ビジネスプラン・エンタープライズプランでは、SAML2.0の認証を用いたSSOを設定することができます。
これにより、IDプロバイダー (IdP)でメールアドレスとパスワードを一括管理し、セキュリティ強化を実現できます。
なお、クラウドサインを複数チームでご契約いただいている場合、全てのチームのSSO設定を一元管理することも可能です。
エンタープライズプランにてSSO・IDプロバイダー連携機能をご利用の場合はこちらをご確認ください。
注意事項
SSOを有効にすると、メールアドレスとパスワードでログインできなくなります。
SSOが有効中はクラウドサインの2要素認証の機能をご利用いただけません。
SP initiatedのみ対応しております。
ユーザープロビジョニングは対応しておりません。
事前準備
1. SSO管理権限とは
2. IDプロバイダー側の設定(SAML2.0)
3. クラウドサイン側のSSO設定
4. SSOの有効化2. チームのSSOを無効にする
3. 「SSO管理権限者」を追加する
4. 「SSO管理権限者」を削除する
利用開始方法
既にクラウドサインをご利用中のお客様は、カスタマーサクセス担当またはクラウドサインのWebサイト画面右下のチャットサポートまでご相談ください。
クラウドサインのご利用をご検討中のお客様は、以下よりお問合せください。
事前準備
「SSO機能」の利用申込みをし、下記3つ「2.IDプロバイダー側の設定」「3.クラウドサイン側のSSO設定」「4.SSOの有効化」を行い、SSO設定の設定を完了させてください。
なお、事前準備は「SSO管理権限者」のみ操作可能です。
1. SSO管理権限とは
SSOに関する設定、権限の付与/削除ができる権限です。
「SSO管理権限」を持っているユーザーのみ、「SSO設定画面 」にアクセスすることができ、チームのSSO有効・無効化、SSO管理権限者を追加・削除が可能です。
「SSO管理権限者」として追加できるユーザーは、SSO設定を共有している かつ ビジネスプランをご契約中のチームに所属しているメンバー に限られます。
2. IDプロバイダー側の設定(SAML2.0)
OpenID Connectの設定方法はこちらをご覧ください。
ご利用中のIDプロバイダーにアクセスし、クラウドサインの「SSO設定画面」に記載されているAudienceとACS URLを各プロパイダごとのマニュアルを元に設定してください。
SSO設定画面 >IDプロバイダーの設定>サービスプロバイダ情報
下記のIDプロバイダーをご利用可能です。
以下はIDプロバイダー提供元のサイトに遷移します
上記以外のIDプロバイダーでも、SAML 2.0対応であればご利用いただけます。
3. クラウドサイン側のSSO設定
ご利用中のIDプロバイダーからメタデータファイルをダウンロードし、クラウドサインの 「SSO設定画面」よりアップロードしてください。
メタデータファイルのダウンロード方法は、ご利用中のIDプロバイダーにご確認ください。
SSO設定画面 >IDプロバイダーの設定>メタデータファイルの設定>ファイルを選択
4. SSOの有効化
「SSO設定」より、有効にしたいチームを選択してください。
SSO設定画面 >SSO設定
注意事項
SSOを有効にした場合、24時間後にパスワードおよび2要素認証の設定が削除されます。
SSO有効中は、パスワードおよび2要素認証の設定はできません。
SSOを有効にした場合、有効となったチームのSSO管理権限者とチーム管理者に、通知メールが送信されます。
SSOの設定変更
1.ご利用中のIDプロバイダーを変更する(「SSO管理権限者」のみ)
すでにSSOをご利用いただいており、別のIDプロバイダーに変更したい場合は以下の手順で可能です。
例:ONELoginからAuth0に変更したい
【操作方法】
1.変更先のIDプロバイダーからメタデータファイルをダウンロードします。
2.管理画面の「SSO設定画面」 >「IDプロバイダーの設定」に移動します。
この時、別ブラウザで同管理画面を開いておくことを推奨しております(復旧用)。
そうすることで、設定誤りなどからSSOができない状態になった場合も、別ブラウザの方からSSO設定をOFFにしていただくことが可能です。
例) 動作確認用ブラウザ:Edge 、 別ブラウザ:chrome
3. 2の画面より、メタデータファイルの設定>「ファイルの変更」で、新しいIDプロバイダーのメタデータファイルをアップロードします。
以上でIDプロバイダーの変更作業は完了です。
注意事項
すでにSSOをご利用いただいており、IDプロバイダーの変更を行う場合は弊社へのお申し込みは不要です。お申し込みは新規でSSOをご利用いただく場合のみ必要です。
サービスプロバイダ情報の「Audience」と「ACS URL」は変更不要です。この値は各チーム固有で払い出される情報のため、変更されることはありません。
新しいメタデータファイルをアップロードした時点で、新しいIDプロバイダーに切り替わります。
2. チームのSSOを無効にする(「SSO管理権限者」のみ)
【操作方法】
1. 管理画面の「SSO設定画面 」に移動します。
2. 「SSO設定」より、無効にしたいチームを選択してください。
SSOが無効になると、通常のパスワードを用いたログイン方法に切り替わります。
3.以上でSSOの無効設定は完了です。
SSOを無効にした場合、無効となったチームのメンバー全員に、パスワード再設定のメールが送信されます。
SSOの有効化から24時間以内に無効化された場合、パスワード再設定メールは送信されません。元々使われていたパスワードを継続してご利用いただけます。
3.「SSO管理権限者」を追加する(「SSO管理権限者」のみ)
【操作方法】
1. 管理画面の「SSO設定画面 」に移動します。
2. 「SSO管理権限者」の「 + SSO管理権限者を追加」をクリックします。
3. SSO管理権限を付与したいメンバーのメールアドレスを入力し、追加します。
追加可能なメンバーは、SSO設定が有効かつビジネスプランをご契約中のチームに所属しているメンバーに限られます。
4.以上で「SSO管理権限者」の追加は完了です。
SSO管理権限者が追加された場合、通知メールが下記対象者に送信されます。
SSO管理権限者として追加された本人
SSO管理権限者全員
SSO管理権限者として追加された本人が所属するチームのチーム管理者
通知メールは以下のようになります。
4.「SSO管理権限者」を削除する(「SSO管理権限者」のみ)
【操作方法】
1. 管理画面の「SSO設定画面 」に移動します。
2. 削除したいSSO管理権限者の右側に表示されるゴミ箱マークをクリックします。
3.以上で「SSO管理権限者」の削除は完了です。
注意事項
「SSO管理権限者」を削除しても、アカウント自体は存在しています。
アカウント自体を削除したい場合は、「チーム管理者」のみ対応可能です。操作方法はこちらをご確認ください。
通知メールは以下のようになります。
