SAML認証(SSO)を設定する

概要

ここではSAML認証(SSO)でのログインについて説明します。

機能説明

  • SAML SSOを有効にすると、ご利用中のIDプロバイダ(IdP)経由でTRACERYにアクセスできます。

  • 2023/2/14現在、下記のIDプロバイダの動作確認を行っております。

    • Google Workspace

    • OneLogin

  • SSOでのログインはエンタープライズプランでのみ提供しております。

  • 詳細はサイト内のお問い合わせ、または support@tracery.jp よりご連絡ください。

👉 エンタープライズプランについてはこちら

SSOの設定方法

1. IDプロバイダ(IdP)の設定を行う

  • TRACERYの「ワークスペース設定 > SAMLシングルサインオン設定」の「サービスプロバイダ(SP)の設定」にて設定に必要な情報を確認できます。

  • 「サービスプロバイダ(SP)の設定」に記載されている情報をお使いのIDプロバイダに設定します。

saml_sso_1

2. TRACERY側の設定を行う

  • TRACERYの「ワークスペース設定 > SAMLシングルサインオン設定」に遷移します。

  • 「IDプロバイダ(IdP)の設定」にてIDプロバイダからダウンロードしたmetadataファイルをアップロードするか、各入力エリアに必要情報を入力します。

saml_sso_2

3. SAML SSOを有効にする

TRACERYの「ワークスペース設定 > SAMLシングルサインオン設定」の「SAMLシングルサインオンの設定」にて「有効にする」をクリックすると、SAML認証が有効になります。

saml_sso_3

SSOを有効にするにあたっては、「パスワード認証・SAML SSO併用」と「SAML SSOのみ有効」の2つの認証モードがあります。 ユーザーがログイン時にSAML SSOのみを使用でき、他の方法を使用できないようにするには、認証モードを「SAML SSOのみ有効」に更新します。

緊急時のログイン

SSOを有効にしている場合、IDプロバイダーの停止などでTRACERYにログインできなくなる場合があります。 この場合、管理者(役割が「オーナー」および「管理者」)のみ緊急時のログインURLからパスワード認証でTRACERYにログインできます。

緊急時のログインURL: https://{ワークスペースのサブドメイン}.tracery.jp/login/emergency/

SAML SSO有効時における既存アカウントの扱い

  • SSO有効前にすでに登録済みのアカウントについては、SSO有効後にメールアドレスが一致していればそのままアカウントが継承されます。

  • TRACERYにすでに登録済みのアカウントのメールアドレスとIDプロバイダに登録しているメールアドレスが違う場合は以下の作業が必要です。

    • 「ワークスペース設定 > プロフィール設定」の「メールアドレス変更」よりIDプロバイダのメールアドレスに変更

  • TRACERYに登録されていないメールアドレスを持つアカウントでSSOログインを行ったとき、ジャストインタイムプロビジョニングによりそのメールアドレスを持つユーザーとして新たに登録されます。

ジャストインタイムプロビジョニング

TRACERYは、SAML SSOの使用時にジャストインタイムプロビジョニングをサポートしています。 これにより、SAML SSOでサインインしたユーザーは、メンバーとしてワークスペースに自動的に参加できます。

ユーザー名について

  • ジャストインタイムプロビジョニングにより登録されたユーザーのユーザー名はメールアドレスのアカウントの文字列が設定されます。

  • TRACERYではIDプロバイダ側の「属性マッピング」にてサービスプロバイダの属性に「name」を設定することでIDプロバイダの情報をユーザー名にマッピングできます。

役割について

  • ジャストインタイムプロビジョニングにて登録されたユーザーは役割が「メンバー」として登録されます。

  • 但し役割が「ゲスト」として招待されているユーザーは「ゲスト」として登録されます。

SAML SSO利用時のIDプロバイダとのアカウント情報の同期

SAML SSO利用時に、TRACERYからはIDプロバイダでアカウントが無効にされたことを検出できません。 このため、IDプロバイダ側でアカウントを無効にしたときは、TRACERYチームの「オーナー」、「管理」の役割のメンバーは対応するTRACERYアカウントを無効にしてください。