ご質問がおありですか?

SAML シングルサインオン

 

SAML(Security Assertion Markup Language)は、ユーザーが選択した ID プロバイダー(IDP)を通じて、monday.com(SP)に安全にアクセスできるようにします。これは、ある場所(ID プロバイダ)から別の場所(monday.com)にユーザの ID を転送することで機能します。ほんの数ステップで、monday.com を介して SAML を有効にすることができます。

注:SAML SSO は、エンタープライズプランでのみ利用可能です。Google シングルサインオンはプロプランとエンタープライズプランでご利用いただけます。Google シングルサインオンに関する詳細は、こちらをクリックしてください。 

 

ID プロバイダーの設定

monday.com 内で SAML SSO を設定する前に、まずはIDP と monday.com SSO (コネクタとも呼ばれる) の接続を設定することが重要です。弊社は現在3つのメインプロバイダー:OKTA、 Entra ID(旧 Azure AD)OneLogin と提携していますが、ご自身のプロバイダーを使用するオプションもあります。 

  • OKTA を使用して SAML を有効にするにはこちらをクリックしてください。 
  • OneLogin を使用して SAML を有効にするにはこちらをクリックしてください。 
  • Entra ID(旧Azure AD)はこちらをクリックしてください。 
  • カスタム SAML 2.0 を使用して SAML を有効にするには、こちらをクリックしてください。
注:現時点では、1つの monday.com アカウントに複数の ID プロバイダーを接続することはできません。ただし、複数の monday.com アカウントを1つの ID プロバイダに接続することはできます。

 

最初のステップを完了しましたので、次は monday.com アカウントを開いて、引き続き SAML SSO を設定していきましょう。次の手順に従ってください。⬇️

 

ステップ1:monday.com 向けのSAML SSO を設定する

ID プロバイダーの設定が終わったら、後は monday.com に SAML を有効にするだけです。それを実行するには画面右上隅にあるプロフィール画像をクリックし、「管理者」を選択します。

CPT2305311704-1324x735.gif

 

管理者セクションを開いたら、左にある「セキュリティ」セクションを選択します。認証ポリシータブにある「シングルサインオン(SSO)」をクリックします。次に「SSO ポリシーを追加」をクリックします。ここでは例として OKTA を使用しますが、希望するオプションを自由に選択していただくことができます。

Copy of WF- Preview form (9).gif

リストから IDP を選択します:

Group 29 (3).png

 

注:SAMLSSO Url および ID プロバイダー発行者フィールドの形式は、各 IDP で若干異なります。リストから IDP を選択すると、IDP 内のこれらのフィールドに期待される値の形式がわかります。
リストに IDP が出てこない?大丈夫です!カスタム SAML 2.0 オプションを選択して、IDP から、SAML SSO Url および ID プロバイダー発行者フィールドを取得してください。

 

IDP の詳細を記入

以下のフィールドに IDP のデータを記入します:

  • SAML SSO URL
  • アイデンティティプロバイダー発行者
  • 公開証明書Group 31 (2).png

 

注:会社が暗号化された SAML 応答を送信することを希望している場合は、「monday.com 認定を有効にする」を選択します。これにより、monday.com が SAML 応答を確実に復号化できることを保証する、IDP に入力する公開暗号化証明書が提供されます。

 

ステップ2:SSO 接続をテストする

SSO プロバイダーに必要な情報を入力したら、次は接続をテストします。注:このステップは、アカウントで SAML を有効にするため、またはその他の変更を行う前に実行する必要があります。 

以下のように「SSO 接続をテスト」をクリックします。Group 33 (4).png

 

ステップ3:SSO プロバイダーを有効化する

上記の手順を終えたら、SSO プロバイダーを有効にしましょう。「SSO プロバイダーを追加」ボタンをクリックすると、すべての monday.com ユーザーに、選択した SSO プロバイダーを使ってサインインする方法を説明するメールが届きます。🙌

 

ステップ4:メールアドレスとパスワードポリシーを調整する

管理者は、メールアドレスとパスワードポリシーをカスタマイズできるため、ログインポリシーをより柔軟に管理することができます。この設定により、特定のユーザーを SSO 要件から簡単に除外することができ、ログイン設定をチーム独自のニーズに適応させる柔軟なソリューションを提供します。

「メールとパスワード」セクションの横にある三点リーダーをクリックして「編集」を選択すると、管理者はポリシーメンバーを選択することができます。つまり、メールアドレスとパスワードポリシーを、全員、あるいは一部のユーザーなど、誰に適用するかを定義できるのです。(例:ゲスト、単一のユーザー)

Group 12 (29).png

 

SSO を有効にする前に、メールアドレスとパスワードポリシーに変更を加えることはできません。デフォルトでは、SSO が有効化されると、メールアドレスとパスワードポリシーは「全員」から「ゲスト」に変更されます。

Group 12 (30).png

 

メールアドレスとパスワードポリシーセクションには、オプションが2つあります:

オプション1:ユーザーは全員、メールアドレスとパスワードポリシーを使用して monday.com にログインできます。

オプション2:一部のユーザーのみ(ゲスト、単一のユーザー、または両方)が、メールアドレスとパスワードポリシーを使用して monday.com にログインできます。

「一部のユーザー」で「ゲスト」を選択すると、ゲストは、メールアドレスとパスワードポリシーを使用してログインすることができます。(SSO に限りません)多くの場合、ゲストは組織の内部 IT によって管理されていない外部ユーザーであるため、これは最も一般的に使用されるポリシーオプションです。

「一部のユーザー」で「単一のユーザー」を選択すると、チームメンバーから選ばれた1名は、メールアドレスとパスワードポリシーを使用してログインすることができます。(SSO に限りません)

注:この ブレイクグラスアクセスは、例えば SSO プロバイダーに問題があり、設定変更を行うためにプラットフォームへのアクセスが必要な場合などに使用されます。

 

Copy of WF- Preview form (37).gif

会社のセキュリティポリシーに該当する場合は、「一部のユーザーのみ」のポリシーメンバーで、「ゲスト」または「ゲストと単一のユーザー」オプションを使用することをおススメします。つまり、ゲストと指定された単一のユーザー以外のアカウント上のすべてのユーザーは、SSO を使用してログインする必要があります。ゲストは共有ボードに招待され、通常通りメールアドレスとパスワードを使ってログインすることができます。この場合、ログインするためにアカウントの IDP でゲストのメールアドレスがアクティブである必要はありません。単一のユーザーオプションは、さらなる柔軟性を提供します。必要な場合に、1人のチームメンバーがメールアドレスとパスワードを使用してログインし、緊急アクセスできるようにします。

 

プロビジョニング

デフォルトでは、monday.com は Just In Time プロビジョニングを使用します。つまり、ユーザーが存在しない場合、最初のログイン時に monday.com に作成されます。

SCIM プロビジョニングを有効にしたい場合は、トークンを生成し、IDP の指示に従って有効にしてください。monday.com は IDP Initiated Flow または SP Initiated Flow をサポートしています。Okta アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするには、こちらをクリックしてください。

さらに、OneLogin アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするにはこちらをクリックしてください。

最後に、Entra ID アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするにはこちらをクリックしてください。

注:SCIM プロビジョニングは、エンタープライズプランでのみ利用できます。

 

SSO が有効になるとどうなる?

アカウントで SSO が有効になったら、管理者は全員、その旨を伝えるメールを受け取ります。


こちらがメール内容の例です。

Group 12 - 2025-03-04T182942.597.png

 

SSO プロバイダーにサインインした後の一般的なエラー

ユーザーによっては、SSO を使用することができない場合があります。例えば、SSO プロバイダーのログインページにユーザーの認証情報を入力後、monday.com ページにリダイレクトされるのではなく、サインインしたユーザー「username@email.com」がアプリケーションのロールに割り当てられていないというエラーメッセージが表示されます(SSO プロバイダーによって表現が若干異なる場合があります)。つまりこのアカウントの管理者は、チームが使用している SSO プロバイダーに入って、このユーザーを monday.com アカウントに割り当て/追加しなければなりません。 

もう1つのよくある問題は、ユーザーがメールアドレスを変更した後に、ログインしようとするとエラーになることです。これについては次のセクションで詳しく説明します。

 

ユーザーのメールアドレスが変更したらどうなる?

ユーザーが SSO を使用して monday.com にログインすると、ID プロバイダー (IDP) と monday.com のユーザー ID の間でバックエンド接続が確立されます。UID(ユーザー ID)と呼ばれるこの接続は、IDP 内の個人の ID(名前、メールアドレス)と、 monday.com 内のユーザーに関連付けられたメールアドレスとを結びつけます。

そのため、ユーザーがメールアドレスを変更すると、UID (ユーザー ID) がリセットされるまで monday.com にログインできなくなります。UID がユーザーの以前のメールアドレスに接続されており、メールが更新される際に、既存の UID に自動的に接続されないためです。UID をリセットすることで、以前の接続を「解除」し、UID と新しく変更されたメールアドレスの間に新しいリンクを作成することができます。

 

ユーザーのメールアドレスが変更した場合に取るべきステップ

ユーザーのメールアドレスが変更された場合は、以下の2つの手順に従ってください。すぐにアカウントに再ログインできるようになります。⬇️

 

1. IDP および monday.com 内のユーザーのメールアドレスを変更する

何よりもまず、ID プロバイダー側と monday.com 側でユーザーのメールアドレスを変更することが重要です。monday.com のメールアドレスを変更するには、こちらの記事 の手順に従ってください。

注:管理者がユーザーのメールアドレスを変更した場合、ユーザーは新しいメールアドレスを確認する必要があります。

 

2. ユーザーの UID をリセットする 

IDP および monday.com 内でユーザーのメールが変更されたら、次はその UID をリセットします。そのためには、アカウントの管理者セクションのユーザー管理タブを開きます。そこからメールアドレスを変更したユーザーを探し、右端にある三点リーダーを押し、「SSO UID をリセット」を選択します。Group 34 (3).png

これを押すと、ユーザーは新しいメールアドレスを使用して monday.com アカウントに正常にログインできるようになります。

 

複数ユーザーのメールドメインを一括編集

管理者として、一度に複数のユーザーのメールドメインのみを一括更新し、これらのユーザーの SSO UID も即座にリセットすることができます。これを行うには、まずアカウントのユーザー管理セクションに入ります。次に、該当するユーザーをアイコンの左側にあるボックスにチェックを入れて選択し、下のペインにある「メールドメインを変更」をクリックします。 Group 28 (5).png

 

次に、新しいメールドメインを入力し、「メールドメインを変更」をクリックします。メールドメインの更新と同時に、これらのユーザーの SSO UID もリセットされます。

そして、選択したユーザーが現在のメールアドレスの変更を確認したら、すぐに準備完了です。Screenshot 2024-10-01 at 12.34.14 1.png

 

注:このアクションを実行しても、メールのプレフィックス (@ の前にあるもの) は変更されません。

 

 

 

ご不明な点がございましたら、こちらから担当チームにお問い合わせください。24時間年中無休でお答え致します。