Skip to main content
Skip to article
  • Qualtrics Platform
    Qualtrics Platform
  • Customer Journey Optimizer
    Customer Journey Optimizer
  • XM Discover
    XM Discover
  • Qualtrics Social Connect
    Qualtrics Social Connect

記事テンプレート

Was this helpful?


This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The feedback you submit here is used only to help improve this page.

That’s great! Thank you for your feedback!

Thank you for your feedback!

SSOによるユーザーとブランドのマネージャーについて

シングルサインオン(SSO)により、ユーザーは組織内のログインシステムを使用してクアルトリクスを認証することができます。この3つの大きなメリットは、セキュリティの向上、ユーザーのシームレスなログイン体験、ブランド管理者のユーザー管理の簡素化です。

  1. セキュリティの向上:SSOによる認証に成功しない限り、ユーザーはクアルトリクスアカウントにアクセスできません。
  2. シームレスなログインエクスペリエンス:ユーザーは、クアルトリクス・プラットフォームにログインするために、複数のログイン認証情報を覚える必要がなくなります。代わりに、1つのポータルとログイン認証情報を使用して、組織のメインポータル、クアルトリクス、およびITチームがSSOに統合したその他のソフトウェアにアクセスすることができます。
  3. ユーザー管理の簡素化:SSOにより、組織のITシステムに保存されている情報を使用してクアルトリクスユーザーを管理できるため、大規模ライセンスの管理が容易になります。例えば、クアルトリクスは、ユーザーアカウントにユーザー名、姓、名、電子メールの値を割り当てるために、システムから渡されるユーザー属性を使用することができます。また、ユーザータイプ部署グループのマッピングにより、ユーザーアカウント権限を自動的に割り当て、更新することもできます。これらの機能は、アカウントが常に正しい権限を持ち、正しい管轄下にあることを保証するのに役立ちます。これにより、ブランド管理者がユーザーアカウント情報と権限を手動で管理する必要があった管理作業が軽減されます。

ユーザーの自動登録

クアルトリクスには、ユーザーが認証機能に成功したものの、まだクアルトリクスブランドにアカウントを持っていない場合に、ユーザーアカウントを作成する機能があります。ユーザーがSSO経由でクアルトリクスにログインすると、システムはユーザーのシステムから渡されたユーザー名の値を受け取り、クアルトリクスブランドで検索します。ユーザー名の値を持つアカウントが存在しない場合、クアルトリクスシステムはそのユーザーのアカウントを作成します。このプロセスは一般的に “ジャストインタイム・ユーザープロビジョニング “と呼ばれている。

自己登録でユーザーを作成する場合、クアルトリクスシステム内でユーザー名が複製される問題を防ぐため、クアルトリクスユーザー名の末尾に#brandIDというサフィックスが追加されます。サフィックスはブランドごとに異なり、ユーザーがいるクアルトリクスインスタンスのブランドIDを使用して形成されます。例えば、ブランドIDが “fakeenvironment “の場合、サフィックスは “#fakeenvironment “となります。

SSOが有効なブランドは、SSOまたは非SSOを問わず、すべてのユーザーが#brandIDサフィックスを持つようにすることをお勧めします。

John Doeがクアルトリクスブランド「fakeenvironment」にSSOでログインしようとすると、次のようになります:

  1. ユーザーがSSO経由で認証機能に成功すると、システムはいくつかのユーザー属性を引き継ぎます。渡されるユーザー名は “johndoe@email.com “である。
  2. するとクアルトリクスは、fakeenvironmentブランドにユーザー名「johndoe@email.com#fakeenvironment」のアカウントがすでに存在するかどうかをチェックします。
  3. fakeenvironmentブランド内に以下のユーザー名(リスト順にチェック)を持つアカウントがある場合、ユーザーはそのアカウントにログインします:
    • “johndoe@email.com#fakeenvironment”
    • “johndoe@email.com”
  4. ステップ3でリストアップされたユーザー名のどちらかの値を持つアカウントが存在せず、ブランドに対して自己登録が有効になっている場合、クアルトリクスシステムは、ユーザーのEメールに渡された値を参照し、そのEメールのドメインが検証リストで説明されていることを確認します。ユーザーのメールに検証可能なドメインが含まれている場合、クアルトリクスシステムはユーザー名 “johndoe@email.com#fakeenvironment” でアカウントを作成します。

ユーザーの姓と名の値を渡すと、クアルトリクスシステムはそれらの値を使用して、ユーザーアカウントに関連付けられた姓と名を入力します。そうでない場合は、ユーザー名の値が姓と名のフィールドに入力されます。

qtip:ユーザーがSSOで自己登録した際にメールで通知を受け取りたい場合は、クアルトリクスサポートまでご連絡ください。なお、SSOセルフサービスをご利用のライセンスの場合は、自己登録メール通知に関してクアルトリクスサポートに連絡する必要はありません。
注意Just-in-Time-User-Provisioning がブランドで無効になっている場合、ユーザーアカウントはブランド管理者がクアルトリクスで手動で作成する必要があります。アカウントを持っていないユーザーがクアルトリクスブランドにログインしようとすると、プラットフォームへのアクセスが拒否されます。

ログインポータルのカスタマイズ

クアルトリクスには、ユーザーがLDAP SSO経由でログインする際に、ログインページの説明を表示する機能があります。ブランド管理者は、管理者ページの組織設定タブに表示されるテキストを編集することができます。

注意 ブランドに対してCASSAML、またはGoogle OAuth 2.0が有効になっている場合、この機能はSSOログインポータルに表示されるメッセージを変更しません。これらのタイプのSSOのためにSSOログインポータルを変更するには、ITチームと協力する必要があります。

ユーザー権限の割り当て

ユーザータイプ、部署、グループマッピング

ユーザーがSSO経由でクアルトリクスにログインする際、ユーザー属性を通じてユーザーに関する追加情報を組織システムから渡すことができます。クアルトリクスは、この情報を使用して、ユーザーのユーザータイプ部署グループを割り当て、更新することができます。これは一般的にマッピングと呼ばれている。SSOの実装を購入された場合、このユーザータイプ、部署、グループのマッピングは、クアルトリクスのSSOチームがお客様やお客様のITチームと密接に連携しながら、希望の属性が含まれるように実装します。SSOを独自に設定する場合は、接続を設定する際にこれらの属性のマッピングを設定できます。

ご注意ください:CASまたはGoogle OAuth 2.0は、追加属性をクアルトリクスシステムに渡すことができないため、これらの機能とは互換性がありません。
Qtip:ブランドでJust-in-Time User Provisioningが有効になっている場合、アカウント作成時にUser Typeと部署のマッピングが適用されます。

SSO設定によっては、ユーザー属性がログインごとに更新される場合があります。つまり、ブランド管理者が行ったユーザーのユーザータイプまたは部署への変更は、ユーザーの次回のログインで上書きされます。これは以下のいずれかの方法で防ぐことができる:

  1. 組織のITチームは、User Typeまたは部署属性内のユーザーに渡される値を更新する。
  2. ブランド管理者は、ユーザータイプや部署を変更するのではなく、ユーザーレベルでユーザーの権限を管理します。
  3. ログインごとにユーザー属性を更新する SSO設定を無効にする。

ユーザーは一度に複数のグループに属することができるため、ユーザータイプや部署をマッピングするのとは異なり、グループをマッピングしても、ブランド管理者がユーザーのグループに加えた変更が上書きされることはありません。

クアルトリクスが参照できる属性は、ユーザー属性、部署属性、グループマッピングのそれぞれ1属性のみです。どのユーザータイプまたは部署にユーザーを割り当てるべきかを示す値は、すべてのユーザーに対して同じ属性内で渡されなければなりません。クアルトリクスでは、最大50のグループマッピング条件を設定でき、それぞれがRegExを使用できるため、柔軟性があります。

以下は、”department “属性に基づくユーザー・タイプのマッピング条件の例です:

  1. 部門がHRの場合ユーザー・タイプは標準ユーザー・タイプとなります。
  2. 部門がHRまたはアカウントに等しい場合ユーザータイプは標準ユーザータイプになります。
  3. 部門にHRが含まれる場合ユーザー・タイプは標準ユーザー・タイプとなります。
  4. 部署がHRでない場合User TypeはLimited User Typeとなります。
  5. 部署がHRでもアカウントでもない場合User TypeはLimited User Typeとなります。
注意 ログイン時に自動的にユーザーを割り当てるマッピングを設定する前に、ブランド管理者がカスタムユーザータイプ、部署管理者、およびグループを作成する必要があります。
Qtip:ブランド管理者アカウントは、User Typeマッピングの影響を受けません。ブランド管理者アカウントは、他のブランド管理者のみが変更できます。
Qtip:値が1つしかリストされていない場合は、期待値の前後に.*を付けるのがベストプラクティスです(例:.*student.*)。こうすることで、複数値の属性内で値が渡された場合に、その値を消費する際の問題を防ぐことができる。

クアルトリクスは、クアルトリクス内のユーザータイプと部署のマッピング条件に基づき、ユーザータイプと部署のマッピングを順番に適用します。つまり、ユーザーを特定のユーザータイプや部署に割り当てる際に、システムが考慮する条件を複数設定した場合、クアルトリクスは一番上の条件から順に下に向かって設定します。

心理学部門のすべてのユーザーを標準ユーザー・タイプに、ビジネス部門のすべてのユーザーを限定ユーザー・タイプに割り当てるために、ユーザー・タイプのマッピングが設定されているとします。もし新規ユーザーがSSO経由でクアルトリクスにログインし、所属する学部が「心理学」と「ビジネス」の両方であった場合、おそらく彼は両方の分野で講義を担当しているため、システムはマッピングでアウトライン化されたユーザータイプに彼を割り当てます。フォローアップの結果、ユーザーには自動的に「標準ユーザー・タイプ」が割り当てられます:

  1. 部門が心理学に等しい場合ユーザー・タイプは標準ユーザー・タイプになります。
  2. 部門がBusinessの場合、ユーザータイプはLimited User Typeとなります

クアルトリクスは、SAML回答内のユーザー属性値に基づいて、グループマッピングを順番に適用します。つまり、あるグループにユーザーを割り当てる際に、システムが考慮する条件を複数設定した場合、システムは一番上の条件から始めて、下に降りていきます。

心理学部門のすべてのユーザーを心理学グループに、ビジネス部門のすべてのユーザーをビジネスグループに割り当てるために、グループマッピングが設定されているとします。新規ユーザーがSSO経由でクアルトリクスにログインし、おそらく両方の分野のコースを教えているため、所属部署に「心理学」と「ビジネス」の両方を回答した場合、システムはSAML回答に概要が記載されている方のグループに最初に割り当てます。SAML 回答が以下を通過した場合、ユーザは自動的に Psychology Group に割り当てられる:

<AttributeStatement>

<属性名="department">

<AttributeValue>;心理学<</AttributeValue>

</Attribute>

;

<AttributeValue>属性</AttributeValue>

</Attribute>

</AttributeStatement>
ビジネス

ユーザーがユーザータイプのマッピング条件にない値を渡した場合、ブランド管理者がそのブランドに設定したSelf-Enrollment(デフォルト)ユーザータイプに自動的に割り当てられます。

QTip:ユーザータイプのマッピング条件で設定された値を満たさないユーザーがクアルトリクスにログインできないようにしたい場合、クアルトリクスではユーザータイプの検証を行うことができます。

もしユーザーが部署やグループのマッピング条件にない値を渡した場合、そのユーザーは部署やグループにアサインされません。ユーザーは部署に追加するか、ブランド管理者がグループに追加する必要があります。

Qtip:ブランド管理者は、新しいグループを作成したり、グループを更新したりする際に、ブランド内のすべてのユーザーまたは特定の部署でグループを利用できるようにすることができます。

CXダッシュボード 自動ロール登録

ユーザーがSSOでクアルトリクスにログインすると、お客様のシステムからアカウントに関する追加情報を送信することができます。クアルトリクスは、この情報を使用して、自動ロール登録によってアカウントのCXダッシュボードのロールを割り当て、更新することができます。

注意 CAS 2.0とGoogle OAuth 2.0は、追加属性をクアルトリクス・システムに渡すことができないため、この機能と互換性がありません。

Cxダッシュボードのメタデータとしてのユーザー情報の保存

ユーザーがSSOでクアルトリクスにログインすると、クアルトリクスのアカウントに関する追加情報をお客様のシステムから送信することができます。クアルトリクスには、この情報をCXダッシュボードに渡して更新し、メタデータとして保存する機能があります。クアルトリクスに引き継ぎたい属性については、ITチームとクアルトリクスSSOチームの間で必ず調整してください。

注意 CAS 2.0とGoogle OAuth 2.0は、追加属性をクアルトリクスシステムに渡すことができないため、この機能とは互換性がありません。
Qtip:SSO属性に由来するメタデータはUpdate User Attributes on Every Loginが有効かどうかにかかわらず、ユーザーがSSO経由でプラットフォームにログインするたびに更新されます。

ユーザーアクセスの制限

検証メールドメイン

Just-in-Time User Provisioningが有効になっている場合、またはGoogle OAuth 2.0 SSOが使用されている場合、クアルトリクスはユーザー認証時にクアルトリクスブランドにリストされているValid Email Domainsを参照します。ユーザーがSSO認証に成功した後、クアルトリクスがそのユーザーの新しいアカウントを作成する前に、ユーザーのメールアドレスを調べて、そのメールのドメインがブランドの「検証可能なメールドメイン」のリストに含まれているかどうかを確認します。ユーザーのEメールが検証可能なドメインである場合、クアルトリクスシステムはあなたのブランドでユーザーのアカウントを作成します。ユーザーのEメールに有効なドメインがない場合、クアルトリクスシステムはユーザーのプラットフォームへのアクセスを拒否します。

クアルトリクスサポート担当者に、お客様のブランドの検証リスト(Valid Email Domains)を設定するよう依頼する場合、ワイルドカード(*)を使用するか、特定のEメールドメインを指定することができます。ワイルドカードを使用することで、SSOで自分らしくいられること認証に成功した人は誰でもクアルトリクスブランド内でアカウントを作成することができますが、特定のメールドメインを指定することで、クアルトリクスブランド内でアカウントを作成できる人を制限することができます。クアルトリクスブランド内でアカウントを作成するには、SSOによる認証に成功し、かつValid Email Domainをパスする必要があります。

注意ワイルドカードを有効にしても、ログインするためには、ユーザー属性にEメールアドレスの形式(例:value@example.com)の値を渡す必要があります。正しい形式でない値が渡された場合、ユーザーはアクセシビリティを拒否される。
注意特定のメールドメインを指定した場合、セキュリティ上の理由から、組織所有のドメインしか使用できません。
Qtip: Google OAuth 2.0の設定は、ワイルドカードオプションを使用することができないため、特定のEメールドメインを提供する必要があります。ユーザーの電子メールアドレスは、ログイン試行ごとに提供された電子メールドメインに対して認証されます。

クアルトリクスにアクセビリティを持つべき特定のEメールドメインを持つ少数のユーザーがいて、このドメインを持つすべてのユーザーが自己登録できるようにしたくない場合、ブランド管理者がこれらのユーザーのアカウントを手動で作成することができます。

有効なメールドメインのブランドリストに対する検証は、アカウント作成時にのみ行われ、ログインごとに行われるわけではありません。

ユーザータイプの検証

クアルトリクスには、ユーザータイプのマッピング属性に渡された値を検証する機能があります。この場合、ユーザーがSSO経由でクアルトリクスにログインしようとするたびにシステムが属性に渡された値を評価して、1つ以上の値がユーザータイプのマッピング条件に含まれているかを確認します。

以下のようなユーザータイプのマッピング条件がセットされているとする:

  1. 部門が心理学の場合ユーザータイプは心理学です。
  2. departmentがBusinessの場合User TypeはBusinessになります。

SSO経由でクアルトリクスにログインしようとしたユーザーが、所属部署に「心理学」も「ビジネス」もパスしなかった場合、クアルトリクスはそのユーザーのアクセスを拒否します。

注意 CAS 2.0とGoogle OAuth 2.0は、追加属性をクアルトリクスシステムに渡すことができないため、この機能とは互換性がありません。

FAQ

当サポートサイトの日本語のコンテンツは英語原文より機械翻訳されており、補助的な参照を目的としています。機械翻訳の精度は十分な注意を払っていますが、もし、英語・日本語翻訳が異なる場合は英語版が正となります。英語原文と機械翻訳の間に矛盾があっても、法的拘束力はありません。