SSO連携
組織のIDプロバイダー(IdP)と連携し、SSO(シングルサインオン)を通じて統合された認証方式でサービスにアクセスできます。
このガイドでは、組織管理者が OIDC(OpenID Connect) プロトコルを使用してSSO連携を設定する方法について説明します。
本機能はEnterpriseプラン以上で提供されます。
手順
以下は、SSO設定のための全体的な手順の概要です。
ステップ1:組織所有ドメインの登録
- 目的:組織のメールドメインの所有権を証明
- 主な作業:ドメインの追加およびDNS TXTレコードの検証
ステップ2:OIDC連携の設定
- 目的:IdPとサービス間の認証連携を構成
- 主な作業:OIDCアプリケーションの作成と情報入力
ステップ3:SSOログインの有効化
- 目的:SSO機能の有効化とポリシーの適用
- 主な作業:SSO有効化トグルのオン、およびポリシーの確認
SSO設定
SSO設定は、大きく分けて 組織所有ドメインの登録 と OIDC連携設定 の2つのステップで構成されます。
各ステップを順に進め、最後にSSOログインを有効化するプロセスを経ます。
ステップ1:組織所有ドメインの登録
組織のメールドメインの所有権を証明し、登録するステップです。
このステップで登録されたドメインを基準に、SSOログインを適用するユーザーを識別します。
このステップを省略した場合、ユーザーはIdPから直接ログインのみ実行できます。
- Organization Settings > SSO メニューに移動します。
- Domain Management (HRD) セクションで ドメイン追加 ボタンをクリックし、
ポップアップで組織で使用するメールドメイン(例:your-company.com)を入力します。
- ドメインの重複有無を確認した後、ドメインを追加します。ドメインがリストに追加され、初期状態は Pending です。
- 追加されたドメイン項目の “詳細” ボタンをクリックし、DNS TXTレコードに登録する検証キーの値を確認します。
(例:aip-domain-verification=...)
- 組織のDNSプロバイダーの設定ページに移動し、確認した TXTレコード の値を追加します。
- DNS設定が反映された後、再度SSO設定ページに戻り、該当ドメインの “検証” ボタンをクリックします。
検証に成功すると、ステータスが Verified に変更されます。
失敗した場合は Failed と表示され、詳細ページでエラー原因を確認し、DNS設定を修正する必要があります。
ステップ2:OIDC連携設定
IdP(IDプロバイダー)の作成
まず、使用中のIdP(例:Okta、Azure ADなど)でOIDCクライアントアプリケーションを作成する必要があります。
以下は、アプリケーションに設定する必要がある サービスプロバイダー情報 です。
| 項目 | 値 | 説明 |
|---|---|---|
| Grant Type | authorization_code | 認可コード(Authorization Code)方式。サーバーベースのアプリケーションで使用されます。 |
| Scopes | openid, email, profile | 必須のOpenID Connectスコープです。 |
| Client Authentication Method | client_secret_basic または client_secret_post | IdPとトークン交換時に使用する認証方式です。デフォルトは client_secret_basic です。 |
IdPでアプリケーションの作成を完了すると、Client ID と Client Secret の値が発行されます。
これらの値は次のステップで入力する必要があります。
サービスにIdP設定情報を入力
- 作成したOIDCアプリケーションから発行された以下の情報を正確に入力します。
- Issuer URL: IdPの一意識別子URL(例:
https://idp.your-company.com) - Client ID: OIDCアプリケーションのクライアントID
- Client Secret: OIDCアプリケーションのクライアントシークレット
- Client Authentication Method: IdPとトークン交換時に使用する認証方式
Issuer URLの確認
Issuer URLは、必ず .well-known/openid-configuration エンドポイントを通じてOIDC構成を照会できる必要があります。
- すべての情報を入力した後、“保存” ボタンをクリックします。
正常にOIDC連携構成を完了すると、
Callback URL、Initial Login URLの値が発行されます。 これらの値は、次のステップでIdPに登録する必要があります。
IdPにサービス情報を登録
作成したOIDCアプリケーションに、サービスから発行された以下の情報を登録します。
| 項目 | 説明 | 例 |
|---|---|---|
| Callback URL | 認証完了後、IdPがリダイレクトするURL |  |
| Initial Login URL | IdPから直接SSOログインを開始する際に使用するURL |  |
ステップ3:SSOログインの有効化
すべての設定が完了したら、最後にSSOログイン機能を有効化し、
組織内のユーザーがSSOを通じてログインできるように適用します。
- SSO設定 ページ上部の “SSO有効化” トグルをオンにすると、機能が適用されます。
- SSOが正常に有効化されると、Verified 状態のドメインに該当するメールアドレスは、
もはやGoogle、GitHubなどのソーシャルログインを使用できなくなり、必ず組織のSSOを通じてのみログインする必要があります。
設定変更の制限
SSOが 有効 な状態では、構成情報を修正することはできません。
設定を変更するには、まずSSOを 無効 にする必要があります。
SSOによるユーザーログイン
SSOが有効化された後、組織のユーザーは以下の手順に従ってSSOを通じてログインできます。
- ログインページで “Using Single Sign-On” ボタンをクリックします。
- SSOを使用して接続する組織のメールアドレス(検証済みのドメインを使用)を入力します。
- 組織のIdPログインページにリダイレクトされ、IdPアカウントで認証を完了します。
- 認証に成功すると、直ちに組織にアクセスできます。
- 新規ユーザーの場合、デフォルトの組織は作成されません。
ログインの例外処理
- 登録されていない、または非アクティブなドメインのメールアドレス を入力すると、例外処理となります。
- 組織ドメインが設定されていない状態 では、組織に属していないユーザーのソーシャルログインを制限することはできません。