サービスプロバイダー (SP) 主導のログイン
この記事では、BrazeアカウントでSAMLシングルサインオンを有効にする方法と、SAMLトレースを取得する方法について説明します。
要件
セットアップ時に、サインオンURLとAssertion Consumer Service (ACS) URLの入力を求められます。
| 要件 | 詳細 |
|---|---|
| Assertion Consumer Service (ACS) URL | https://<SUBDOMAIN>.braze.com/auth/saml/callback 欧州連合ドメインの場合、ACS URLは https://<SUBDOMAIN>.braze.eu/auth/saml/callback です。一部のIdPでは、Reply URL、Sign-On URL、Audience URL、またはAudience URIと呼ばれることもあります。 |
| Entity ID | braze_dashboard |
| RelayState APIキー | 設定 > APIキーに移動し、sso.saml.login 権限を持つAPIキーを作成してから、生成されたAPIキーをIdP内の RelayState パラメーターとして入力します。詳細な手順については、RelayStateのセットアップを参照してください。 |
SAML SSOのセットアップ
ステップ1:IDプロバイダーを設定する
以下の情報を使用して、IDプロバイダー (IdP) でBrazeをサービスプロバイダー (SP) として設定します。さらに、SAML属性マッピングを設定します。
IDプロバイダーとしてOktaを使用する予定の場合は、Oktaサイトにある事前構築済みの統合を使用してください。
| SAML属性 | 必須? | 受け入れ可能なSAML属性 |
|---|---|---|
email |
必須 | email mail http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email |
first_name |
オプション | first_name firstname firstNamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/first_name |
last_name |
オプション | last_name lastname lastName http://schemas.xmlsoap.org/ws/2005/05/identity/claims/last_name |
BrazeはSAMLアサーションで email のみを必要とします。
ステップ2:Brazeを設定する
IDプロバイダーでBrazeの設定が完了すると、IDプロバイダーからターゲットURLと x.509 証明書が提供されます。これらをBrazeアカウントに入力します。
アカウントマネージャーがアカウントのSAML SSOを有効にした後、設定 > 管理者設定 > セキュリティ設定に移動し、SAML SSOセクションをオンに切り替えます。
同じページで以下を入力します:
| 要件 | 詳細 |
|---|---|
| SAML名 | ログイン画面のボタンテキストとして表示されます。 通常、「Okta」のようなIDプロバイダーの名前です。 |
| ターゲットURL | IdP内でBrazeを設定した後に提供されます。 一部のIdPでは、SSO URLまたはSAML 2.0エンドポイントと呼ばれます。 |
| 証明書 | IDプロバイダーから提供される x.509 証明書です。 |
ダッシュボードに追加する際、x.509 証明書が以下の形式に従っていることを確認してください:
1
2
3
-----BEGIN CERTIFICATE-----
<certificate>
-----END CERTIFICATE-----
ステップ3:Brazeにサインインする
セキュリティ設定を保存してログアウトします。その後、IDプロバイダーを使用して再度サインインします。
RelayStateのセットアップ
- Brazeで、設定 > APIキーに移動します。
- APIキータブで、APIキーを作成ボタンを選択します。
- APIキー名フィールドにキーの名前を入力します。
- 権限の下にあるSSOドロップダウンを展開し、sso.saml.loginにチェックを入れます。
- APIキーを作成を選択します。
- APIキータブで、作成したAPIキーの横にある識別子をコピーします。
- RelayState APIキーをIdPのRelayStateに貼り付けます(IdPによっては「Relay State」または「Default Relay State」と表示される場合があります)。
SSOの動作
SSOの使用を選択したメンバーは、以前のようにパスワードを使用してログインできなくなります。パスワードを引き続き使用するユーザーは、以下の設定で制限されない限り、パスワードでログインできます。
制限
組織のメンバーがGoogle SSOまたはSAML SSOのみでサインインするように制限できます。制限を有効にするには、セキュリティ設定に移動し、Enforce Google SSO only loginまたはEnforce custom SAML SSO only loginを選択します。
制限を有効にすると、以前パスワードでログインしていた場合でも、会社のBrazeユーザーはパスワードを使用してログインできなくなります。
SAMLトレースの取得
SSOに関連するログインの問題が発生した場合、SAMLトレースを取得することで、SAMLリクエストで送信される内容を特定し、SSO接続のトラブルシューティングに役立てることができます。
前提条件
SAMLトレースを実行するには、SAMLトレーサーが必要です。ブラウザに応じて、以下の2つのオプションがあります:
ステップ1:SAMLトレーサーを開く
ブラウザのナビゲーションバーからSAMLトレーサーを選択します。Pauseが選択されていないことを確認してください。選択されていると、SAMLトレーサーがSAMLリクエストで送信される内容をキャプチャできなくなります。SAMLトレーサーを開くと、トレースが表示されます。
ステップ2:SSOを使用してBrazeにサインインする
Brazeダッシュボードに移動し、SSOを使用してサインインを試みます。エラーが発生した場合は、SAMLトレーサーを開いて再試行してください。https://dashboard-XX.braze.com/auth/saml/callback のようなURLとオレンジ色のSAMLタグを含む行がある場合、SAMLトレースが正常に収集されています。
ステップ3:エクスポートしてBrazeに送信する
Exportを選択します。Select cookie-filter profileでNoneを選択します。次に、Exportを選択します。これによりJSONファイルが生成され、Brazeサポートに送信してさらなるトラブルシューティングを行うことができます。
トラブルシューティング
ユーザーのメールアドレスは正しく設定されていますか?
ERROR_CODE_SSO_INVALID_EMAIL エラーが表示される場合、ユーザーのメールアドレスが無効です。SAMLトレースで saml2:Attribute Name="email" フィールドが、ユーザーがログインに使用しているメールアドレスと一致していることを確認してください。Microsoft Entra ID(旧Azure Active Directory)を使用している場合、属性マッピングは email = user.userprincipalname です。
メールアドレスは大文字と小文字が区別され、IDプロバイダー(Okta、OneLogin、Microsoft Entra IDなど)で設定されたものを含め、Brazeで設定されたものと完全に一致する必要があります。
ユーザーのメールアドレスに問題があることを示すその他のエラー:
ERROR_CODE_SSO_EMAIL_DOES_NOT_EXIST: ユーザーのメールアドレスがダッシュボード内に存在しません。ERROR_CODE_SSO_SESSION_SIGN_IN_EMAIL_MISSING: ユーザーのメールアドレスが空白であるか、正しく設定されていません。ERROR_CODE_SSO_SESSION_SIGN_IN_EMAIL_MISMATCHまたはERROR_CODE_SSO_SIGN_IN_EMAIL_MISMATCH: ユーザーのメールアドレスがSSOのセットアップに使用されたものと一致しません。
有効なSAML証明書(x.509証明書)がありますか?
このSAML検証ツールを使用してSAML証明書を検証できます。期限切れのSAML証明書も無効なSAML証明書であることに注意してください。
正しいSAML証明書(x.509証明書)をアップロードしましたか?
SAMLトレースの ds:X509Certificate セクションにある証明書が、Brazeにアップロードしたものと一致していることを確認してください。これには -----BEGIN CERTIFICATE----- ヘッダーと -----END CERTIFICATE----- フッターは含まれません。
SAML証明書(x.509証明書)を誤入力またはフォーマットミスしていませんか?
Brazeダッシュボードに送信した証明書に空白や余分な文字がないことを確認してください。
Brazeに証明書を入力する際は、Privacy Enhanced Mail (PEM) エンコードされ、正しくフォーマットされている必要があります(-----BEGIN CERTIFICATE----- ヘッダーと -----END CERTIFICATE----- フッターを含む)。
以下は正しくフォーマットされた証明書の例です:
1
2
3
-----BEGIN CERTIFICATE-----
THIS_IS_A_MOCKED_CERTIFICATE_4ysJLTzETANBgkqhkiG9w0BAQsFADA0MTIwMAYDVQQDEylNaWNyb3NvZnQgQXp1cmUgRmVkZXJhdGVkIFNTTyBDZXJ0aWZpY2F0ZTAeFw0yMjA1MjcwOTA4MzFaFw0yNTAbMjcwOTA4MzFaMDQxMjAwBgNVBAMTKU1pY3Jvca9mdCBBenVyZSBGZWRlcmF0ZWQgU1NPIENlcnAFWAOKGPAWIGKJPOAMWANBgkqhkiG9w0BAQEFAAaCAQ8AMIIBCgKCAQEA1+KFJwxoac6jdFztQd+vQu59qM8rgfX5RICk0ODfpXkuDUNudcI0XmOAkKHRoMNPYlmMEf5NSiZ7TMElEPtK9zZlpAoSchxxC0Ndegc1AMFi7i2BsEIqPwrer0G6kx2vuAjdrDROPPafkmwalkfmklaw23FlYmV7doE0Vrj2WxR1PG0eFAdsxPLsO1ny55fPj2ibwaqc0XpDkfTrO9GnFvmZAS8ebYtLZsYAMAGLKWAMLGKAWMLKMFDW6vBDaK290s9FdaWza3GPHTcDstawRhyqbXpVjiqpQ0mtxANW4WduSiohhpeqv05TlSOhx87QalkfmwalfmAWMFLKQEBCwUAA4IBAQBdZ5E9FqICfL1q+G6D1tChKl1Y6I6IVULQb4LESSJRaxv53nakmflwakmMALKFMWOYKAeUWO2hdED54qGMgUnLL6YheQBrsm6ilBC68F7ZFmIzVKycvw65yamWbTMi2f2lF60GNYMrq8sGQUkgO0O2zTN07J9wGTe9M+MAFLKWAMFLKalkmflkawoij4jpcsLXXFZJoHSXnF3+qQuzu+49D6pR2lF7DDW+5+PRoc1QpDSytdXxWzItsjQ6IFRuvIGsbrMg0FVaze7ePdKrc47wSlElno7SQ0H+6g40q25rsDSLO
-----END CERTIFICATE-----
ユーザーのセッショントークンは有効ですか?
影響を受けるユーザーにブラウザのキャッシュとCookieをクリアしてもらい、再度SAML SSOでログインを試みてください。
RelayStateを設定しましたか?
ERROR_CODE_SSO_INVALID_RELAY_STATE エラーが表示される場合、RelayStateが正しく設定されていないか、存在しない可能性があります。まだ設定していない場合は、IdP管理システムでRelayStateを設定する必要があります。手順については、RelayStateのセットアップを参照してください。
ユーザーがOktaとBrazeの間でサインインループに陥っていませんか?
Okta SSOとBrazeダッシュボードの間を循環してサインインできないユーザーがいる場合、Oktaに移動してSSO URLの送信先をBrazeインスタンス(例: https://dashboard-07.braze.com)に設定する必要があります。
別のIdPを使用している場合は、会社が正しいSAMLまたはx.509証明書をBrazeにアップロードしたかどうかを確認してください。
手動統合を使用していますか?
会社がIdPのアプリストアからBrazeアプリをダウンロードしていない場合は、事前構築済みの統合をダウンロードする必要があります。例えば、IdPがOktaの場合は、統合ページからBrazeアプリをダウンロードします。
次のステップ
SAML SSOを設定した後、以下のことができます:
- セキュリティ設定でSSOのみのログインを強制し、ユーザーがパスワードでログインすることを制限します。
- SAMLジャストインタイムプロビジョニングを設定して、新しいユーザーが初回のSSOサインイン時に自動的にBrazeアカウントを作成できるようにします。