メインコンテンツにスキップ
SSO(シングルサインオン)機能

ビジネスプラン・エンタープライズプラン

クラウドサイン運営事務局 avatar
対応者:クラウドサイン運営事務局
2週間以上前に更新

ビジネスプラン・エンタープライズプランでは、SAML2.0の認証を用いたSSOを設定することができます。

これにより、IDプロバイダー (IdP)でメールアドレスとパスワードを一括管理し、セキュリティ強化を実現できます。

  

なお、クラウドサインを複数チームでご契約いただいている場合、全てのチームのSSO設定を一元管理することも可能です。

エンタープライズプランにてSSO・IDプロバイダー連携機能をご利用の場合はこちらをご確認ください。

注意事項

  • SSOを有効にすると、メールアドレスとパスワードでログインできなくなります。

  • SSOが有効中はクラウドサインの2要素認証の機能をご利用いただけません。

  • SP initiatedのみ対応しております。

  • ユーザープロビジョニングは対応しておりません。

  • SSOが有効になっている場合、電子署名ならびに合意締結証明書に「合意締結当事者の認証方法」として「IdP認証」の記載とともに付帯情報にIssuerの情報が記載されます。


利用開始方法

  • 既にクラウドサインをご利用中のお客様は、カスタマーサクセス担当またはクラウドサインのWebサイト画面右下のチャットサポートまでご相談ください。

  • クラウドサインのご利用をご検討中のお客様は、以下よりお問合せください。


事前準備

「SSO機能」の利用申込みをし、下記3つ「2.IDプロバイダー側の設定」「3.クラウドサイン側のSSO設定」「4.SSOの有効化」を行い、SSO設定の設定を完了させてください。

なお、事前準備は「SSO管理権限者」のみ操作可能です。

1. SSO管理権限とは

  • SSOに関する設定、権限の付与/削除ができる権限です。

  • 「SSO管理権限」を持っているユーザーのみ、「SSO設定画面 」にアクセスすることができ、チームのSSO有効・無効化、SSO管理権限者を追加・削除が可能です。

  • 「SSO管理権限者」として追加できるユーザーは、SSO設定を共有している かつ ビジネスプランをご契約中のチームに所属しているメンバー に限られます。

  • クラウドサインを複数チームでご契約いただいている場合、同じ「SSO設定画面」で全てのチームのSSO設定を一元管理することも可能です。

2. IDプロバイダー側の設定(SAML2.0)

OpenID Connectの設定方法はこちらをご覧ください。

ご利用中のIDプロバイダーにアクセスし、クラウドサインの「SSO設定画面」に記載されているAudienceACS URLを各プロパイダごとのマニュアルを元に設定してください。
​ 

SSO設定画面 >IDプロバイダーの設定>サービスプロバイダ情報  

下記のIDプロバイダーをご利用可能です。

以下はIDプロバイダー提供元のサイトに遷移します

上記以外のIDプロバイダーでも、SAML 2.0対応であればご利用いただけます。

3. クラウドサイン側のSSO設定

ご利用中のIDプロバイダーからメタデータファイルをダウンロードし、クラウドサインの 「SSO設定画面」よりアップロードしてください。
メタデータファイルのダウンロード方法は、ご利用中のIDプロバイダーにご確認ください。
​ 
SSO設定画面 >IDプロバイダーの設定>メタデータファイルの設定>ファイルを選択

4. SSOの有効化

「SSO設定」より、有効にしたいチームを選択してください。
​  
SSO設定画面 >SSO設定

注意事項

  • SSOを有効にした場合、24時間後にパスワードおよび2要素認証の設定が削除されます。

  • SSO有効中は、パスワードおよび2要素認証の設定はできません。

SSOを有効にした場合、有効となったチームのSSO管理権限者チーム管理者に、通知メールが送信されます。


SSOの設定変更

1.ご利用中のIDプロバイダーを変更する(「SSO管理権限者」のみ)

すでにSSOをご利用いただいており、別のIDプロバイダーに変更したい場合は以下の手順で可能です。

例:ONELoginからAuth0に変更したい

【操作方法】

1.変更先のIDプロバイダーからメタデータファイルをダウンロードします。

2.管理画面の「SSO設定画面」 >「IDプロバイダーの設定」に移動します。

この時、別ブラウザで同管理画面を開いておくことを推奨しております(復旧用)。

そうすることで、設定誤りなどからSSOができない状態になった場合も、別ブラウザの方からSSO設定をOFFにしていただくことが可能です。

例) 動作確認用ブラウザ:Edge 、 別ブラウザ:chrome


3. 2の画面より、メタデータファイルの設定>「ファイルの変更」で、新しいIDプロバイダーのメタデータファイルをアップロードします。

以上でIDプロバイダーの変更作業は完了です。

注意事項

  • すでにSSOをご利用いただいており、IDプロバイダーの変更を行う場合は弊社へのお申し込みは不要です。お申し込みは新規でSSOをご利用いただく場合のみ必要です。

  • サービスプロバイダ情報の「Audience」と「ACS URL」は変更不要です。この値は各チーム固有で払い出される情報のため、変更されることはありません。

  • 新しいメタデータファイルをアップロードした時点で、新しいIDプロバイダーに切り替わります。

2. チームのSSOを無効にする(「SSO管理権限者」のみ) 

【操作方法】

1. 管理画面の「SSO設定画面 」に移動します。

 
2. 「SSO設定」より、無効にしたいチームを選択してください。
SSOが無効になると、通常のパスワードを用いたログイン方法に切り替わります。

3.以上でSSOの無効設定は完了です。

 

SSOを無効にした場合、無効となったチームのメンバー全員に、パスワード再設定のメールが送信されます。
SSOの有効化から24時間以内に無効化された場合、パスワード再設定メールは送信されません。元々使われていたパスワードを継続してご利用いただけます。

3.「SSO管理権限者」を追加する(「SSO管理権限者」のみ)

【操作方法】
1. 管理画面の「SSO設定画面 」に移動します。

2. 「SSO管理権限者」の「 + SSO管理権限者を追加」をクリックします。

3. SSO管理権限を付与したいメンバーのメールアドレスを入力し、追加します。
追加可能なメンバーは、SSO設定が有効かつビジネスプランをご契約中のチームに所属しているメンバーに限られます。

4.以上で「SSO管理権限者」の追加は完了です。

 

SSO管理権限者が追加された場合、通知メールが下記対象者に送信されます。

  • SSO管理権限者として追加された本人

  • SSO管理権限者全員

  • SSO管理権限者として追加された本人が所属するチームのチーム管理者

通知メールは以下のようになります。

4.「SSO管理権限者」を削除する(「SSO管理権限者」のみ)

【操作方法】
1. 管理画面の「SSO設定画面 」に移動します。
​ 
2. 削除したいSSO管理権限者の右側に表示されるゴミ箱マークをクリックします。

3.以上で「SSO管理権限者」の削除は完了です。

注意事項

  • 「SSO管理権限者」を削除しても、アカウント自体は存在しています。

  • アカウント自体を削除したい場合は、「チーム管理者」のみ対応可能です。操作方法はこちらをご確認ください。

通知メールは以下のようになります。


関連記事

こちらの回答で解決しましたか?