「SSO(SAML)設定」は、セキュリティオプションをご契約いただいているお客様のみご利用いただけます。
===お申し込みはこちら===
「SSO (SAML) 設定」オプションについて問い合わせる
目次
概要
バクラクシリーズでは、SSOオプション(別料金)をご契約いただくことで、SAML2.0に対応したIdentify Provider(以下IdP)と連携させることで、シングルサインオン(以下、SSO)を利用することができます。
現状バクラクシリーズでは、下記のIdPでの動作を確認しております。
・Okta
・One Login
・Azure Active Directory(Azure AD)
・Google Workspace
■留意点
※ 上記以外にもSAML 2.0に対応しているIDプロバイダ(IdP)であればご利用いただけます
※こちらのSAMLオプションは、SCIM(複数のドメイン間でユーザー認証情報をやり取りするためのプロトコル/プロビショニング)には対応しておらず、バクラクへのアカウント作成・削除は対応していません。
※IdP側からバクラクにログイン(IdP-Initiatedログイン)することも可能です。
IdP別設定方法
Google WorkspaceをIdPとしてSSOを設定する
SSO(SAML)認証オプションでできること
バクラクの[認証設定管理]からSSO(SAML)設定を行った際に「SAMLのみでログイン」の有効/無効を設定できます。
- SSO(SAML)のみでのログインを有効にした場合
- SSO(SAML)のみでのログインのみとなり、メールアドレス/パスワードでのログインはできなくなります。
- SSO(SAML)のみでのログインを無効にした場合
- SSO(SAML)もしくは、メールアドレス/パスワードのどちらでもログインができます。
※ご注意※
「SAMLのみでログイン」を有効にした場合、バクラク環境に所属する全ユーザーに対して適用されます。
一部のユーザーのみ「SAMLのみログイン」、一部のユーザーは「メールアドレス/パスワード」でログインするといった設定はできません。
SAMLのみログインの有効・無効でできること
| バクラクのSSO(SAML)設定 | |||
| 要件 | SAMLのみでログイン(有効) | SAMLのみでログイン(無効) | オプションなし |
| SSOを導入したい ※パスワードでのログインも可とする | ー | ◯ | ー |
| SSOを導入したい ※パスワードでのログインは禁止する | ◯ | ー | ー |
| Googleアカウントでログインしたい ※パスワードでのログインも可とする | ー | ー | ◯ オプション契約なしでご利用いただけます |
| Googleアカウントでのログインしたい ※パスワードでのログインは禁止する | ◯ | ー | ー |
SSO(SAML)認証オプションを利用した場合のログイン方法
バクラクにログインする場合、「IdPから直接バクラクにログインする」「バクラクのログイン画面からログイン」のいずれかの方法でログインできます。
バクラクのログイン画面からログインする場合、「SSOでログイン」のボタンが表示されます。
「SSOでログイン」ボタンをクリックし、メールアドレスを入力し、ログインしてください。
SSO(SAML)認証オプションご利用時のご注意
■IdPと連携したプロビジョニングはできません
SCIMやJITなどのプロビジョニングには現状対応していません。
例えば、ユーザーが退職された等の理由でIdP側でユーザーが無効になっても、バクラク側のユーザーは無効になりません。
バクラクのユーザーの無効化などの作業はバクラクの[ユーザー管理画面]から実施いただく必要があります。
■ユーザーの招待について
SSO(SAML)認証オプションをご利用であっても、バクラク共通管理画面の[ユーザー管理]からユーザーの招待が必要です。
また、招待メール送付後、ユーザー側で招待メールの承認URLをクリックし、バクラク環境への参加が必要になります。
※管理者権限のアカウントで強制的に「参加済」にすることはできません。
■複数のバクラク環境利用時のログインについて
複数のバクラク環境でSSO(SAML)認証設定を設定している場合、SSOでログインからメールアドレス入力後、「会社ID」の入力が必要になります。
※どの環境へのログインかを判断するため、会社IDの入力が必須になります。
「会社ID」はバクラクへログイン後、画面右上「会社名」をクリック→「会社情報」画面のテナントIDが会社IDになります。
バクラクの「SSOでログイン」をご利用される場合、事前に「会社ID」をご確認いただくもしくは、IdPからのログインをお願いいたします。
■複数のバクラク環境利用時の環境切り替えについて
画面右上の「会社名」をクリックしてご利用中のバクラク環境の切り替えができるようになっています。
「SAMLのみログイン」を有効にしている場合、都度SAML認証が行われるため、会社切り替えのたびにSSOログインが必要になります。
また、前述の通りSSOログインの際には「会社ID」の入力が求められるため、会社切り替えされる場合、IdPからログインすることを推奨いたします。
■会社IDの入力が煩雑になる場合
会社IDの入力が煩雑な場合は、お客様環境専用のログインURLをご利用いただくことも可能です。
以下のようにログインURLの末尾に ?tenant_id={環境の会社ID} をつけると、
当該環境専用のログインURLとなり、会社IDの入力を省略することができます。
例:https://id.layerx.jp/auth/sign_in_sso?tenant_id=00000000-0000-0000-0000-00000000000