SAML(Security Assertion Markup Language)は、ユーザーが選択した ID プロバイダー(IDP)を通じて、monday.com(SP)に安全にアクセスできるようにします。これは、ある場所(ID プロバイダ)から別の場所(monday.com)にユーザの ID を転送することで機能します。ほんの数ステップで、monday.com を介して SAML を有効にすることができます。
ID プロバイダーの設定
monday.com 内で SAML SSO を設定する前に、まずはIDP と monday.com SSO (コネクタとも呼ばれる) の接続を設定することが重要です。弊社は現在3つのメインプロバイダー:OKTA、 Entra ID(旧 Azure AD)OneLogin と提携していますが、ご自身のプロバイダーを使用するオプションもあります。
- OKTA を使用して SAML を有効にするにはこちらをクリックしてください。
- OneLogin を使用して SAML を有効にするにはこちらをクリックしてください。
- Entra ID(旧Azure AD)は、こちらをクリックしてください。
- カスタム SAML 2.0 を使用して SAML を有効にするには、こちらをクリックしてください。
最初のステップを完了しましたので、次は monday.com アカウントを開いて、引き続き SAML SSO を設定していきましょう。次の手順に従ってください。⬇️
ステップ1:monday.com 向けのSAML SSO を設定する
ID プロバイダーの設定が終わったら、後は monday.com に SAML を有効にするだけです。それを実行するには画面右上隅にあるプロフィール画像をクリックし、「管理者」を選択します。
管理者セクションを開いたら、左にある「セキュリティ」セクションを選択します。ログインタブにある「シングルサインオン(SSO)」をクリックします。次に「SSO プロバイダーを追加」をクリックします。ここでは例として OKTA を使用しますが、希望するオプションを自由に選択していただくことができます。
リストから IDP を選択します:
リストに IDP が出てこない?大丈夫です!カスタム SAML 2.0 オプションを選択して、IDP から、SAML SSO Url および ID プロバイダー発行者フィールドを取得してください。
IDP の詳細を記入
以下のフィールドに IDP のデータを記入します:
- SAML SSO URL
- アイデンティティプロバイダー発行者
- 公開証明書
ステップ2:SSO 接続をテストする
SSO プロバイダーに必要な情報を入力したら、次は接続をテストします。注:このステップは、アカウントで SAML を有効にするため、またはその他の変更を行う前に実行する必要があります。
以下のように「SSO 接続をテスト」をクリックします。
ステップ3:制限とパスワードポリシーを選択する
SSO を設定するとき、管理者はログイン制限ポリシーのレベルを選択する必要があります。つまり、ログインするために SSO 認証情報を使用しなければならない人、またはそれが任意であるかどうかを定義する必要があります。
このセクションには3つのオプションがあります:
- オプション:1全ユーザー(ゲストも含む)は、SSO 認証を使用して monday.com にログインしなければなりません。このオプションは、すべてのユーザーがログインできるように、ID プロバイダ内から monday.com にアクセスできるようにする必要があることを意味します。
-
オプション2:ゲスト以外のユーザーは全員、SSO 認証を使用して monday.com にログインしなければなりません。一方ゲストは、代わりにメールアドレスとパスワードを使用してログインすることができます。
- 多くの場合、ゲストは外部ユーザーであり、組織の内部 IT によって管理されていないため、これは最も一般的に使用されるポリシーオプションです。
- オプション3:SSO 認証の使用は全員にとってオプションとなります。ユーザーとゲストは全員、SSO を通じて、またはメールアドレスとパスワードを使用してログインすることができます。
会社のセキュリティポリシーに該当する場合は、「ゲスト以外のすべてのユーザは SAML 認証を使用する必要がある」という制限オプションを使用することをお勧めします。つまり、ゲスト以外のアカウント上のすべてのユーザーは、SSO を使用してログインする必要があります。ゲストは共有ボードに招待され、通常通りメールアドレスとパスワードを使ってログインすることができます。この場合、ゲストのメールアドレスがアカウントの IDP でアクティブでなくても、ログインすることができます。
注: SSO 画面のパスワード設定は、ゲストだけが対象ではありません。これは、メールとパスワードを使用してログインするすべてのアカウントメンバーが対象です。SSO がオプションとして定義されている場合は、メンバーと閲覧者も含まれます。
パスワードポリシーの変更は新しいパスワードにのみ適用され、新規登録するユーザーやパスワードを変更した既存ユーザーに影響します。
ステップ4:SSO プロバイダーを有効化する
上記の手順1~3を終えたら、次は SSO プロバイダーを有効化しましょう。「SSO プロバイダー」ボタンをクリックすると、全 monday.com ユーザーに、選択した SSO を使用したサインインの方法を説明するメールが届きます。以上で終了です!🙌
プロビジョニング
デフォルトでは、monday.com は Just In Time プロビジョニングを使用します。つまり、ユーザーが存在しない場合、最初のログイン時に monday.com に作成されます。
SCIM プロビジョニングを有効にしたい場合は、トークンを生成し、IDP の指示に従って有効にしてください。monday.com は IDP Initiated Flow または SP Initiated Flow をサポートしています。Okta アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするには、こちらをクリックしてください。
さらに、OneLogin アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするにはこちらをクリックしてください。
最後に、Entra ID アプリケーションカタログに monday.com の公式アプリケーションがあります。有効にするにはこちらをクリックしてください。
SSO が有効になるとどうなる?
SSO を設定し終えると、各メンバーに変更を伝えるメールが届きます。(SSO 制限ポリシーがオプションとして設定された場合も同様)
こちらがメール内容の例です。
このメールアドレスでは、会員の monday.com アカウントを ID プロバイダーに接続するよう促します。今後、すべてのメンバーは ID プロバイダーアカウントを使用して monday.com にサインインできるようになります。
SSO プロバイダーにサインインした後の一般的なエラー
ユーザーによっては、SSO を使用することができない場合があります。例えば、SSO プロバイダーのログインページにユーザーの認証情報を入力後、monday.com ページにリダイレクトされるのではなく、サインインしたユーザー「username@email.com」がアプリケーションのロールに割り当てられていないというエラーメッセージが表示されます(SSO プロバイダーによって表現が若干異なる場合があります)。つまりこのアカウントの管理者は、チームが使用している SSO プロバイダーに入って、このユーザーを monday.com アカウントに割り当て/追加しなければなりません。
もう1つのよくある問題は、ユーザーがメールアドレスを変更した後に、ログインしようとするとエラーになることです。これについては次のセクションで詳しく説明します。
ユーザーのメールアドレスが変更したらどうなる?
ユーザーが SSO を使用して monday.com にログインすると、ID プロバイダー (IDP) と monday.com のユーザー ID の間でバックエンド接続が確立されます。UID(ユーザー ID)と呼ばれるこの接続は、IDP 内の個人の ID(名前、メールアドレス)と、 monday.com 内のユーザーに関連付けられたメールアドレスとを結びつけます。
そのため、ユーザーがメールアドレスを変更すると、UID (ユーザー ID) がリセットされるまで monday.com にログインできなくなります。UID がユーザーの以前のメールアドレスに接続されており、メールが更新される際に、既存の UID に自動的に接続されないためです。UID をリセットすることで、以前の接続を「解除」し、UID と新しく変更されたメールアドレスの間に新しいリンクを作成することができます。
ユーザーのメールアドレスが変更した場合に取るべきステップ
ユーザーのメールアドレスが変更された場合は、以下の2つの手順に従ってください。すぐにアカウントに再ログインできるようになります。⬇️
1. IDP および monday.com 内のユーザーのメールアドレスを変更する
何よりもまず、ID プロバイダー側と monday.com 側でユーザーのメールアドレスを変更することが重要です。monday.com のメールアドレスを変更するには、こちらの記事 の手順に従ってください。
注:管理者がユーザーのメールアドレスを変更した場合、ユーザーは新しいメールアドレスを確認する必要があります。
2. ユーザーの UID をリセットする
IDP および monday.com 内でユーザーのメールが変更されたら、次はその UID をリセットします。そのためには、アカウントの管理者セクションのユーザー管理タブを開きます。そこからメールアドレスを変更したユーザーを探し、右端にある三点リーダーを押し、「SSO UID をリセット」を選択します。
これを押すと、ユーザーは新しいメールアドレスを使用して monday.com アカウントに正常にログインできるようになります。
複数ユーザーのメールドメインを一括編集
管理者として、一度に複数のユーザーのメールドメインのみを一括更新し、これらのユーザーの SSO UID も即座にリセットすることができます。これを行うには、まずアカウントのユーザー管理セクションに入ります。次に、該当するユーザーをアイコンの左側にあるボックスにチェックを入れて選択し、下のペインにある「メールドメインを変更」をクリックします。
次に、新しいメールドメインを入力し、「メールドメインを変更」をクリックします。メールドメインの更新と同時に、これらのユーザーの SSO UID もリセットされます。
そして、選択したユーザーが現在のメールアドレスの変更を確認したら、すぐに準備完了です。
注:このアクションを実行しても、メールのプレフィックス (@ の前にあるもの) は変更されません。
ご不明な点がございましたら、こちらから担当チームにお問い合わせください。24時間年中無休でお答え致します。
コメント