SAML認証によるシングルサインオン(SSO)

この機能を利用可能なユーザー権限
マスターアカウント 管理者 責任者 リーダー 担当者 カスタム権限
× × × 設定次第
      

 

SAML認証を使って、okta・OneLogin・Google Workspace(旧G Suite)・Microsoft Entra ID(旧Azure AD)などのIDプロバイダーからシングルサインオンすることができます。

当ヘルプは、boardの「シングルサインオン設定」の基本的な説明です。各IDプロバイダーの設定については、末尾の「IDプロバイダーごとの設定手順」から詳細をご確認ください。

 

アドオンは、上メニューの「設定→アドオン」から有効にできます。(マスターアカウントのみ)

 

シングルサインオン機能は、有料アドオン(月額500円・税抜)です。アドオンの料金は月額利用料に加算されるため、有効にしたタイミングから次回決済日の前日までは無料でお試しいただけます。

 

シングルサインオン設定

シングルサインオン設定画面には、上メニューの「組織設定→シングルサインオン設定」から移動できます。

 

シングルサインオン設定画面は、以下のようになっています。

*「IDプロバイダー設定」未登録時は、「IDプロバイダー設定」「サービスプロバイダー設定」タブのみ表示された状態で、「IDプロバイダー設定」が完了しますと、その他のタブも表示されます。

 

■IDプロバイダー設定

IDプロバイダーから取得した情報を設定します。

IDプロバイダーからSAMLメタデータを取得できる場合は、そのファイルを「SAMLメタデータ」からアップロードしてください。この場合は、「エンティティーID」「SSO URL」「証明書」はSAMLメタデータから自動的にセットされますので、個別の指定は不要です。

■サービスプロバイダー情報

ここに表示されている情報をIDプロバイダー側に設定してください。

■SSO動作モード

SSO動作モードを「シングルサインオン無効」「通常ログイン・シングルサインオン併用」「シングルサインオンのみ」から選択できます。

設定作業中は「通常ログイン・シングルサインオン併用」で動作確認を行い、全員がシングルサインオンできることを確認した後、「シングルサインオンのみ」に切り替えてください。

「シングルサインオンのみ」に設定すると、ログイン画面からのログインやパスワード再設定など、通常のログイン関連の機能が利用できなくなります。

■SP-initiated SSO

boardのSSOは、基本的にはIdP-initiatedとなりますが、このタブに表示されているURLにアクセスすると、設定されているIDプロバイダーへリダイレクトされます。

SP-initiated SSOをする場合は、このURLをブックマーク等してお使いください。

■管理者用SSO回避URL

障害や設定ミス等でシングルサインオンできない場合、管理者権限のユーザーのみ、ここに表示されているURLにアクセスすると、「シングルサインオンのみ」の設定になっていても通常ログインすることができます。

このURLは安全な場所に保管しておいてください。

 

新規ユーザー追加時の流れ

ユーザープロビジョニングには対応していないため、ユーザーを追加する場合は、通常のユーザー管理と同様に、上メニューの「組織設定→ユーザー管理」から登録する必要があります。

この際には、設定しているSSO動作モードに応じて、登録の方法が異なります。

■「シングルサインオン無効」「通常ログイン・シングルサインオン併用」の場合

通常と同様に、ユーザーに招待メールが送信され、受け取ったユーザーは、メール内のリンクからパスワード設定画面へ移動し、ログインできるようになります。

■「シングルサインオンのみ」の場合

ユーザーに招待メールは送信されますが、パスワード設定はなく、受け取ったユーザーは、メール内のリンクをクリックして登録確認を行うのみとなります。

なお、登録確認はメールアドレスの確認のために必須ですので、招待メールから登録確認を行うまでは、シングルサインオンすることはできません。

 

「シングルサインオンのみ」の設定で運用している間にユーザーを追加した場合は、パスワードが未設定のため、その後にシングルサインオンの運用を止める場合は、パスワードの再設定が必要です。

パスワードの再設定方法についてはヘルプをご覧ください。

 

2段階認証

SSO動作モードが「シングルサインオンのみ」の場合は、2段階認証を設定していても、2段階認証はスキップされ、Idプロバイダー経由で自動的にログインされるようになります。

*「シングルサインオン無効」「通常ログイン・シングルサインオン併用」の場合は、従来通りです。

 

捺印申請メールからのリンクについて

捺印申請のメールには、関連する画面へのリンクが記載されています。

ログインしていない状態でこのリンクをクリックした際、以下の2つの条件を満たす場合のみ、自動的にIDプロバイダーにリダイレクトされ、SP-initiated SSOすることができます。

  • メールが送信された時点で、「動作モード」が「シングルサインオンのみ」になっていること
  • リンクをクリックした時点で、「動作モード」が「シングルサインオンのみ」になっていること

上記に該当しない場合は、boardのログイン画面にリダイレクトされますので、あらかじめIDプロバイダーからシングルサインオンを行うか、ログイン画面下部の「シングルサインオン(SSO)」よりSP-initiated SSOしてください。

なお、捺印申請以外のメールに関しては、現時点では、自動的にIDプロバイダーへリダイレクトする機能には対応しておりません。

 

IDプロバイダーごとの設定手順

 

証明書の更新について

シングルサインオン設定画面では、以下の2つの方法で設定を更新できます。

  • 「SAMLメタデータ」をアップロードする登録方法
  • 「エンティティーID」「SSO URL」「証明書」を個別に入力する登録方法

上記の「SAMLメタデータ」は、エンティティID・SSO URL・証明書をセットで登録するための手段ですので、すでにboardのSSOを利用中の場合、証明書更新の時点では「エンティティーID」「SSO URL」は登録済みの状態のはずです。そのため、「エンティティーID」「SSO URL」の変更はなく、証明書の差し替えのみであれば、「証明書」のファイルのみをアップロードするかたちで問題ありません。

また、証明書更新に際しては、万が一SSOできないケースに備え、以下のいずれかを行っていただくことを推奨します。

  • 管理者用SSO回避URLを控えておき、SSOできない場合でも管理者はログインできるようにしておく
  • 証明書更新後、別ブラウザーでSSOの動作確認を行う


‹‹ boardのセキュリティー対策 oktaでのSAML認証によるシングルサイン... ››
一覧に戻る