Heroku でのシングルサインオン (SSO) サービスの使用 (管理者向け)

この記事の英語版に更新があります。ご覧の翻訳には含まれていない変更点があるかもしれません。

最終更新日 2021年12月13日(月)

Heroku での SSO の前提条件
Heroku 向けの SSO サポートが組み込まれた ID プロバイダー
その他の SAML 2.0 準拠 IdP での SSO 設定
複数の IdP 証明書の提供
エンドユーザーアカウントの作成と削除

Heroku での SSO は現在、Heroku Enterprise のお客様のみに提供されています。

Heroku は既存の ID プロバイダー (IdP) との統合が容易であり、これによって Heroku へのシングルサインオン (SSO) を実現できます。その際に使用する資格情報やログイン方式は、Slack や Dropbox などの他の SSO 対応サービスプロバイダーと同じです。

SSO を使用する場合、従業員は Heroku のログインページの代わりに ID プロバイダーのインターフェースを使用して Heroku にログインします。従業員のブラウザは Heroku にリダイレクトされ、認証された後、準備が整います。SSO を有効にすると、Heroku 自体のログインメカニズムは無効になります。つまり、認証のセキュリティは IdP にシフトし、他のサービスプロバイダーと連携するようになります。

組織で SSO を設定、変更、または無効化しても、Heroku からは従業員に通知されません。そのため、変更内容の周知を徹底してください。

SSO を有効にするときは、「Heroku でのシングルサインオン (SSO) サービスの使用 (エンドユーザー向け)」の記事を実施の通知に含めてください。

Heroku での SSO の前提条件

会社の ID プロバイダー (IdP) で SAML 2.0 標準をサポートしている必要があります。
IdP に対する管理権限が必要です。

Heroku 向けの SSO サポートが組み込まれた ID プロバイダー

以下の主要な IdP は、Heroku のサポートを組み込みで提供しています。これらの IdP で SSO を設定するには、各ベンダーのサイトの指示に従ってください。

Auth0
Azure
Google Cloud Identity
Okta
OneLogin
Ping Federate
Ping Identity (管理者ログインが必要。ログイン後、アプリケーションカタログから ‘Heroku’ を検索)
Salesforce Identity

Microsoft Active Directory で SSO を設定するには、次の SAML 2.0 の手順を使用します。

その他の SAML 2.0 準拠 IdP での SSO 設定

ほとんどの SAML 2.0 準拠 ID プロバイダーでは、SSO を設定するために、サービスプロバイダーに関する共通の情報が必要です。Heroku の場合、必要な情報は、SSO を有効にする対象の Heroku Enterprise Team の Settings (設定) タブで確認できます。

設定ダイアログの SSO 設定情報

この情報を表示するには (また、Enterprise Team で SSO を有効にするには) Enterprise Team に対する管理者権限が必要であることに注意してください。

Heroku 組織で SSO が有効な状態

IdP で SSO を設定した後、メタデータを手動でアップロードまたは入力できます。設定が成功すると、確認ダイアログが管理者に表示され、エンドユーザーの SSO ログインの URL が表示されます。必ず、この URL を組織内で共有してください。

複数の IdP 証明書の提供

ダウンタイムなしで SSO 証明書を変更できるよう、最大 3 つの SSO 証明書を Enterprise Team に追加することが可能になりました。有効期限が切れていない SSO 証明書のいずれかで署名された SAML アサーションは受理され、ダウンタイムなしでシームレスに新しい ID プロバイダー証明書に切り替えることが可能になっています。

multicert

また Heroku では、SSO が有効な Enterprise Team の管理者 (admin 権限を持つユーザー) 宛てに、証明書の有効期限が切れる 30 日前、7 日前、および 1 日前にメール通知を送信します。したがって管理者には、有効期限が切れそうな証明書を更新し、ユーザーがロックアウトされるのを防ぐ機会があります。

セキュリティを強化するために、IdP で SHA-256 がサポートされている場合は、SAML の応答とアサーションのどちらにも SHA-256 を使用して署名するよう IdP を設定してください。

エンドユーザーアカウントの作成と削除

エンドユーザーアカウントの作成

エンドユーザーを追加するには、利用中の IdP でそのユーザーのアカウントを作成するのみです。ユーザーが IdP 経由で Heroku に初めてログインするときに、自動 IdP プロビジョニングによって Heroku アカウントが作成されます。Enterprise Team のリソースと設定に対するユーザーのアクセス権は、新しいユーザーに割り当てるデフォルトロールによって異なり、このロールは Enterprise Team の Settings (設定) タブで管理者が指定します。

設定タブの SSO デフォルトロール

新しいユーザーのデフォルトロールは member です。

アカウントがプロビジョニングされた後、エンドユーザーは確認メールを受信し、メール内の受信確認リンクをクリックする必要があります。

IdP が正常に動作していない場合でも Heroku にアクセスできるよう、管理者のユーザーアカウントは必ず、IdP 経由ではなく Heroku で直接作成してください。

Heroku API キーを要求する統合を設定する必要がある場合は、IdP 経由ではなく Heroku で直接、統合ユーザーアカウントを作成してください。

エンドユーザーアカウントの削除

IdP からエンドユーザーを削除すると、そのユーザーは対応する Heroku アカウントにログインできなくなりますが、そのアカウントは Heroku からは削除されません。API キーがタイムアウトになる前に API 経由で Enterprise Team のリソースにアクセスされる可能性があるため、それを防ぐために、IdP と関連付けられている Heroku Enterprise Team からも必ず、エンドユーザーのアカウントを削除してください。

自動 IdP プロビジョニングによって作成されたエンドユーザーアカウントを Heroku から削除するには、ID 管理者から Heroku Support にご連絡ください。

Categories