シングル サインオン(SSO)の設定

SSO は、1 度だけサインインしたあとに、ユーザーが複数のアプリケーションにアクセスできるようにする認証プロセスです。Diligent One は、OASIS SAML 2.0 プロトコルに従う ID プロバイダーの SSO の統合をサポートします。

1 つの組織に複数の SSO プロバイダーをセットアップすることができます。

シングル サインオンについて

  • 複数の SSO 構成お客様は、1 つの組織内に複数のシングル サインオン プロバイダーを構成できます。

  • SSO を使用する組織と SSO を使用しない組織の切り替えSSO が有効な組織と SSO を使用しない組織を切り替える場合、Diligent One 資格情報の入力を求められます。この資格情報がない場合、[パスワードを忘れた場合]リンクを選択してパスワードを設定する必要があります。ご自分のすべての組織で SSO を使用して認証する場合、SSO を使用しない組織に対して SSO を構成するようシステム管理者に連絡してください。詳細については、この シングル サインオン(SSO)の設定を参照してください。

  • SSO を使用する組織のシステム管理者のサインイン エクスペリエンスシステム管理者は、SSO を使用する組織に、Diligent One プラットフォームのメールとパスワードを利用してサインインできるようになりました。これにより、ユーザーが組織の認証を受けられない場合に、システム管理者を介して SSO 構成を再構成することが可能になります。また、システム管理者は、SSO をバイパスさせる組織内の特定のユーザーを選択することもできます。

  • Diligent One プラットフォームはジャストインタイム (JIT) プロビジョニングをサポートしない最高のセキュリティー標準に合わせるため、ジャストインタイム プロビジョニングをサポートしていません。組織のユーザー プロビジョニング プロセスを自動化したい場合は、システム管理者と連携して外部ユーザー プロビジョニング(SCIM など)を有効にしてください。

  • セキュリティー指紋の代わりに公開証明書を使用新しい SSO プロバイダーを設定したり、現在のプロバイダーを更新したりするときには、セキュリティー指紋の代わりに公開証明書を入力する必要があります。

    SSO を構成または更新するときには、公開証明書(BEGIN CERTIFICATE と END CERTIFICATE の行を含む)を入力してください。

    -----BEGIN CERTIFICATE-----
    <認定書の内容>
    -----END CERTIFICATE-----

権限

システム管理者のみが、自社の SSO 設定を構成できます。

要件

  • お使いの ID プロバイダーは OASIS SAML 2.0 プロトコルに従っている必要があります。
  • SSO が有効になっている Diligent One インスタンスのユーザーは、すべて ID プロバイダーによって認証される必要があります。

ユーザーが複数の組織にアクセスする場合

ID プロバイダーで認証を受けるユーザーが複数の Diligent One 組織にアクセスできるのは、それらの組織のすべてが同じ企業に属している場合に限られます。

それらの組織がすべて同じ企業に属しているかどうかを調べるには、各組織の組織設定で「顧客名」を確認してください。SSO ユーザーがアクセスする必要があるすべての組織で、この顧客名が同じ値になっていなければなりません。詳細については、組織の設定の更新を参照してください。代わりに、インスタンス スイッチャーを使用して、対象の組織が同じ企業名の下にインデントされていることを確認するという方法もあります。詳細については、「Diligent One 組織の切り替え」を参照してください。

お使いのインスタンスが属する企業を変更したい場合は、サポートにお問い合わせください。

認証は地域に限定されません。ユーザーは複数の地域にある Diligent One インスタンスにアクセスできます。

ユーザーがトレーニング組織にアクセスする場合

ID プロバイダーで認証を受けるユーザーは、トレーニング組織を作成できます。こうしたトレーニング組織は同じ企業に自動的にリンクされます。

すでに同じメールで別のトレーニング組織に追加されたユーザーを除き、こうした組織に他のユーザーを追加することができます。これらのユーザーは、サインインページの[パスワードを忘れた場合]リンクを選択して、Diligent One トレーニング組織にアクセスするためのパスワードを設定する必要があります。

あなたのユーザーが複数の企業で働く場合

複数の企業で働くユーザーは SSO を使用できます。ログインするときには、アクセスしようとしている特定の企業に設定されている SSO で認証を行うように求められます。

SSO と 2FA を併用する場合

SSO 認証をユーザーに免除し、2FA による標準プロセスを使用してログインさせることができます。詳細については、「 」を参照してください。

SSO ID プロバイダーの設定

  1. プラットフォーム ホームページ (www.diligentoneplatform.com) を開きます。

  2. 左側のナビゲーションで[プラットフォーム設定]を選択します。
    左側のナビゲーションに、さまざまなプラットフォーム設定オプションが表示されます。
  3. 組織の管理]で、[セキュリティー設定]を選択します。
  4. セキュリティ設定]ページの[シングル サインオン (SSO) オプション]セクションで、[プロバイダーの設定]を選択します。
  5. 以下の表で説明しているように、[シングル サインオンの設定]パネルに詳細情報を入力します。

    フィールド説明
    カスタム ドメイン

    インスタンスを特定し、自社のユーザーが Diligent One にサインインできるようにする一意の名前。カスタム ドメインは、地域コードを使って追加されるインスタンスのサブドメインです。

    メモ

    組織の更新]ページでインスタンスのサブドメインを変更できます。詳細については、組織の設定の更新を参照してください。

    名前ID プロバイダーの名前を入力します。
    エンティティ IDSAML 要求を発行する ID プロバイダーを識別する URL。これは、ご利用の ID プロバイダーに固有の URL です。
    メタデータの URLプラットフォーム ホームページが、ID プロバイダーから SSO 構成データを取得するためにアクセスできる URL です。これは、ご利用の ID プロバイダーに固有の URL です。
    リダイレクト ログイン URL自社のユーザーが Diligent One にサインインするための ID プロバイダーの URL。
    ログアウト URL自社ユーザーが Diligent One にサインアウトしたあとの、Diligent One による自社ユーザーのリダイレクト先 URL。
    公開証明書デバイスおよびユーザーを検証するために発行された証明書。

  6. 有効化]を選択します。

    シングル サインオン (SSO) オプション]セクションに、追加した ID プロバイダーが表示されます。

SSO をバイパスする許可リストへのユーザーの追加

複数の認証オプションを追加した場合に、SSO 認証の使用をユーザーに免除することができます。通常、SSO 認証の免除は、ID プロバイダーに所属していないユーザーに適用されます。免除されたユーザーは、引き続きユーザー名とパスワードを使用してサインインできます。

メモ

  • システム管理者はすべて自動的に SSO バイパス許可を与えられます。

  • 2 要素認証 (2FA) を組織で有効にすると、シングル サインオン (SSO) のバイパスを許可したユーザーも含め、すべてのユーザーに適用されます。そのため、意図せずプラットフォームからユーザーを締め出すことがないように、ユーザー アクセスを確認することが重要です。

  1. シングル サインオン (SSO) オプション]セクション([セキュリティ設定]内)で、[+ユーザーの追加]タブ([SSO のバイパスが許可されたユーザー]セクションの隣)を選択します。
  2. SSO のバイパスが許可されたユーザー]パネルが表示されたら、SSO 認証の使用を免除するユーザーを選択します。

    3. 検索]フィールドを使用してユーザーを検索できます。

  3. ユーザーの追加]を選択します。

    4. SSO をバイパスするリストに追加されたユーザーは、[SSO のバイパスが許可されたユーザー]セクションに表示されます。

SSO をバイパスする許可リストからのユーザーの削除

SSO をバイパスする許可リストに追加されたユーザーを削除するには、[SSO のバイパスが許可されたユーザー]セクションで、削除するユーザーの隣に表示されている削除アイコンを選択します。

メモ

システム管理者を許可リストから削除することはできません。システム管理者はすべて自動的にバイパス許可を与えられます。

SSO ID プロバイダーの無効化

  1. セキュリティ設定]ページの[シングル サインオン (SSO) オプション]セクションで、無効にする ID プロバイダーの[詳細を開く]を選択します。
  2. シングル サインオンの設定]パネルにある[ステータス]フィールドのドロップダウン メニューから、[無効]を選択します。
  3. 変更を保存]を選択します。
  4. SSO プロバイダーの無効化を確認する]ダイアログ ボックスが表示されるので、[確認]を選択します。

    SSO ID プロバイダーに[無効]というマークが付きます([シングル サインオン (SSO) オプション]セクション内)。

    5. メモ

    SSO プロバイダーを無効にすると、組織内のユーザーはこの SSO プロバイダーをサインインに使用できなくなります。ただし、プロバイダーの情報は保存されたままです。

無効になっている SSO ID プロバイダーの有効化

  1. セキュリティ設定]ページの[シングル サインオン (SSO) オプション]セクションで、有効にする ID プロバイダーの[詳細を開く]を選択します。
  2. シングル サインオンの設定]パネルにある[ステータス]フィールドのドロップダウン メニューから、[有効]を選択します。
  3. 変更を保存]を選択します。

    4. SSO ID プロバイダーに[有効]というマークが付きます([シングル サインオン (SSO) オプション]セクション内)。

SSO ID プロバイダーの削除

  1. セキュリティ設定]ページの[シングル サインオン (SSO) オプション]セクションで、削除する ID プロバイダーの[詳細を開く]を選択します。
  2. シングル サインオンの設定]パネルで、[削除]を選択します。
  3. SSO プロバイダーの削除を確認する]ダイアログ ボックスが表示されるので、[確認]を選択します。
    4. メモ

    SSO プロバイダーを削除すると、組織内のユーザーはこの SSO プロバイダーをサインインに使用できなくなります。プロバイダーの情報も削除されます。

Diligent One プラットフォーム サービス プロバイダーのURL

SSO ID プロバイダーを構成する場合、Diligent One プラットフォームで次のサービス プロバイダーの URL が必要です。

  • いずれかのサービス プロバイダー エンティティ ID
    • https://accounts.diligentoneplatform.com/saml/metadata/your_custom_domain
    • https://accounts.highbond.com/saml/metadata/your_custom_domain

    ヒント

    エンティティ ID URL は、Diligent One プラットフォームのメタデータ エンドポイントとしても使用できます。

  • いずれかのサービス プロバイダーのアサーション消費者 URL
    • https://accounts.diligentoneplatform.com/saml/sso/consume/your_custom_domain
    • https://accounts.highbond.com/saml/sso/consume/your_custom_domain

メモ

www.highbond.com のサポートは、2026 年 7 月 31 日に終了します。

サービス プロバイダー メタデータ ファイルの使用

組織で SSO を有効にすると、ID プロバイダーにアップロードできるサービス プロバイダー メタデータ ファイルにアクセスできます。

  1. 次のいずれかのサービス プロバイダー エンティティ ID をコピーします。

    • https://accounts.diligentoneplatform.com/saml/metadata/ your_custom_domain
    • https://accounts.highbond.com/saml/metadata/ your_custom_domain

  2. URL を Web ブラウザーに貼り付けます。

    メタデータ XML ファイルがシステムにダウンロードされます。

  3. そのファイルを ID プロバイダーにアップロードします。

SSO が有効になっているときのログイン

SSO が有効になっているときのログイン方法は 2 つあります。

SSO が有効であるとどうなりますか?

SSO が有効な場合は、www.diligentoneplatform.com にアクセスし、[SSO で続行]をクリックし、カスタム ドメインを指定することでサインインできます。

または、ID プロバイダーのランディングページにある Diligent One アプリのリンクを使用して Diligent One にアクセスすることもできます。 

Diligent One アプリのいずれかにアクセスする(Diligent One から送信される電子メールのリンクをクリックすることも含む)と、ID プロバイダー経由で Diligent One にリダイレクトされます。

メモ

  • SSO が有効になったら、メールとパスワードでサインインすることも、パスワードを変更することもできなくなります。ただし、システム管理者や、SSO をバイパスできるユーザーとして登録されているユーザーは、メールとパスワードでサインインできます。

  • 組織で SSO が有効になっている場合は、メール アドレスを変更できません。ただし、組織で SSO と SCIM の両方が有効になっている場合は、メール アドレスを変更できます。

  • 組織で SSO のみが有効になっている場合、更新されたメール アドレスは新しいアカウントとして扱われるので、以前の資格情報に関連付けられた情報にはアクセスできなくなります。そのため、このような組織でメール アドレスの変更が必要になった場合、システム管理者はまず Diligent One の SSO を無効にしてから、メール アドレスを更新し、もう一度 SSO を有効にする必要があります。

  • SCIM が有効な組織の場合、ID プロバイダーでのメール アドレスの変更は自動的に Diligent One プラットフォームに反映されます。

サインインのたびに自分のカスタム ドメインを入力する必要はありますか?

  • ID プロバイダーを通じてサインインする場合は、サインインのたびにカスタム ドメインを入力する必要はありません。
  • Diligent One からサインインする場合は、次のいずれかの URL にアクセスすれば、サインインのたびにカスタムドメインを入力しないですみます。
    • https://accounts.diligentoneplatform.com/saml/sso?custom_domain=your-custom-domain
    • https://accounts.highbond.com/saml/sso?custom_domain=<お使いのカスタム ドメイン>

    メモ

    www.highbond.com のサポートは、2026 年 7 月 31 日に終了します。

Diligent One の複数組織へのサインイン

Diligent One の複数組織にアクセスできるユーザーは、最後に使用した組織に自動的にサインインします。SSO が有効な組織と SSO を使用しない組織の両方に所属している場合は、SSO を使用しない組織にログインするためのパスワードを設定する必要があります。そのためには、[パスワードを忘れた場合]リンクを選択します。

Diligent One の複数の組織にアクセスできるユーザーは、簡単に組織を切り替えることができます。詳細については、「Diligent One 組織の切り替え」を参照してください。

まだ認証を受けたことがない組織に切り替えるときには、切り替え先の組織の認証用の資格情報の入力を求められます。

SSO が有効になっているときのログアウト

Diligent One は、ワークフローを開始する ID プロバイダーを使用して、SLO(シングル ログアウト)をサポートします。

次のいずれかの SLO URL を使用します。

  • https://accounts.diligentoneplatform.com/saml/slo/your-<お使いのカスタム ドメイン>

  • https://accounts.highbond.com/saml/slo/<お使いのカスタム ドメイン>

    メモ

    www.highbond.com のサポートは、2026 年 7 月 31 日に終了します。

セッションの有効期限が機能する仕組み

Diligent One セッションの有効期限が切れたり、Diligent One からログアウトを試みたりするときは、まず、ID プロバイダーからログアウトする必要があります。そうしないと、Diligent One のサインインに自動的に戻ります。

たとえば、組織のセッションの有効期間が 3 時間で、ID プロバイダーのセッションの有効期間が 3 日間の場合は、3 日間にわたり Diligent One に自動的にサインインします。

セキュリティのため、ご利用の ID プロバイダーの有効期限がお使いのインスタンスのセッションの有効期限より短くなっていることを御社で確認してください。

メモ

組織の更新]ページで組織のセッションの有効期限を変更できます。詳細については、組織の設定の更新を参照してください。

SSO が有効な Diligent One 組織へのユーザーの追加

Diligent One は SCIM 外部プロビジョニングをサポートしています。ID プロバイダーが SCIM に対応している場合は、ユーザーをプラットフォームに自動的にプロビジョニングできます。一方、ID プロバイダーが SCIM に対応していない場合は、SSO ユーザーを手動で Diligent One 組織に追加して、プラットフォームにアクセスできるようにする必要があります。

Diligent One アプリのサブスクリプションとアクセス権

ユーザーにはサブスクリプションは割り当てられず、Diligent One アプリへのアクセス権も付与されません。システム管理者は、ユーザーが確実にインスタンスで適切なアクセス権を持つように、プラットフォーム ホームページでユーザーにロールとサブスクリプションを割り当てる必要があります。

SSO の無効化

御社でいったん SSO を有効化し、後でそれを無効化することに決定した場合:

  • SSO が有効になる前にパスワードを設定していなかったユーザーがパスワードを取得するには、サインイン ページで[パスワードを再設定する]を選択する必要があります。 
  • SSO が有効になる前にパスワードを設定していたユーザーは、ユーザー名とパスワードを使用してサインインすることができます。

SSO と SAML

Diligent One は、OASIS SAML 2.0(Security Assertion Markup Language 2.0)プロトコルに従う ID プロバイダーの SSO の統合をサポートします。OASIS SAML 2.0 は、2 つの Web モジュールのあいだで ID をやり取りして認証するための書式です。

OASIS SAML 2.0 には次が含まれます。

  • ユーザー要求サービス。
  • サービス プロバイダーまたはアプリケーション提供サービス (Diligent One)。
  • ユーザー情報を管理するリポジトリまたは ID プロバイダー

SSO が有効化されたインスタンスでは、ユーザーが Diligent One へのサインイン時に認証されるのは、サポートされている SAML ID プロバイダーを使用した場合です。自社の SAML ID プロバイダーでユーザーが有効化されていない場合には、そのユーザーはアクセスを拒否されます。 

サポートされているワークフロー

SSO を設定すると、次のワークフローがサポートされるようになります。 

  • ID プロバイダーによる開始 - ID プロバイダーのランディングページから Diligent One にアクセスします。
  • サービスプロバイダーによる開始 - Diligent One のホームページから Diligent One にアクセスします。

Diligent One プラットフォームのための Okta との SAML 2.0 統合の構成

Okta で SAML 2.0 を構成するには、Diligent One プラットフォームと Okta での手順が必要です。

Diligent One プラットフォームで実行する手順

  1. accounts.diligentoneplatform.com に移動します。

  2. 左側のナビゲーションで[プラットフォーム設定]を選択します。
    左側のナビゲーションに、さまざまなプラットフォーム設定オプションが表示されます。
  3. 組織の管理]で、[セキュリティー設定]を選択します。
  4. セキュリティ設定]ページの[シングル サインオン (SSO) オプション]セクションで、[プロバイダーの設定]を選択します。
  5. シングル サインオンの設定]パネルで、Okta Administration の[サインオン]タブから対応する値をコピー&ペーストします。フィールドを次の表で説明します。

    フィールドOkta Administration における SAML 2.0 値
    カスタム ドメイン

    Okta には該当なし。

    このフィールドは、インスタンスを特定し、自社のユーザーが Diligent One にサインインできるようにする一意の名前です。カスタム ドメインは、地域コードを使って追加されるインスタンスのサブドメインです。

    メモ

    組織の更新]ページでインスタンスのサブドメインを変更できます。詳細については、組織の設定の更新を参照してください。

    名前

    Okta には該当なし。

    ID プロバイダーの名前を入力します。

    エンティティ ID

    発行者

    メタデータの URL

    メタデータの URL

    Diligent One プラットフォームが、ID プロバイダーから SSO 構成データを取得するためにアクセスできる URLです。これは、ご利用の ID プロバイダーに固有の URL です。

    リダイレクト ログイン URL

    サインオン URL

    ログアウト URL

    サインアウト URL

    公開証明書

    1. 署名証明書]の横にある[ダウンロード]を選択します。

    2. テキストエディターで証明書を開きます。

    3. すべての値をコピーして Diligent One プラットフォームの[公開証明書]フィールドに貼り付けます。

  6. 有効化]を選択します。

Okta で実行する手順

  1. [アプリケーション]>[アプリケーション]>[アプリカタログの参照]に移動し、Diligent One を検索します。

  2. Diligent ONE SAML アプリの[全般]タブを選択し、[編集]を選択します。

  3. カスタム ドメイン]フィールドに、Diligent One SSO セットアップから取得した値を入力します。

  4. 保存]を選択します。

    これで、Okta ダッシュボードの Diligent One タイルを介して認証できるようになりました。

サービス プロバイダーが開始する SSO を介してログインするには、次の手順に従います。

  1. accounts.diligentoneplatform.com に移動します。

  2. SSO で続行]を選択します。

  3. サインイン]ページで、カスタムドメインを入力して[続行]を選択します。

    まだサインインしていない場合は、Okta を介してログインするように求められます。

ID プロバイダーが開始した認証プロセス

サービス プロバイダーが開始した認証プロセス

退職するユーザーのオフボーディング

ユーザーが会社を退職する場合は、オフボーディング プロセスとして、ID プロバイダーからユーザーを削除します。ユーザーに対する影響は、ユーザーに関連付けられていた組織と、それらの組織の具体的な構成によって異なります。

  • SSO が有効な組織にのみ属していたユーザーは、Diligent One でそれらの組織にアクセスできなくなります。
  • SSO が有効な組織と SSO を使用しない組織の両方に属していたユーザー:
    • ID プロバイダーからこのユーザーを削除した場合は、ユーザーが Diligent One 組織から削除されたことを確認する必要があります。システム管理者は、SSO を使用しない他の組織から、このユーザーをオフボーディングする必要があります。
    • SSO が有効な組織から手動でこのユーザーを削除した場合は、ユーザーがパスワードをリセットすれば、SSO を使用しないインスタンスに引き続きアクセスすることができます。