この機能を利用可能なユーザ権限 | |||||
---|---|---|---|---|---|
マスタアカウント | 管理者 | 責任者 | リーダー | 担当者 | カスタム権限 |
○ | ○ | × | × | × | 設定次第 |
SAML認証を使って、okta・OneLogin・G Suite・Azure ADなどのIDプロバイダからシングルサインオンすることができます。
当ヘルプは、boardの「シングルサインオン設定」の基本的な説明です。各IDプロバイダの設定については、末尾の「IDプロバイダごとの設定手順」から詳細をご確認ください。
シングルサインオン機能は、有料アドオン(月額500円・税抜)です。
アドオンは、上メニューの「設定→アドオン」から有効にすることができます。(マスタアカウントのみ)
アドオンの料金は月額利用料に加算されるため、有効にしたタイミングから次回決済日の前日までは無料でお試し頂けます。
シングルサインオン設定
シングルサインオン設定画面には、上メニューの「組織設定→シングルサインオン設定」から移動することができます。
シングルサインオン設定画面は、以下のようになっています。
*「IDプロバイダ設定」未登録時は、「IDプロバイダ設定」「サービスプロバイダ設定」タブのみ表示された状態で、「IDプロバイダ設定」が完了しますと、その他のタブも表示されます。
■IDプロバイダ設定
IDプロバイダから取得した情報を設定します。
IDプロバイダからSAMLメタデータを取得できる場合は、そのファイルを「SAMLメタデータ」からアップロードしてください。この場合は、「エンティティID」「SSO URL」「証明書」はSAMLメタデータから自動的にセットされますので、個別の指定は不要です。
■サービスプロバイダ情報
ここに表示されている情報をIDプロバイダ側に設定してください。
■SSO動作モード
SSO動作モードを「シングルサインオン無効」「通常ログイン・シングルサインオン併用」「シングルサインオンのみ」から選択できます。
設定作業中は「通常ログイン・シングルサインオン併用」で動作確認を行い、全員がシングルサインオンできることを確認した後、「シングルサインオンのみ」に切り替えてください。
「シングルサインオンのみ」に設定すると、ログイン画面からのログインやパスワード再設定など、通常のログイン関連の機能が利用できなくなります。
■SP-initiated SSO
このタブに表示されているURLにアクセスすると、設定されているIDプロバイダへリダイレクトされます。
SP-initiated SSOをする場合は、このURLをブックマーク等してお使いください。
■管理者用SSO回避URL
障害や設定ミス等でシングルサインオンできない場合、管理者権限のユーザのみ、ここに表示されているURLにアクセスすると、「シングルサインオンのみ」の設定になっていても通常ログインすることができます。
このURLは安全な場所に保管しておいてください。
新規ユーザ追加時の流れ
ユーザプロビジョニングには対応していないため、ユーザを追加する場合は、通常のユーザ管理と同様に、上メニューの「組織設定→ユーザ管理」から登録する必要があります。
この際には、設定しているSSO動作モードに応じて、登録の方法が異なります。
■「シングルサインオン無効」「通常ログイン・シングルサインオン併用」の場合
通常と同様に、ユーザに招待メールが送信され、受け取ったユーザは、メール内のリンクからパスワード設定画面へ移動し、ログインできるようになります。
■「シングルサインオンのみ」の場合
ユーザに招待メールは送信されますが、パスワード設定はなく、受け取ったユーザは、メール内のリンクをクリックして登録確認を行うのみとなります。
なお、登録確認はメールアドレスの確認のために必須ですので、招待メールから登録確認を行うまでは、シングルサインオンすることはできません。
「シングルサインオンのみ」の設定で運用している間にユーザを追加した場合は、パスワードが未設定のため、その後にシングルサインオンの運用を止める場合は、パスワードの再設定が必要です。
パスワードの再設定方法についてはヘルプをご覧ください。
2段階認証
SSO動作モードが「シングルサインオンのみ」の場合は、2段階認証を設定していても、2段階認証はスキップされ、Idプロバイダ経由で自動的にログインされるようになります。
*「シングルサインオン無効」「通常ログイン・シングルサインオン併用」の場合は、従来通りです。
IDプロバイダごとの設定手順
・Okta・OneLogin
・G Suite
・Azure AD
‹‹ boardのセキュリティ対策 oktaでのSAML認証によるシングルサイン... ››