基本情報
SAML※1を用いて、IDプロバイダー(IdP)と連携してクラウドサインのアカウント作成ができる機能(JITプロビジョニング)です。
クラウドサインではSSO※2機能と合わせてご提供しています。
※1 SAML:クラウドのリソースを含めたSSO実装に使う仕組みで、異なるインターネットドメイン間でユーザー認証を行うための標準規格です。クラウドサインではSAML認証を利用してSSOを実現しています。
※2 SSO:シングルサインオンの略です。1組のID・パスワードによる認証を1度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組みです。
連携できる情報は以下のとおりです。
属性 | 項目(IdP側から送信するときの名称) | 必須 | 備考 |
メールアドレス |
| 必須 | メールアドレスのみ標準化されたスキーマ定義を使用しています |
氏名 | username | 任意 | 空の場合、連携されたメールアドレスの「@以前(localpart)」がクラウドサインにおける氏名として設定されます |
会社名 | organization | 任意 |
|
メンバーグループID | member_group_ids | 任意 | IdP連携を利用する場合、カンマ区切りで複数メンバグループを連携できます 一人あたりに連携可能なメンバーグループ数は最大で60個です |
利用開始方法
お使いのIDプロバイダーがSAML2.0に対応しているか、ご確認ください。
事前準備
「IDプロバイダー側の設定」「クラウドサイン側のSSO設定」「組織のSSOの有効化」を行い、JITプロビジョニング及びSSOの設定を完了させてください。
なお、事前準備は「組織管理者」のみ操作可能です。
■IDプロバイダ側の設定
ご利用中のIDプロバイダーにアクセスし、クラウドサインの「SSO設定画面」に記載されているAudienceとACS URLを各IDプロパイダーごとのマニュアルを元に設定してください。
SSO設定画面 >IDプロバイダーの設定>サービスプロバイダ情報
下記のIDプロバイダをご利用可能です。
OneLogin
Auth0
上記以外のIDプロバイダー(IdP)でも、SAML 2.0対応であればご利用いただけます。
■クラウドサイン側のSSO設定
ご利用中のIDプロバイダーからメタデータファイルをダウンロードし、クラウドサインの 「SSO設定画面」よりアップロードしてください。
SSO設定画面 >IDプロバイダーの設定>メタデータファイルの設定>ファイルを選択
■組織のSSOを有効にする
「SSO設定」より、組織のSSOを有効にしてください。
SSO設定画面 >SSO設定
SSOを有効にした場合、有効となった組織の管理者全員に、通知メールが送信されます。
機能紹介
■組織のSSOを無効にする
管理画面の「SSO設定画面 」より、組織のSSOを無効にしてください。
SSOを無効にした場合、無効となった組織のメンバー全員に、パスワード再設定のメールが送信されます。
SSOの有効化から24時間以内に無効化された場合、パスワード再設定メールは送信されません。元々使われていたパスワードを継続してご利用いただけます。
注意事項
SSOを有効にすると、メールアドレスとパスワードでログインできなくなります。
SSOを有効にした場合、24時間後にパスワードおよび2要素認証の設定が削除されます。
SSOが有効中は、パスワードおよび2要素認証の設定はできません。
SSOを有効にすると、クラウドサインにアカウントがない状態でログインを行っても、IDプロバイダーから連携された情報をもとに即座にアカウントが作成されます(JITプロビジョニング機能)。
お使いのIDプロバイダーがユーザー毎のカスタム属性をサポートしていない場合、JITプロビジョニングは可能ですが、会社名やメンバーグループIDなどの情報が連携できない場合があります。
JITプロビジョニング機能で連携された情報は、クラウドサイン上で更新することが可能です。更新した情報はIDプロバイダーには連携されません。
JITプロビジョニングおよびSSO機能はSP-Initiated※3でのみ提供されます。
JITプロビジョニング機能における情報連携は、アカウント作成時にのみ行われます。アカウントが作成された後はIDプロバイダーの情報は連携されません。
JITプロビジョニング機能はエンタープライズプランをご利用のお客様のみお使いいただけます。
複数ドメインの利用はできません。
※3 SP-Initiated:クラウドサインを起点に、IDプロバイダーへのログイン要求を行う方式です。