SAML（Security Assertion Markup Language）を利用すれば、お使いの ID プロバイダー（IdP）を通じチームメンバーが monday.com（サービスプロバイダー）に安全にログインできるようになります。仕組みは、チームメンバーの認証情報を、ID プロバイダーというある場所から monday.com という別の場所へ受け渡すというシンプルなもので、monday.com での SAML 設定は、わずか数ステップで完了します。

注：SAML でのシングルサインオン（SSO）は、エンタープライズプランに限りご利用いただけます。Google アカウントを使ったシングルサインオンは、プロプランとエンタープライズプランでご利用いただけます。Google でのシングルサインオンの詳細につきましては、こちらをご覧ください。 

ID プロバイダーの設定

monday.com で SAML SSO 設定を始める前に、まず ID プロバイダー側で monday.com の SSO 接続（コネクタとも呼ばれます）を設定しておく必要があります。現在のサポート対象は Okta、Entra ID（旧 Azure AD）、OneLogin のプロバイダー3社ですが、それ以外のカスタムプロバイダーもご利用いただけます。

• Okta での SAML 設定については、こちらの関連記事をご覧ください。 
• OneLogin をお使いの場合は、こちらの関連記事をご覧ください。 
• Entra ID（旧 Azure AD）をご利用の場合は、こちらの関連記事をご覧ください。  
• 上記以外のカスタム SAML 2.0で設定される場合は、こちらの記事をご覧ください。 

注：デフォルトでは、monday.com に接続できる ID プロバイダーは、1アカウントに1つに限られますが、エンタープライズ契約の Guardian アドオンをご利用であれば、同一アカウントで複数の SSO ベンダーを併用いただけます。また、1つの ID プロバイダーに monday.com アカウントを複数接続することも可能です。

このステップが完了しましたので、monday.com のアカウントにログインして、SSO 設定の続きを行っていきましょう。以下の手順で進めてください。

monday.com の SAML SSO を設定する

ID プロバイダー側の設定が完了すれば、後は monday.com で SAML を有効にするだけです。画面右上のプロフィール画像をクリックし、管理を選択してください。

管理画面に移動したら、左側のセキュリティを選択します。認証ポリシータブにあるシングルサインオン（SSO）をクリックします。次に、SSO ポリシーを追加をクリックします。ここでは例として Okta で説明を進めますが、他のプロバイダーを選んでいただいても構いません。

リストから ID プロバイダーを選択します。

注：SAML SSO の URL や発行者フィールドの形式は、ID プロバイダーごとに若干異なります。リストからプロバイダーを選択すると、各フィールドの入力形式の例が表示されます。リストにない場合は、「カスタム SAML 2.0」を選択し、お使いの ID プロバイダーから SAML SSO の URL とID プロバイダー発行者の値をコピーし入力してください。

お使いの ID プロバイダーから取得した情報を以下のフィールドに入力します。

• SAML SSO URL
• アイデンティティプロバイダー発行者
• 公開証明書

注：組織のセキュリティを高める目的で SAML レスポンスを暗号化したいとご希望の場合は、monday 証明書を有効にするを選択してください。ここで表示される証明書を ID プロバイダー側に設定すると公開暗号化証明書が発行され、monday.com が SAMLレスポンスを正常に復号できるようになります。

SSO 接続をテストする

SSO（シングルサインオン）プロバイダーの必要事項をすべて入力したら、接続テストを実施します。この手順は、アカウントで SAML を有効にする前、またはその他の変更を行う前に必ず実行が必要です。SSO 接続をテストをクリックしてください。

SSO プロバイダを有効化する

上記の手順を完了したら、SSO プロバイダーを有効にします。SSO プロバイダーを追加をクリックすると、チームメンバー全員に、選択した SSO プロバイダーでのログイン方法が記載されたメールが届きます。

メールアドレスとパスワードのポリシーを調整する

管理者は、メールアドレスとパスワードのポリシーをカスタマイズするなど、ログインポリシーを柔軟に管理できます。この設定では、特定のメンバーだけ SSO を免除するといった例外処理が簡単にでき、チーム独自のニーズに合わせたログイン方法の調整が可能です。

メールアドレスとパスワードの横にある3点リーダーをクリックして編集を選択すると、全員、ゲストや単一のユーザーに限定などポリシーの対象とするメンバーを管理者が細かく指定できます。

SSO が実際に有効になるまでは、メールアドレスとパスワードのポリシーを変更することはできません。デフォルトでは、SSO が有効化されると、メールアドレスとパスワードのポリシーの適用範囲が全員からゲストに変更されます。

メールアドレスとパスワードのポリシーには、選択肢が2つあります。

オプション1：ユーザーは全員、メールアドレスとパスワードポリシーを使用して monday.com にログインできます。

オプション2：一部のユーザー（ゲスト、単一のユーザー、またはその両方）に限りメールアドレスとパスワードのポリシーで monday.com にログインできます。

一部のユーザーのみでゲストを選択すると、ゲストが SSO の他にもメールアドレスとパスワードでログインできるようになります。多くの場合、ゲストは自社内の IT 部門による管理対象外の外部ユーザーであるため、これが最も一般的な選択肢となります。

一部のユーザーのみで単一のユーザーを選択すると、指定したチームメンバー1名だけが、SSO 以外にもメールアドレスとパスワードでログインできるようになります。

注：この緊急用アクセス（ブレイクグラス）は、たとえば SSO プロバイダー側で問題が発生し、設定変更のためにプラットフォームへのアクセスが必要になった場合などに役立ちます。 

自社のセキュリティポリシーに合致する場合は、一部のユーザーのみの設定でゲストまたはゲストと単一のユーザーのオプションをお勧めします。この設定であれば、ゲストと指定したユーザー1名を除き、アカウントのユーザー全員に SSO でのログインを義務付け、社外のゲストは従来通りメールアドレスとパスワードでログインして共有ボードに参加できます。この場合、ゲストのメールアドレスがアカウントの ID プロバイダーに登録されている必要はありません。単一のユーザー枠を設けておけば、万一のトラブル時でも指定した1名だけがメールアドレスとパスワードでログインできるため、不測の事態への備えとして有効です。

プロビジョニング

monday.com ではデフォルトでジャストインタイム方式のプロビジョニングが採用されています。ユーザーが存在しない場合、初回のログイン時にそのユーザーのアカウントが monday.com に自動で作成されます。

SCIM プロビジョニングを有効にする場合は、トークンを生成し、ID プロバイダー側の指示に従い設定を行ってください。monday.com は、ID プロバイダー起点、SP 起点両方のログインフローに対応しています。Okta をお使いの場合は、Okta のアプリケーションカタログにある monday.com の公式アプリをご利用いただけます。有効化の手順につきましては、こちらの関連記事をご覧ください。

また、OneLogin のアプリケーションカタログには、monday.com の公式アプリが用意されています。有効化の手順につきましては、関連記事をご覧ください。 

Entra ID アプリケーションカタログにも monday.com の公式アプリが追加されました。有効化の手順は、こちらの関連記事をご覧ください。 

注：SCIM によるプロビジョニングは、エンタープライズプランに限りご利用いただけます。

SSO が有効になるとどうなる？

アカウントで SSO が有効になると、管理者全員にその旨を通知するメールが届きます。
以下はメールのサンプルです。

SSO プロバイダーにサインインした後の一般的なエラー

チームメンバーによっては、SSO の利用に問題が生じる場合があります。たとえば、SSO プロバイダーのログインページにユーザーの認証情報を入力後、monday.com のページにリダイレクトされるのではなく、サインインしたユーザー「username@email.com」はアプリケーションのロールに割り当てられていません、というエラーメッセージが表示されることがあります（文言は SSO プロバイダーにより若干異ります）。この場合は、アカウント管理者がチームで利用している SSO プロバイダーにログインし、該当のユーザーを monday.com アカウントに追加すると解決します。 

他にもよくあるのが、ユーザーがメールアドレスを変更した後にログインできなくなるというケースです。これについては次のセクションで詳しく説明します。

ユーザーのメールアドレスが変更したらどうなる？

ユーザーが SSO 経由で monday.com にログインすると、ID プロバイダーと monday.com のユーザー ID の間でバックエンド接続が確立されます。UID（ユーザー ID）と呼ばれるこの接続は、ID プロバイダー側にある個人の ID 情報（氏名とメールアドレス）を monday.com に関連付けされたメールアドレスに紐付ける役割を果たします。

そのため、ユーザーがメールアドレスを変更すると、UID（ユーザー ID）がリセットされるまで monday.com にログインできなくなります。これは、ユーザーの以前のメールアドレスと UID の紐付けが有効なままで、メールアドレスが更新されても、既存の UID に自動で紐付けられることはないためです。UID をリセットすることで、以前の接続を「解除」し、UID と新しく変更されたメールアドレスとの間に新しい紐付け（リンク）を作成できるようになります。

ユーザーのメールアドレスが変更した場合に取るべきステップ

ユーザーのメールアドレスが変更された場合は、以下の手順1、2を実行してください。これでアカウントに再ログインできるようになります。

   1ID プロバイダーと monday.com の両方でユーザーのメールアドレスを変更する   

ID プロバイダー側と monday.com 側の両方でユーザーのメールアドレスを変更することが重要です。該当するユーザーがこちらの記事に記載されている手順に従い monday.com のメールアドレスを変更してください。 

注：管理者がユーザーのメールアドレスを変更した場合、ユーザーは新しいメールアドレスを確認する必要があります。

   2 ユーザーの UID をリセットする    

ID プロバイダーと monday.com でメールアドレスが更新されたら、UID をリセットします。リセットするには、アカウントの管理画面にあるユーザー管理タブを開き、そこで、メールアドレスを変更したユーザーを探し、名前の左側にある3点リーダーメニューをクリックし、SSO UID をリセットを選択します。

これを選択すると、ユーザーが新しいメールアドレスで monday.com アカウントに正常にログインできるようになります。

複数ユーザーのメールドメインを一括で編集する

管理者は、複数のユーザーのメールドメインを一括で更新し、その SSO UID のリセットも同時に完了できます。 

設定手順は、まずアカウントのユーザー管理から始めます。対象ユーザーのアイコンの左側にあるチェックボックスをオンにして選択し、下部パネルにあるメールドメインを変更をクリックします。次に、新しいメールドメインを入力し、メールドメインを変更をクリックすると、メールドメインが更新されると同時に、ユーザーの SSO UID もリセットされます。

ユーザーが現在のメールアドレスの変更を確認を行えば、設定は完了です。

注：このアクションを実行しても、メールのプレフィックス (@ の前にあるもの) は変更されません。