シングル サインオン(SSO)は、アプリケーションおよびサービスへのアクセスを一元管理するために組織によって使用されます。Shotgun の SSO 統合は平凡な機能ではないことにご注意ください。この動作の重要な部分は、ID プロバイダ(IdP)レベルで必要になります。Shotgun 管理者は IdP 管理者と話し合って、必要な情報が適切な形式で確実に送信されるようにする必要があります。
SSO を使用するには、まず、オートデスクのストリート チームとのオンボーディング セッションを求めるサポート チケットを送信する必要があります。すべての要件が満たされていることを確認してください。
システム要件
Shotgun で SSO を使用するには、次の基準を満たす必要があります。
- Super Awesome サポートを利用していること。
- SAML 2.0 をサポートする IdP を使用していること。現在、次の IdP が SAML 2.0 をサポートしています。
- Active Directory Federated Services (AD FS)
- Ping Identity
- Okta
- OneLogin
- オートデスクがお客様のプロダクション サイトで SSO を有効にする前に、ステージング サイトでツールおよびワークフローをテストすること。ステージング サイトが配置されていない場合は、その設定方法について話し合うことができます。
- オートデスクのストリート チームの代表者との 60 分間のオンライン オンボーディング ミーティングに参加すること。このミーティングには、Shotgun と SSO の両方の管理者が出席する必要があります。このミーティングでは、Shotgun での SSO の設定および管理について具体的に確認します。設定を続行する前に、疑問点を確認する機会も得られます。
制約
SSO を有効にすると、さまざまな副作用が生じます。SSO がプロダクション パイプラインに与える影響を評価することが重要になります。
- SSO は「全部かゼロか」のオプションです。有効にした場合は、すべてのユーザが SSO を使用する必要があります。会社外のベンダーまたは共同作業者を利用している場合は、これらのユーザも SSO を使用する必要があります。IdP には、Shotgun にログオンする必要があるすべてのユーザがアクセスできなければなりません。ただし、Client Review Site の場合と同様に、プレイリストの共有は引き続き有効になります。
- iOS レビュー アプリはまだ SSO をサポートしていません。iOS レビュー アプリがワークフローに不可欠な場合は、SSO を使用してはいけません。
- RV を使用している場合は、バージョン 7.2.5 以降に更新する必要があります。Mac OSX の RV では、TLS v1.2 はまだサポートされていません。
- Shotgun Desktop を使用している場合は、バージョン 1.5.3 以降を再インストールする必要があります。
- Shotgun Toolkit を使用している場合は、tk-core バージョン 0.18.151 以降に更新する必要があります。
- Shotgun Python API または Shotgun REST API を使用している場合は、ユーザ名およびパスワードのみを使用して Shotgun に接続することができなくなります。スクリプトを修正する必要があります。オートデスクのサポート チームからサポートやアドバイスを受けることができます。
注: API キーとスクリプト名のペアは引き続き有効です。スクリプトまたはアプリケーションを変更する必要はありません。 - 社内ツールやサードパーティ アプリケーションを利用している場合は、これらが SSO をサポートすることを確認する必要があります。ツールの修正が必要になる可能性があります。この場合も、オートデスクからサポートやアドバイスを受けることができます。
ユーザ管理に関するいくつかの注意事項
SSO を使用すると、ユーザは資格情報を再入力しなくてもサービスに簡単にアクセスできるようになりますが、SSO の主なメリットはセキュリティが向上することです。ユーザおよび権限が一元管理されるため、Shotgun へのアクセスが禁止されるようになった従業員は確実にアクセスできなくなります。
Shotgun は既定で、IdP をユーザに関する情報の信頼できる参照先と見なします。ユーザが Shotgun に接続すると、Shotgun サイトが保持しているこのユーザの情報と、IdP が提供する情報が同期されます。ユーザはログオンしている間に、IdP に対して自動的に再認証されます。このユーザの Shotgun に対するアクセス権が削除されている場合は、再認証時に Shotgun から自動的にログアウトされます。この処理は約 4.5 分おきに行われます。
SSO が有効でも、Shotgun 管理者は引き続きユーザを管理する必要があります。プロジェクトへのアクセス権をユーザに提供したり、必要に応じて権限グループを管理したりすることが必要になります。既存のサイトを SSO に移行する場合は、移行をシームレスに行うために一部のユーザ情報を変更しなければならない可能性があります。
Shotgun で自動プロビジョニングを使用できますが、これが最適な方法ではない可能性があります。作成されたユーザが Shotgun プロジェクトに適したアクセス権を持っていないために、管理者にサポートを要求する可能性があります。以前と同様に Shotgun でユーザを作成し、これらのユーザに適切なプロジェクトを割り当てて、適切な権限グループを設定することができます。Shotgun サイト自体へのアクセスは、引き続き IdP レベルで管理されます。
プロビジョニング
自動プロビジョニングを使用している場合は、ユーザが Shotgun サイトに初めて接続した時点で、ユーザ アカウントの作成のみが行われます。
自動プロビジョニング解除はサポートされていません。従業員が退職するか、または別のプロジェクトに割り当てられている場合は、その従業員の Shotgun へのアクセス権を削除する必要があります。ただし、管理者が Shotgun ユーザのアカウントを明示的に無効にしない限り、そのユーザは存続し続けて、アクティブなままになります。
注: ユーザを非アクティブにしない限り、そのユーザの料金が請求されます。
詳細については、「シングル サインオンの設定」および「シングル サインオンのトラブルシューティング」を参照してください。
0 コメント