5分で読めます

機能

SAML（Security Assertion Markup Language）は、ユーザーが選択した ID プロバイダー（IDP）を通じて、monday.com（SP）に安全にアクセスできるようにします。これは、ある場所（ID プロバイダ）から別の場所（monday.com）にユーザの ID を転送することで機能します。ほんの数ステップで、monday.com を介して SAML を有効にすることができます。

注：SAML SSO は、エンタープライズプランでのみ利用可能です。Google シングルサインオンはプロプランとエンタープライズプランでご利用いただけます。Google シングルサインオンに関する詳細は、こちらをクリックしてください。

ID プロバイダーの設定

monday.com 内で SAML SSO を設定する前に、まずはIDP と monday.com SSO (コネクタとも呼ばれる) の接続を設定することが重要です。弊社は現在3つのメインプロバイダー：OKTA、 Entra ID（旧 Azure AD）OneLogin と提携していますが、ご自身のプロバイダーを使用するオプションもあります。

OKTA を使用して SAML を有効にするにはこちらをクリックしてください。
OneLogin を使用して SAML を有効にするにはこちらをクリックしてください。
Entra ID（旧Azure AD）は、こちらをクリックしてください。
カスタム SAML 2.0 を使用して SAML を有効にするには、こちらをクリックしてください。

注：現時点では、1つの monday.com アカウントに複数の ID プロバイダーを接続することはできません。ただし、複数の monday.com アカウントを1つの ID プロバイダに接続することはできます。

最初のステップを完了しましたので、次は monday.com アカウントを開いて、引き続き SAML SSO を設定していきましょう。次の手順に従ってください。⬇️

ステップ1：monday.com 向けのSAML SSO を設定する

ID プロバイダーの設定が終わったら、後は monday.com に SAML を有効にするだけです。それを実行するには画面右上隅にあるプロフィール画像をクリックし、「管理者」を選択します。

管理者セクションを開いたら、左にある「セキュリティ」セクションを選択します。認証ポリシータブにある「シングルサインオン（SSO)」をクリックします。次に「SSO ポリシーを追加」をクリックします。ここでは例として OKTA を使用しますが、希望するオプションを自由に選択していただくことができます。

Copy of WF- Preview form (9).gif

リストから IDP を選択します：

Group 29 (3).png

注：SAMLSSO Url および ID プロバイダー発行者フィールドの形式は、各 IDP で若干異なります。リストから IDP を選択すると、IDP 内のこれらのフィールドに期待される値の形式がわかります。
リストに IDP が出てこない？大丈夫です！カスタム SAML 2.0 オプションを選択して、IDP から、SAML SSO Url および ID プロバイダー発行者フィールドを取得してください。

IDP の詳細を記入

以下のフィールドに IDP のデータを記入します：

SAML SSO URL
アイデンティティプロバイダー発行者
公開証明書

注：会社が暗号化された SAML 応答を送信することを希望している場合は、「monday.com 認定を有効にする」を選択します。これにより、monday.com が SAML 応答を確実に復号化できることを保証する、IDP に入力する公開暗号化証明書が提供されます。

ステップ2：SSO 接続をテストする

SSO プロバイダーに必要な情報を入力したら、次は接続をテストします。注：このステップは、アカウントで SAML を有効にするため、またはその他の変更を行う前に実行する必要があります。

以下のように「SSO 接続をテスト」をクリックします。 Group 33 (4).png

ステップ3：SSO プロバイダーを有効化する

上記の手順を終えたら、SSO プロバイダーを有効にしましょう。「SSO プロバイダーを追加」ボタンをクリックすると、すべての monday.com ユーザーに、選択した SSO プロバイダーを使ってサインインする方法を説明するメールが届きます。🙌

ステップ4：メールアドレスとパスワードポリシーを調整する

管理者は、メールアドレスとパスワードポリシーをカスタマイズできるため、ログインポリシーをより柔軟に管理することができます。この設定により、特定のユーザーを SSO 要件から簡単に除外することができ、ログイン設定をチーム独自のニーズに適応させる柔軟なソリューションを提供します。

「メールとパスワード」セクションの横にある三点リーダーをクリックして「編集」を選択すると、管理者はポリシーメンバーを選択することができます。つまり、メールアドレスとパスワードポリシーを、全員、あるいは一部のユーザーなど、誰に適用するかを定義できるのです。（例：ゲスト、単一のユーザー）

Group 12 (29).png

SSO を有効にする前に、メールアドレスとパスワードポリシーに変更を加えることはできません。デフォルトでは、SSO が有効化されると、メールアドレスとパスワードポリシーは「全員」から「ゲスト」に変更されます。

Group 12 (30).png

メールアドレスとパスワードポリシーセクションには、オプションが2つあります：

オプション1：ユーザーは全員、メールアドレスとパスワードポリシーを使用して monday.com にログインできます。

オプション2：一部のユーザーのみ（ゲスト、単一のユーザー、または両方）が、メールアドレスとパスワードポリシーを使用して monday.com にログインできます。

「一部のユーザー」で「ゲスト」を選択すると、ゲストは、メールアドレスとパスワードポリシーを使用してログインすることができます。（SSO に限りません）多くの場合、ゲストは組織の内部 IT によって管理されていない外部ユーザーであるため、これは最も一般的に使用されるポリシーオプションです。

「一部のユーザー」で「単一のユーザー」を選択すると、チームメンバーから選ばれた1名は、メールアドレスとパスワードポリシーを使用してログインすることができます。（SSO に限りません）

注：このブレイクグラスアクセスは、例えば SSO プロバイダーに問題があり、設定変更を行うためにプラットフォームへのアクセスが必要な場合などに使用されます。

Copy of WF- Preview form (37).gif

会社のセキュリティポリシーに該当する場合は、「一部のユーザーのみ」のポリシーメンバーで、「ゲスト」または「ゲストと単一のユーザー」オプションを使用することをおススメします。つまり、ゲストと指定された単一のユーザー以外のアカウント上のすべてのユーザーは、SSO を使用してログインする必要があります。ゲストは共有ボードに招待され、通常通りメールアドレスとパスワードを使ってログインすることができます。この場合、ログインするためにアカウントの IDP でゲストのメールアドレスがアクティブである必要はありません。単一のユーザーオプションは、さらなる柔軟性を提供します。必要な場合に、1人のチームメンバーがメールアドレスとパスワードを使用してログインし、緊急アクセスできるようにします。

プロビジョニング

デフォルトでは、monday.com は Just In Time プロビジョニングを使用します。つまり、ユーザーが存在しない場合、最初のログイン時に monday.com に作成されます。

SCIM プロビジョニングを有効にしたい場合は、トークンを生成し、IDP の指示に従って有効にしてください。monday.com は IDP Initiated Flow または SP Initiated Flow をサポートしています。Okta アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするには、こちらをクリックしてください。

さらに、OneLogin アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするにはこちらをクリックしてください。

最後に、Entra ID アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするにはこちらをクリックしてください。

注：SCIM プロビジョニングは、エンタープライズプランでのみ利用できます。

SSO が有効になるとどうなる？

アカウントで SSO が有効になったら、管理者は全員、その旨を伝えるメールを受け取ります。

こちらがメール内容の例です。

Group 12 - 2025-03-04T182942.597.png

SSO プロバイダーにサインインした後の一般的なエラー

ユーザーによっては、SSO を使用することができない場合があります。例えば、SSO プロバイダーのログインページにユーザーの認証情報を入力後、monday.com ページにリダイレクトされるのではなく、サインインしたユーザー「username@email.com」がアプリケーションのロールに割り当てられていないというエラーメッセージが表示されます（SSO プロバイダーによって表現が若干異なる場合があります）。つまりこのアカウントの管理者は、チームが使用している SSO プロバイダーに入って、このユーザーを monday.com アカウントに割り当て/追加しなければなりません。

もう1つのよくある問題は、ユーザーがメールアドレスを変更した後に、ログインしようとするとエラーになることです。これについては次のセクションで詳しく説明します。

ユーザーのメールアドレスが変更したらどうなる？

ユーザーが SSO を使用して monday.com にログインすると、ID プロバイダー (IDP) と monday.com のユーザー ID の間でバックエンド接続が確立されます。UID（ユーザー ID）と呼ばれるこの接続は、IDP 内の個人の ID（名前、メールアドレス）と、 monday.com 内のユーザーに関連付けられたメールアドレスとを結びつけます。

そのため、ユーザーがメールアドレスを変更すると、UID (ユーザー ID) がリセットされるまで monday.com にログインできなくなります。UID がユーザーの以前のメールアドレスに接続されており、メールが更新される際に、既存の UID に自動的に接続されないためです。UID をリセットすることで、以前の接続を「解除」し、UID と新しく変更されたメールアドレスの間に新しいリンクを作成することができます。

ユーザーのメールアドレスが変更した場合に取るべきステップ

ユーザーのメールアドレスが変更された場合は、以下の2つの手順に従ってください。すぐにアカウントに再ログインできるようになります。⬇️

1. IDP および monday.com 内のユーザーのメールアドレスを変更する

何よりもまず、ID プロバイダー側と monday.com 側でユーザーのメールアドレスを変更することが重要です。monday.com のメールアドレスを変更するには、こちらの記事の手順に従ってください。

注：管理者がユーザーのメールアドレスを変更した場合、ユーザーは新しいメールアドレスを確認する必要があります。

2. ユーザーの UID をリセットする

IDP および monday.com 内でユーザーのメールが変更されたら、次はその UID をリセットします。そのためには、アカウントの管理者セクションのユーザー管理タブを開きます。そこからメールアドレスを変更したユーザーを探し、右端にある三点リーダーを押し、「SSO UID をリセット」を選択します。 Group 34 (3).png

これを押すと、ユーザーは新しいメールアドレスを使用して monday.com アカウントに正常にログインできるようになります。

複数ユーザーのメールドメインを一括編集

管理者として、一度に複数のユーザーのメールドメインのみを一括更新し、これらのユーザーの SSO UID も即座にリセットすることができます。これを行うには、まずアカウントのユーザー管理セクションに入ります。次に、該当するユーザーをアイコンの左側にあるボックスにチェックを入れて選択し、下のペインにある「メールドメインを変更」をクリックします。 Group 28 (5).png