ご質問がおありですか?

SAML シングルサインオン

 

SAML(Security Assertion Markup Language)は、ユーザーが選択した ID プロバイダー(IDP)を通じて、monday.com(SP)に安全にアクセスできるようにします。これは、ある場所(ID プロバイダ)から別の場所(monday.com)にユーザの ID を転送することで機能します。ほんの数ステップで、monday.com を介して SAML を有効にすることができます。

注:SAML SSO は、エンタープライズプランでのみ利用可能です。Google シングルサインオンはプロプランとエンタープライズプランでご利用いただけます。Google シングルサインオンに関する詳細は、こちらをクリックしてください。 

 

ID プロバイダーの設定

monday.com 内で SAML SSO を設定する前に、まずはIDP と monday.com SSO (コネクタとも呼ばれる) の接続を設定することが重要です。弊社は現在3つのメインプロバイダー:OKTA、 Entra ID(旧 Azure AD)OneLogin と提携していますが、ご自身のプロバイダーを使用するオプションもあります。 

  • OKTA を使用して SAML を有効にするにはこちらをクリックしてください。 
  • OneLogin を使用して SAML を有効にするにはこちらをクリックしてください。 
  • Entra ID(旧Azure AD)はこちらをクリックしてください。 
  • カスタム SAML 2.0 を使用して SAML を有効にするには、こちらをクリックしてください。
注:現時点では、1つの monday.com アカウントに複数の ID プロバイダーを接続することはできません。ただし、複数の monday.com アカウントを1つの ID プロバイダに接続することはできます。

 

最初のステップを完了しましたので、次は monday.com アカウントを開いて、引き続き SAML SSO を設定していきましょう。次の手順に従ってください。⬇️

 

ステップ1:monday.com 向けのSAML SSO を設定する

ID プロバイダーの設定が終わったら、後は monday.com に SAML を有効にするだけです。それを実行するには画面右上隅にあるプロフィール画像をクリックし、「管理者」を選択します。

CPT2305311704-1324x735.gif

 

管理者セクションを開いたら、左にある「セキュリティ」セクションを選択します。ログインタブにある「シングルサインオン(SSO)」をクリックします。次に「SSO プロバイダーを追加」をクリックします。ここでは例として OKTA を使用しますが、希望するオプションを自由に選択していただくことができます。Untitled design (21).gif

 

リストから IDP を選択します:

Group 29 (3).png

 

注:SAMLSSO Url および ID プロバイダー発行者フィールドの形式は、各 IDP で若干異なります。リストから IDP を選択すると、IDP 内のこれらのフィールドに期待される値の形式がわかります。
リストに IDP が出てこない?大丈夫です!カスタム SAML 2.0 オプションを選択して、IDP から、SAML SSO Url および ID プロバイダー発行者フィールドを取得してください。

 

IDP の詳細を記入

以下のフィールドに IDP のデータを記入します:

  • SAML SSO URL
  • アイデンティティプロバイダー発行者
  • 公開証明書Group 31 (2).png

 

注:会社が暗号化された SAML 応答を送信することを希望している場合は、「monday.com 認定を有効にする」を選択します。これにより、monday.com が SAML 応答を確実に復号化できることを保証する、IDP に入力する公開暗号化証明書が提供されます。

 

ステップ2:SSO 接続をテストする

SSO プロバイダーに必要な情報を入力したら、次は接続をテストします。注:このステップは、アカウントで SAML を有効にするため、またはその他の変更を行う前に実行する必要があります。 

以下のように「SSO 接続をテスト」をクリックします。Group 33 (4).png

 

ステップ3:制限とパスワードポリシーを選択する

SSO を設定するとき、管理者はログイン制限ポリシーのレベルを選択する必要があります。つまり、ログインするために SSO 認証情報を使用しなければならない人、またはそれが任意であるかどうかを定義する必要があります。

重要:SSO の初期設定の際、エラーが発生した場合にパスワードでログインできるよう、SSO をオプション(3番目のオプション)にすることをお勧めします。設定が成功すれば、セレクションをアップデートすることができます。

image 1 - 2023-12-17T132534.563.png

このセクションには3つのオプションがあります:

  • オプション:1全ユーザー(ゲストも含む)は、SSO 認証を使用して monday.com にログインしなければなりません。このオプションは、すべてのユーザーがログインできるように、ID プロバイダ内から monday.com にアクセスできるようにする必要があることを意味します。
  • オプション2:ゲスト以外のユーザーは全員、SSO 認証を使用して monday.com にログインしなければなりません。一方ゲストは、代わりにメールアドレスとパスワードを使用してログインすることができます。
    • 多くの場合、ゲストは外部ユーザーであり、組織の内部 IT によって管理されていないため、これは最も一般的に使用されるポリシーオプションです。
  • オプション3:SSO 認証の使用は全員にとってオプションとなります。ユーザーとゲストは全員、SSO を通じて、またはメールアドレスとパスワードを使用してログインすることができます。

会社のセキュリティポリシーに該当する場合は、「ゲスト以外のすべてのユーザは SAML 認証を使用する必要がある」という制限オプションを使用することをお勧めします。つまり、ゲスト以外のアカウント上のすべてのユーザーは、SSO を使用してログインする必要があります。ゲストは共有ボードに招待され、通常通りメールアドレスとパスワードを使ってログインすることができます。この場合、ゲストのメールアドレスがアカウントの IDP でアクティブでなくても、ログインすることができます。

注: SSO 画面のパスワード設定は、ゲストだけが対象ではありません。これは、メールとパスワードを使用してログインするすべてのアカウントメンバーが対象です。SSO がオプションとして定義されている場合は、メンバーと閲覧者も含まれます。

パスワードポリシーの変更は新しいパスワードにのみ適用され、新規登録するユーザーやパスワードを変更した既存ユーザーに影響します。

ステップ4:SSO プロバイダーを有効化する

上記の手順1~3を終えたら、次は SSO プロバイダーを有効化しましょう。「SSO プロバイダー」ボタンをクリックすると、全 monday.com ユーザーに、選択した SSO を使用したサインインの方法を説明するメールが届きます。以上で終了です!🙌

 

プロビジョニング

デフォルトでは、monday.com は Just In Time プロビジョニングを使用します。つまり、ユーザーが存在しない場合、最初のログイン時に monday.com に作成されます。

SCIM プロビジョニングを有効にしたい場合は、トークンを生成し、IDP の指示に従って有効にしてください。monday.com は IDP Initiated Flow または SP Initiated Flow をサポートしています。Okta アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするには、こちらをクリックしてください。

さらに、OneLogin アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするにはこちらをクリックしてください。

最後に、Entra ID アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするにはこちらをクリックしてください。

 

注:SCIM プロビジョニングは、エンタープライズプランでのみ利用できます。

 

SSO が有効になるとどうなる?

SSO を設定し終えると、各メンバーに変更を伝えるメールが届きます。(SSO 制限ポリシーがオプションとして設定された場合も同様)


こちらがメール内容の例です。

mceclip3_1.png

 

このメールアドレスでは、会員の monday.com アカウントを ID プロバイダーに接続するよう促します。今後、すべてのメンバーは ID プロバイダーアカウントを使用して monday.com にサインインできるようになります。

 

SSO プロバイダーにサインインした後の一般的なエラー

ユーザーによっては、SSO を使用することができない場合があります。例えば、SSO プロバイダーのログインページにユーザーの認証情報を入力後、monday.com ページにリダイレクトされるのではなく、サインインしたユーザー「username@email.com」がアプリケーションのロールに割り当てられていないというエラーメッセージが表示されます(SSO プロバイダーによって表現が若干異なる場合があります)。つまりこのアカウントの管理者は、チームが使用している SSO プロバイダーに入って、このユーザーを monday.com アカウントに割り当て/追加しなければなりません。 

もう1つのよくある問題は、ユーザーがメールアドレスを変更した後に、ログインしようとするとエラーになることです。これについては次のセクションで詳しく説明します。

 

ユーザーのメールアドレスが変更したらどうなる?

ユーザーが SSO を使用して monday.com にログインすると、ID プロバイダー (IDP) と monday.com のユーザー ID の間でバックエンド接続が確立されます。UID(ユーザー ID)と呼ばれるこの接続は、IDP 内の個人の ID(名前、メールアドレス)と、 monday.com 内のユーザーに関連付けられたメールアドレスとを結びつけます。

そのため、ユーザーがメールアドレスを変更すると、UID (ユーザー ID) がリセットされるまで monday.com にログインできなくなります。UID がユーザーの以前のメールアドレスに接続されており、メールが更新される際に、既存の UID に自動的に接続されないためです。UID をリセットすることで、以前の接続を「解除」し、UID と新しく変更されたメールアドレスの間に新しいリンクを作成することができます。

 

ユーザーのメールアドレスが変更した場合に取るべきステップ

ユーザーのメールアドレスが変更された場合は、以下の2つの手順に従ってください。すぐにアカウントに再ログインできるようになります。⬇️

 

1. IDP および monday.com 内のユーザーのメールアドレスを変更する

何よりもまず、ID プロバイダー側と monday.com 側でユーザーのメールアドレスを変更することが重要です。monday.com のメールアドレスを変更するには、こちらの記事 の手順に従ってください。

注:管理者がユーザーのメールアドレスを変更した場合、ユーザーは新しいメールアドレスを確認する必要があります。

 

2. ユーザーの UID をリセットする 

IDP および monday.com 内でユーザーのメールが変更されたら、次はその UID をリセットします。そのためには、アカウントの管理者セクションのユーザー管理タブを開きます。そこからメールアドレスを変更したユーザーを探し、右端にある三点リーダーを押し、「SSO UID をリセット」を選択します。Group 34 (3).png

これを押すと、ユーザーは新しいメールアドレスを使用して monday.com アカウントに正常にログインできるようになります。

 

複数ユーザーのメールドメインを一括編集

管理者として、一度に複数のユーザーのメールドメインのみを一括更新し、これらのユーザーの SSO UID も即座にリセットすることができます。これを行うには、まずアカウントのユーザー管理セクションに入ります。次に、該当するユーザーをアイコンの左側にあるボックスにチェックを入れて選択し、下のペインにある「メールドメインを変更」をクリックします。 Group 28 (5).png

 

次に、新しいメールドメインを入力し、「メールドメインを変更」をクリックします。メールドメインの更新と同時に、これらのユーザーの SSO UID もリセットされます。

そして、選択したユーザーが現在のメールアドレスの変更を確認したら、すぐに準備完了です。Screenshot 2024-10-01 at 12.34.14 1.png

 

注:このアクションを実行しても、メールのプレフィックス (@ の前にあるもの) は変更されません。

 

 

 

ご不明な点がございましたら、こちらから担当チームにお問い合わせください。24時間年中無休でお答え致します。