのユーザを限定ユーザタイプに割り当てるとします。新しいユーザーがSSOを使用してQualtricsにログインし、両方の領域でコースを教えているなどの理由で、所属部門の「心理学」と「ビジネス」の両方を渡した場合、まずマッピングで概説したユーザータイプにユーザータイプが割り当てられます。以下の設定を行うと、ユーザに標準ユーザタイプが自動的に割り当てられます。

  1. 部門が心理学と等しい場合ユーザタイプは標準ユーザタイプです。
  2. 部門がビジネスと等しい場合ユーザタイプは制限付きユーザタイプです。

Qualtrics では、SAML 応答のユーザ属性値に基づいて、グループのマッピングが順番に適用されます。つまり、特定のグループにユーザーを割り当てるときに考慮されるように複数の条件を設定すると、最上位の条件から開始され、下方に処理されます。

例: 心理学部門のすべてのユーザを心理学グループに割り当て、ビジネス部門のすべてのユーザをビジネスグループに割り当てるためのグループマッピングが設定されているとします。新しいユーザーがSSOを使用してQualtricsにログインして、自分の部門の「心理学」と「ビジネス」の両方に合格した場合(両方の領域でコースを教えているためなど)、SAML 応答で概説したグループが最初に割り当てられます。SAML 応答が以下に渡された場合、ユーザは自動的に心理グループに割り当てられます。

<AttributeStatement>

<Attribute Name="department">

<AttributeValue>Psychology</AttributeValue>

</Attribute>

<

<AttributeValue>AttributeBusiness</AttributeValue>

</Attribute>

</AttributeStatement>

ユーザーがユーザータイプのマッピング条件に示されていない値を渡
すと、ブランド管理者によってブランド用に設定されたブランドの自己登録(デフォルト)ユーザータイプに自動的に割り当てられます。

ヒント:ユーザーが[ユーザータイプ]マッピング条件に概説されている値を渡さない場合にQualtricsにログインできないようにする場合、Qualtricsは[ユーザータイプを検証]を使用して実行できます。

ユーザーが[部署]または[グループ]のマッピング条件に概要が示されていない値を渡した場合、ユーザーは部署またはグループに割り当てられません。ブランド管理者は、ユーザーを部署に追加するか、グループに追加する必要があります

ヒント:ブランド管理者は、新しいグループの作成時または更新時に、ブランドまたは特定の部署のすべてのユーザーがグループを利用できるようにできます。

CXダッシュボード自動ロール登録

ユーザーがSSOを使用してQualtricsにログインすると、システムからアカウントに関する追加情報を送信できます。Qualtricsには、この情報を使用して、アカウントのCXダッシュボードの役割を自動役割登録で割り当て、更新する機能があります。

注意:CAS 2.0 と Google OAuth 2.0 は、追加属性を Qualtrics システムに渡すことができないため、この機能と互換性がありません。

Cxダッシュボードのメタデータとしてのユーザー情報の保存

ユーザーはSSOを使用してクアルトリクスにログインすると、クアルトリクスアカウントに関する追加情報をシステムから送信できます。クアルトリクスには、この情報をCXダッシュボードに渡し、更新してメタデータとして保存する機能があります。 ITチームとクアルトリクスSSOチームの間で調整を行い、クアルトリクスに引き継ぐ属性を決定してください。

注意:CAS 2.0 と Google OAuth 2.0 は、追加属性を Qualtrics システムに渡すことができないため、この機能と互換性がありません。
Qtip:SSO属性に由来するメタデータはUpdate User Attributes on Every Loginが有効かどうかにかかわらず、ユーザーがSSO経由でプラットフォームにログインするたびに更新されます。

ユーザアクセスの制限

有効な電子メールドメイン

ジャストインタイムユーザープロビジョニングが有効であるか、Google OAuth 2.0 SSO
が使用されている場合、Qualtricsは、ユーザーを認証する際にクアルトリクスブランドにリストされている有効なメールドメインを参照します。ユーザーがSSOによる認証に成功し、Qualtricsがユーザーの新しいアカウントを作成する前に、ユーザーのメールアドレスを参照して、ブランドの有効なメールドメインのリストでメールのドメインが考慮されていることを確認します。ユーザーのメールアドレスに有効なドメインがある場合、Qualtricsシステムによってブランド内のユーザーのアカウントが作成されます。ユーザーのメールに有効なドメインがない場合、Qualtricsシステムはプラットフォームへのユーザーアクセスを拒否します。

クアルトリクスサポートの担当者にブランドの有効なメールドメインリストの設定を依頼する場合、ワイルドカード(*)を使用するか、特定のメールドメインを指定できます。このワイルドカードを使用すると、SSOを使用して認証に成功した人は誰でもクアルトリクスブランド内にアカウントを作成できますが、特定のメールドメインを指定することで、クアルトリクスブランド内にアカウントを作成できるユーザーが制限されます。Qualtricsブランド内にアカウントを作成するには、ユーザーはSSOによる認証に成功し、有効なメールドメインを渡す必要があります。

注意:ワイルドカードを有効にした場合でも、ユーザーはログインするために SSO メール属性にメールアドレスの形式( value@example.com など)で値を渡す必要があります。適切な形式ではない値が渡されると、ユーザはアクセスを拒否されます。
注意: 特定の電子メールドメインを指定する場合は、セキュリティ上の理由から、組織が所有するドメインのみを使用できます。
ヒント:Google OAuth 2.0の設定では、このSSOタイプでワイルドカードオプションを使用できないため、特定のメールドメインを提供する必要があります。ユーザの電子メールアドレスは、ログイン試行ごとに提供された電子メールドメインに対して認証されます。

特定のメールドメインを持つユーザーが数人いて、クアルトリクスにアクセスする必要があるものの、このドメインを持つすべてのユーザーが自己登録できるようにしたく
ない場合は、ブランド管理者が代わりにこれらのユーザーのアカウントを手動で作成できます。

ブランドの有効なメールドメインのリストに対する検証は、ログインのたびではなく、アカウントの作成時にのみ行われます。

ユーザタイプをチェック

Qualtrics には、User Type マッピング属性に渡された値を検証する機能があります。この場合、ユーザーがSSO経由でクアルトリクスにログインしようとするたびにシステムが属性に渡された値を評価して、1つ以上の値がユーザータイプのマッピング条件に含まれているかを確認します。

例:次のユーザータイプマッピング条件が設定されているとします。

  1. 部門が心理学と等しい場合ユーザタイプは心理学です。
  2. 部門がビジネスと等しい場合ユーザタイプはビジネスです。

ユーザーがSSOを使用してQualtricsにログインしようとしても、部門に「Psychology」も「Business」も渡さない場合、Qualtricsはユーザーアクセスを拒否します。

注意:CAS 2.0 と Google OAuth 2.0 は、追加属性を Qualtrics システムに渡すことができないため、この機能と互換性がありません。

FAQ

当サポートサイトの日本語のコンテンツは英語原文より機械翻訳されており、補助的な参照を目的としています。機械翻訳の精度は十分な注意を払っていますが、もし、英語・日本語翻訳が異なる場合は英語版が正となります。英語原文と機械翻訳の間に矛盾があっても、法的拘束力はありません。