Epsilon Retail MediaのSSO統合により、SAML 2.0を介して小売業者のIDPに直接接続できます。IDPを介して認証されたSSOを介してログインする機能を小売業者ユーザーに提供可能です。
小売業者ユーザーのみ
広告主が複数の小売業者プラットフォームにアクセスできるマルチテナントプラットフォームとしての当社の機能は、広告主ではなく、内部スタッフにSSOの適用を検討している小売業者に最適です。
他の小売業者のプラットフォームに影響を与える可能性があるため、広告主ユーザーのライフサイクルの権限委任は有効にしていません。
機能の範囲
Epsilon Retail Mediaを利用すると、ユーザーは自社の名前空間に対するアクセス権を認証するためのIDPを利用できるようになります。これは、名前空間ごとに構成されます。本プラットフォームのSSO機能では認証できますが、許可には対応していませんので、ご注意ください。チームのアクセス管理は、引き続きプラットフォーム内でプログラムによって設定されます。
広告主アクセス
当社のプラットフォームはグローバルに接続されたマルチテナントプラットフォームであるため、広告主は引き続きログインモジュールを介して直接ログインする必要があります。広告主は、他の小売業者のプラットフォームにアクセスできる場合でも、アクセスするにはプラットフォームに招待される必要があります。
主な情報
- この機能は内部スタッフメンバーの安全なオフボーディングなどのユースケースで、内部ユーザーのライフサイクルを管理したい小売業者に最適です。
- チームおよびユーザーのアクセス管理は、プラットフォーム内でプログラムで管理する必要があり、SSO統合を通じて行えません。
- すべてのIDPユーザーサポートと管理は、小売業者によって管理されます。
- 広告主のユーザーライフサイクルは、Epsilonプラットフォーム内で管理する必要があります。当社は、広告主ユーザーのオフボーディングに関する権限委譲を提供しておりません。これは、広告主の他のプラットフォームアクセスに影響を与える可能性があるためです。
ユーザーフロー
フローは、既存のプラットフォームユーザーと新しいプラットフォームユーザーで異なります。
既存ユーザーのフロー
SSOを導入するタイミングがローンチ後の場合、ほとんどのユーザーはすでにチームへのアクセス権を持っており、Epsilon内にアカウントが設定されています。したがって、フローはより簡単になります。
新規ユーザーのフロー
新規ユーザーについては、該当するチームへ個別に招待する必要があります。新規ユーザーはサインアッププロセスを経て、その後、今後のアクセスのためにSSO IDPを通じて認証手続きを行うことができます。
必要に応じて、ユーザーは直接SSO IDPを通じてサインインすることもでき、認証が承認されると、タイムリーにユーザーが作成されます。ユーザーは、該当するチームにプログラムを通じて個別に招待される必要があります。弊社では、ユーザーを事前に招待し、チームアクセスが適切に設定されているかを確認することを推奨しています。
ユーザーエクスペリエンス
小売業者のSSOが統合されたポータルでは、初回サインイン画面からパスワードフィールドが削除されます。ユーザーが小売業者ドメイン下でIDPに接続されているメールアドレスを入力した場合、ユーザーは自動的にIDPへ認証のために転送されます。
パスワードを忘れた場合の機能は、次のステップでのパスワード入力に委譲されます。SSOに関連するパスワード管理は、お客様の責任となります。
統合の要件
IDP統合
統合するには、Epsilonには以下が必要です。
ご利用のIDPから
- エンティティID
- SSO URL
- IDP署名証明書
また、以下も必要です。
- カスタムログインヘルプリンク:このリンクはすべてのユーザーに表示され、サインインプロセスの説明を含むリンクをホストする必要あり
- カスタムメッセージ:カスタムリンクに関連して表示されるカスタムメッセージ
- カスタムリンクラベル:カスタムログインヘルプリンクのラベル
- パスワードリセットウェブサイト名:ユーザーに表示されるウェブサイト名
- 期限切れパスワードURL:IDPがパスワード期限切れリンクを転送する場所
また、Epsilonは、Epsilon側でお客様と共有する以下の情報を設定します。
- エンティティ ID(オーディエンス URI)
- ベースURL
- ACS URL
これらは Epsilon チームによって提供されます。
属性のマッピング
Epsilon構成の属性は次のとおりです。
- 主に使用するメールアドレス
- 名
- 姓
- Eメール
それに応じて、IDPでマッピングを構成する必要がある場合があります。
サポートされていないSSO機能
ユーザーのプロビジョニング/デプロビジョニング:Epsilon内のユーザーチームの技術的な構成により、Identity Provider(IDP)とEpsilonプラットフォームの両方でマニュアル操作なしに、チーム内のユーザーを簡単に追加、管理、削除機能が提供されます。
ユーザーアカウントの設定とサポート:小売業者がSSOに移行する際、Epsilonはユーザーアカウントの管理、サポートを提供しません。Epsilonは直接ログインオプションとパスワードリセットリンクを削除し、すべてのSSOユーザーは小売業者にリダイレクトされ、ユーザー管理サポートを受けることになります。
小売業者所有のプラットフォームSSO:広告主アカウントの代替手段
貴社がパートナーAPI機能を統合し、広告主に対して独自のフロントエンドを提供している場合、広告主のライフサイクルを貴社のポータル内で管理できるようにするための回避策を小売業者向けに提供しています。
この機能の目的は、貴社のプラットフォームが管理する名前空間内でEpsilonのプラットフォームと自動的に認証を行えるようにすることです。
概要
この回避策には、貴社のドメインで広告主アカウントを作成できるようにするために、既存の小売業者のSSO機能を活用することが含まれます。
- 小売業者は、IDP(アイデンティティプロバイダー)サービス内でユーザーアカウントを作成します。Epsilon OKTAのジャストインタイム(JIT)プロビジョニングを利用することで、Epsilonプラットフォーム内でユーザーアカウントが自動的にプロビジョニングされます。
- 小売業者は、Epsilonチーム管理UIを通じて、必要なサプライヤーまたは小売業者チームにユーザーを招待します。(これがない場合、ユーザーにはEpsilonで空白のUIが表示されることになります)
- ユーザーアカウントには、小売業者が指定した一意のドメイン名が必要です。OKTA内で複数のドメイン名を設定することができます。例えば、[email protected]、[email protected]、[email protected]などです。
プロビジョニング解除
ユーザーのプロビジョニング解除は以下のプロセスで行われます。
- 小売業者はIDPのユーザーアカウントをプロビジョニング解除します。
- ユーザーは、小売業者が所有するユーザーのメールアドレスでEpsilonプラットフォームに認証、ログインすることができません。
- 他の小売業者のプラットフォームには、引き続き通常の広告主のメールアドレスを使用して認証、ログインすることができます。
- ユーザーアカウントはEpsilon内に引き続き存在しますが、90日間の非アクティブ期間後にライフサイクル管理プロセスでアカウントが非アクティブ化されます。
- ユーザーアカウントがIDP内で再アクティブ化されると、対応するユーザーアカウントもEpsilon内で再アクティブ化されます。
- 小売業者がユーザーをEpsilonから完全に削除する必要がある場合、そのユーザーはプラットフォーム内で招待されたチームから手動で削除されなければなりません。
制限
- これにより、実際の広告主のアカウントライフサイクルは維持されず、代わりに、小売業者のドメインの下に広告主の重複した独立したユーザーが作成されます。これにより、広告主に対して混乱を招く可能性があります。\
- [email protected]はEpsilonプラットフォーム内のユーザーとして残り、複数の小売業者にまたがるすべてのチームにアクセスできます。
[email protected]は小売業者である貴社が所有するドメインで管理されています。
- [email protected]はEpsilonプラットフォーム内のユーザーとして残り、複数の小売業者にまたがるすべてのチームにアクセスできます。
- この回避策は、「サポートされていないSSO機能」セクションで説明された制限を維持し、小売業者がアカウント設定、サポート、ユーザー/チームのアクセス管理を行う必要があります。
- すべてのユーザーのサポートと管理は、小売業者によって管理されます。
よくある質問
- チームに招待しなかった人がSSOでサインインした場合はどうなりますか?
- ユーザーが存在しない場合でもSSOを通じてサインインすると、チームに招待されるまで空白の画面が表示されます。
- SSOやAPIでチームまたはユーザーのアクセスを管理する方法はありますか?
- いいえ、これは現時点では不可能です。UIを通じてプログラム的に処理する必要があります。