サインイン認証の設定

IdP として Okta を使用する SCIM Provisioning 統合

SCIM（System for Cross-domain Identity Management）統合の追加:

1. Okta Admin Console で General タブを選択し、プロビジョニング方法として SCIM を設定します。

   

2. Provisioning タブを選択し、Edit ボタンをクリックします。

   

3. 設定編集モードで、すべてのプロビジョニング アクション（Import.. および Push.. オプション）を選択し、HTTP Header を Authentication モードとして設定します。

   

4. Company Dashboard の Authentication ページ内 Provisioning セクションから Base URL エントリをコピー（）し、Okta の SCIM Connector base URL フィールドに貼り付けます。

   Company Dashboard の Authentication ページ内 Provisioning セクションから API Token エントリをコピー（）し、Okta の Authorization フィールド（HTTP HEADER の下）に貼り付けます。

   

5. Okta の Unique identifier field for users として userName を指定します。

   

6. Test Connector Configuration ボタン（上記参照）をクリックし、接続が機能していることを確認します。設定テストが成功した場合は、Test ウィンドウを閉じてから設定を保存（）します。

   

7. 左側のナビゲーション ツリーで To App を選択し、次に Edit オプションを選択します。

   Create Users、Update User Attributes、Deactivate Users の各オプションを有効にし、その後 Save をクリックします。

   

ユーザー、グループのプロビジョニングおよびプロビジョニング解除:

1. Push Groups タブを選択し、Refresh App Groups ボタンをクリックします。

   

2. メイン メニューから Directory » Groups ページ オプションを選択します。

   

   Groups では、アプリケーションの Groups と Workspaces の両方がグループ エントリとして表示されるはずです。

   

3. アプリケーション グループ/ワークスペースと同じ名前の「ネイティブ」Okta グループを作成します。この例では、インポートされた Administrators グループと Workspace グループです。

   

4. 作成した Okta グループを選択し、Manage Apps ボタンをクリックします。Assign Applications to <group name> ウィンドウで、そのグループに SCIM Application を割り当て、完了したら をクリックします。

   

5. Groups ページに戻り、Push Groups タブを選択します。Push Groups ボタン メニューから Find groups by name option を選択します。

   

6. グループ名（この例では Group Administrators）を入力し、アプリケーション グループとリンクするために Link Group オプションを選択します。そのリンク設定を保存（）します。

   

ユーザーとグループの管理

これで、既存のアプリケーション グループにメンバーを追加したり、メンバーを削除したりできるようになります。

1. 新しい Okta ユーザーを作成します（Directory » People、次に Add Person を選択）。そのユーザーには、AltiumLive に存在しない一意のメールアドレスが設定されていることを確認してください。

2. 新しいユーザーを、SCIM アプリケーションに割り当てられている Okta グループに追加します（Directory » Groups、グループを選択し、次に Assign People を使用）。

3. そのユーザーが Company Dashboard に表示されることを確認します。

SCIM アプリケーションを通じて新しいユーザーグループを作成するには、Groups ページで新しい Okta グループを作成し（）、次に Push Groups タブで新しいグループ名を見つけて、Create Group オプションを選択します（'Link Group' ではなく）。

設定済みの SCIM アプリケーションでは、次のことができるはずです。

• ユーザーの名 / 姓、およびメールアドレスを変更する。

• グループのメンバーシップを変更する。

• グループ名を変更する。

• グループを作成する。

• グループを削除する ― Push Groups でそのグループのリンクを解除し、アプリから削除するオプションを使用します。

• ユーザーを有効化または無効化する ― 有効化されたユーザーには有効化メールが送信されます。

Workspace は Okta のユーザーグループに似ていますが、メンバーシップ管理のみをサポートします。新しい Workspace を作成したり、既存の Workspace 名を変更したりすることはできません。

ユーザーを Workspace グループに追加または削除した後、Altium 365 Workspace インターフェースで結果を確認できます。

• 新しい SCIM ユーザーは、SSO を使用してログインできるはずです。

• 新しい SCIM ユーザーは、自動的に Workspace に招待されるはずです。

• ユーザーにはメール招待は送信されません。

Identity Provider として Microsoft Entra ID を使用する統合

SAML アプリケーション：

1. Microsoft Entra admin center にサインインします。

2. Identity を選択し、次に Enterprise applications オプションを選択します。

   

3. 独自のアプリケーションを作成します。

   

4. Users and groups を選択し、次に Add user/group を選択します。

   

   

   

    

5. Single sign-on、Step 1、次に Edit を選択します。

   

   

    

6. Company Dashboard の Authentication ページの Altium Sign-On Settings セクションから Entity ID と Single Sign On URL の項目をコピー（）します。コピーした文字列を、Microsoft Entra アプリの SAML Configuration 領域にある Entity ID フィールドと Assertion Consumer Service URL フィールドに貼り付けます。これらのフィールドについては Default のチェックボックスがオンになっていることを確認し、その後で設定を保存します。

   

7. 作成された Federation Metadata XML をダウンロードします。

   

8. その Federation Metadata XML を Company Dashboard の Authentication ページ（Altium Sign-On Settings セクションの 2. SAML Identity Provider configuration 領域）にアップロードし、その後 SAML 統合接続をテストします。

プロビジョニング：

1. Microsoft Entra アプリ管理画面で、左パネルの Provisioning を選択し、次に Get started ボタンを選択します。

2. Provision MODE を Automatic に設定します。

3. Company Dashboard の Authentication ページにある Provisioning セクションから Base URL および API Token の項目をコピー（）し、それぞれ Tenant URL フィールドと Secret Token フィールドに貼り付けます。

   

4. Microsoft Entra Provisioning の Test Connection ボタンをクリックし、認証情報の認可に成功したら、設定を Save します。

   

5. Mappings セクションには、選択可能な属性マッピングのセットが 2 つあります。1 つは Group オブジェクト用、もう 1 つは User オブジェクト用です。

   

6. 各マッピングを選択して、Microsoft Entra ID からアプリに同期される属性を確認します。Matching properties として選択された属性は、更新操作の際にアプリ内のユーザーおよびグループを照合するために使用されます。変更を確定するには Save を選択します。

   

   必要に応じて、Groups マッピングを無効にすることでグループオブジェクトの同期を無効化できます。

7. Settings の下にある Scope フィールドでは、どのユーザーとグループを同期するかを定義します。Users and groups ページで割り当てられたユーザーとグループのみを同期するには、Sync only assigned users and groups（推奨）を選択します。

   

8. 設定が完了したら、Provisioning Status を On に設定します。

   

9. Save を選択して、Microsoft Entra のプロビジョニングサービスを開始します。

Identity Provider として JumpCloud を使用する統合

1. JumpCloud インターフェースで、ナビゲーションツリーから SSO を選択し、SSO ページで Add New Application ボタンを選択します。

   

2. 設定ウィンドウの検索に 'saml' を入力し、Custom SAML App を見つけてインストールします。

   

3. Custom SAML App のインスタンスに名前を付けます。この例では、ラベルは 'Altium' です。

   

4. JumpCloud 設定インターフェースの SSO タブに切り替えます。Company Dashboard の Authentication ページの Altium Sign-On Settings セクションから Entity ID および Single Sign On URL の項目をコピー（）し、それぞれ SP Entity ID フィールドと Default URL フィールドに貼り付けます。

   

5. JumpCloud エンドポイント IDP URL を入力し、Declare Redirect Endpoint オプションを有効にします。

   

6. JumpCloud インターフェースの Identity Management タブに切り替えます。Company Dashboard の Authentication ページの Provisioning セクションから Base URL および API Token の項目をコピー（）し、それぞれ Base URL フィールドと Token Key フィールドに貼り付けます。さらに、適切なテスト用メールアドレスも入力します。

   

7. Test Connection を実行します。すると、ページ右上に確認メッセージが表示されます（以下に示すとおり）。

   

8. Group Management オプションをオフ（チェックを外す）にしてから、設定を Activate します。

   

   注：ページ上部に 'There was a problem activating Identity Management'、またはページ下部に 'Test filter user: unable to get or create user from service' のような接続エラーが表示された場合は、別のテスト用メールアドレスを入力してから、再度 Activate を選択してみてください。

9. JumpCloud インターフェースの SSO タブに戻り、Export Metadata オプションを使用して生成された SAML metadata XML ファイルをダウンロードします。

   

10. Company Dashboard の Authentication ページで、ダウンロードした metadata XML ファイルをインポートし、次に Test Sign On ボタンで統合テストを実行します。統合テストが成功すると、その結果が表示されます。接続の確認後、Authentication methods セクションで Altium Sign-On Settings オプションを有効にし、続けて SSO オプションも有効にできます。

Microsoft Administrative Domain Federated Services (AD FS) を使用した SSO SAML 認証

以下の手順に従って、Altium 365 組織のログインで AD FS インスタンスを SSO 認証に使用するよう設定します。

前提条件

• Altium 365 の組織の Company Account への管理者アクセス権。

• AD FS インスタンスへの管理者アクセス権。

AD FS の設定

1. AD FS Management アプリケーション（通常は Start → Windows Administrative Tools → AD FS Management）を開きます。

2. Relying Party Trusts に移動し、Add Relying Party Trust... オプション (1) をクリックします。

3. ポップアップウィンドウで、Claims aware (2) が選択されていることを確認し、Start (3) をクリックします。

   

4. Select Data Source ステップで Enter data about the relying party manually (1) を選択し、Next (2) をクリックします。

   

5. その trust の表示名を指定します。この例では、表示名として AltiumLive を使用します。

   

6. セキュリティ構成によっては、任意のトークン暗号化証明書を指定できます。このガイドでは使用しません。

   

7. Configure URL ステップで、Enable support for the SAML 2.0 WebSSO protocol オプション (1) が選択されていることを確認し、Relying party SAML 2.0 SSO service URL: フィールド (2) に https://identity.live.altium.com/AssertionConsumerService を入力します。Next (3) をクリックします。

   

8. Configure Identifiers ステップで、この trust の識別子を入力フィールド (1) に指定します。この識別子は、Dashboard Authentication ページの SAML Single Sign-On 領域にある Entity ID 項目から取得する必要があります。必ず Add ボタン (2) をクリックしてください。

   

   結果は以下のようになります。Next をクリックします。

   

9. セキュリティ構成によっては、次のステップで任意のアクセス制御ポリシーを選択できます。この例では追加ポリシーは選択せず、Permit everyone オプションで続行します。

   

10. 設定内容を確認し、Next を選択します。

    

11. trust の設定中には使用できない設定もあります。SHA-1 をセキュアハッシュアルゴリズムとして使用できるようにするには、追加したばかりの Relying Party Trust の名前を右クリックし、Properties を選択します。

    

12. プロパティウィンドウで Advanced タブ (1) を選択し、セキュアハッシュアルゴリズムとして SHA-1 を設定します (2)。変更を保存するには OK をクリックします。

    

13. AD FS Management ウィンドウに戻り、追加した Relaying Party Trust を選択して、Edic Claim Issuance Policy... オプションを選択します。

    

14. Edit Claim Issuance Policy ウィンドウで Add Rule...

    

15. ウィザードの Choose Rule Type ステップで、Send LDAP Attributes as Claims が選択されていることを確認し、次に Next をクリックします。

    

16. Claim rule name を指定し (1)、Active Directory を Attribute store として選択し (2)、Altium Account のユーザー名を含む ID から LDAP Attribute を選択します (3)。この属性は Outgoing Claim Type (3) 内の Name ID にマッピングする必要があります。Finish をクリックします (4)。

    

    Important Note: この例では、必要な値を含めるために Surname または Last name をマッピングしています。設定内容は環境によって異なる場合があります。

    

17. OK をクリックして、要求発行ポリシーが保存されていることを確認してください。

    

以上で AD FS の設定は完了です。

Altium 365 の設定

1. Company Dashboard の Authentication ページにアクセスし、先ほどダウンロードした FederationMetadata.xml ファイルをアップロードします（詳細は以下の Dashboard SSO Configuration セクションを参照してください）。設定がインポートされ、X509 Certificate、Identity Provider Issuer、IdP Single Sign-On URL の値が表示されるはずです。設定をテストするには Test Sign On ボタンをクリックします。

2. サインオン画面で、組織の要件に従ってユーザー認証情報を入力し、Sign in をクリックします。

   

3. アサーションは Altium 365 に返送されます。画面に Test SAML connection was successful! メッセージが表示されれば、設定は正しく完了しています。See Response ボタンをクリックすると SAML レスポンスを表示できます。Back to Settings をクリックして Authentication ページに戻ります。

4. Authentication ページで、Altium Sign-On Settings と SSO オプションを有効にします。

以上で設定は完了です。以後、組織内のユーザーは、組織の AD FS を SSO IdP として使用して Altium 365 にログインできるようになります。

Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center を使用した SSO SAML 構成

1. IAM Identity Center に移動し、カスタム SAML 2.0 アプリケーション (Add Application) を追加します。

   

   

2.  Company Dashboard の Authentication ページの Altium Sign-On Settings セクションから、Entity ID および Single Sign On URL のエントリをコピー () し、AWS のメタデータ URL 設定に貼り付けます。Submit で設定を確認します。

   

3. IAM Identity Center metadata 領域からメタデータファイルをダウンロードします。

   

4. Edit attribute mappings に移動します。

   

5. ${user:email} と Format を unspecified として追加します。

   

6. AWS で新しいユーザーを作成します。ユーザー名は user@domain.com の形式にする必要があります。

   作成したユーザーまたはグループにアプリケーションを割り当てます。

   

7. Company Dashboard の Authentication ページにある Provisioning オプションはオフにしておく必要があります。

   現在、AWS では SCIM による自動アウトバウンドプロビジョニングはサポートされていません。

8. Altium 側と IAM 側の両方に同じユーザーが存在することを確認してください。ユーザー名は user@domain.com の形式に従う必要があります。

   

9. Company Dashboard の Authentication ページで、先ほどダウンロードした XML ファイルをアップロードします（詳細は以下の Dashboard SSO Configuration セクションを参照してください）。設定をテストするには Test Sign On ボタンをクリックします。

10. その後、AWS のログインページにリダイレクトされます。AWS のユーザー認証情報を入力してください。Dashboard にリダイレクトされ、Test SAML connection was successful! メッセージが表示されるはずです。

11. テストが成功したら、Altium Sign-On Settings と SSO オプションを有効にします。