SAML 2.0 シングルサインオンを設定して、チームが組織のアイデンティティプロバイダーを使用して Zenovay にアクセスできるようにします。
サポートされているアイデンティティプロバイダー
| プロバイダー | ステータス |
|---|---|
| Okta | 完全サポート |
| Microsoft Entra ID (Azure AD) | 完全サポート |
| OneLogin | 完全サポート |
| Google Workspace | 完全サポート |
| Ping Identity | 完全サポート |
| ADFS | 完全サポート |
| カスタム SAML 2.0 | サポート |
前提条件
開始する前に:
- Scale プランまたは Enterprise プランが有効
- アイデンティティプロバイダーへの管理者アクセス
- Zenovay への所有者または管理者アクセス
- 組織のメールドメインが検証済み
Zenovay SAML 情報
サービスプロバイダーの詳細
アイデンティティプロバイダーで SAML アプリケーションを設定する際にこれらの値が必要です。各ワークスペースは独自のエンティティ ID を取得します。正確な値は、Zenovay の 設定 → セキュリティ → SSO の サービスプロバイダーの詳細 セクションに表示されます。形式は以下の通りです:
| 設定 | 値 |
|---|---|
| SP エンティティ ID / Audience URI | https://auth.zenovay.com/sso/{teamId} |
| ACS URL (Assertion Consumer Service) | https://auth.zenovay.com/api/sso/saml/callback |
| メタデータ URL | https://auth.zenovay.com/api/sso/metadata/{teamId} |
| NameID 形式 | urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
| バインディング | HTTP-POST |
SP エンティティ ID と ACS URL は、手入力する代わりに Zenovay の サービスプロバイダーの詳細 セクションから直接コピーしてください。エンティティ ID はワークスペースに一意です (チーム ID で終わります)。ACS URL には完全なパスを含める必要があります。
ほとんどのアイデンティティプロバイダーは、上記の メタデータ URL をインポートして、エンティティ ID と ACS URL を自動的に入力することもできます。
値を取得する
- 設定 → セキュリティ → SSO に移動します
- サービスプロバイダーの詳細 セクションに、エンティティ ID、ACS URL、OAuth/OIDC リダイレクト URI が表示されます。各値の横のコピーボタンを使用します。
- プロバイダーを追加 をクリックして SAML を選択し、アイデンティティプロバイダーの設定を開始します。
Okta 設定
ステップ 1: Okta アプリケーションを作成
- Okta 管理コンソールにログインします
- Applications → Applications に移動します
- Create App Integration をクリックします
- SAML 2.0 を選択します
- Next をクリックします
ステップ 2: SAML 設定を構成
一般設定:
- アプリ名:
Zenovay - アプリロゴ: Zenovay ロゴをアップロード (オプション)
SAML 設定 (Zenovay の 設定 → セキュリティ → SSO から正確な Single Sign-on URL と Audience URI をコピーします):
| Okta フィールド | 値 |
|---|---|
| Single Sign-on URL | https://auth.zenovay.com/api/sso/saml/callback |
| Audience URI (SP エンティティ ID) | https://auth.zenovay.com/sso/{teamId} |
| Name ID format | EmailAddress |
| Application username |
ステップ 3: 属性ステートメント
以下の属性マッピングを追加します:
| 名前 | 値 |
|---|---|
| user.email | |
| firstName | user.firstName |
| lastName | user.lastName |
ステップ 4: IdP 値を取得
- Sign On タブに移動します
- View SAML setup instructions または Identity Provider metadata をクリックします
- 以下をメモします:
- IdP エンティティ ID (Issuer)
- IdP SSO URL (ログイン URL)
- X.509 証明書 をダウンロードします
ステップ 5: Zenovay で完了
- 設定 → セキュリティ → SSO に移動します
- プロバイダーを追加 をクリックして SAML を選択します
- 以下を入力します:
- 名前: 例えば「Okta」
- エンティティ ID: ステップ 4 の IdP エンティティ ID
- SSO URL: ステップ 4 の IdP SSO URL
- 証明書: 完全な X.509 証明書をペーストします
- 作成 をクリックします
- メールドメインを追加して検証します
- プロバイダーの 接続をテスト アクションを使用して動作確認します
Microsoft Entra ID 設定
ステップ 1: エンタープライズアプリケーションを作成
- Microsoft Entra 管理センター にサインインします
- Identity → Applications → Enterprise applications に移動します
- New application をクリックします
- Create your own application をクリックします
- 名前:
Zenovay - Integrate any other application you don't find in the gallery を選択します
ステップ 2: シングルサインオンを設定
- サイドバーの Single sign-on をクリックします
- SAML を選択します
- Basic SAML Configuration を編集します (Zenovay の 設定 → セキュリティ → SSO から正確な値をコピーします):
| Entra ID フィールド | 値 |
|---|---|
| Identifier (Entity ID) | https://auth.zenovay.com/sso/{teamId} |
| Reply URL (ACS URL) | https://auth.zenovay.com/api/sso/saml/callback |
ステップ 3: 属性を構成
Attributes & Claims を編集します:
| クレーム名 | ソース属性 |
|---|---|
| emailaddress | user.mail |
| givenname | user.givenname |
| surname | user.surname |
NameID クレーム形式が Email address に設定されていることを確認します。
ステップ 4: 証明書をダウンロードして IdP 値を取得
- SAML Signing Certificate までスクロールして Certificate (Base64) をダウンロードします
- Set up Zenovay セクションでコピーします:
- Microsoft Entra Identifier — これが IdP エンティティ ID です
- Login URL — これが SSO URL です
ステップ 5: ユーザーを割り当てる
- Users and groups に移動します
- ユーザーまたはグループを追加します
- 割り当てを保存します
ステップ 6: Zenovay で完了
- 設定 → セキュリティ → SSO に移動します
- プロバイダーを追加 をクリックして SAML を選択します
- 以下を入力します:
- 名前: 例えば「Microsoft Entra ID」
- エンティティ ID: ステップ 4 の Microsoft Entra Identifier
- SSO URL: ステップ 4 の ログイン URL
- 証明書: ダウンロードしたBase64 証明書の内容をペーストします
- 作成 をクリックします
- メールドメインを追加して検証します
- 接続をテスト アクションを使用して動作確認します
Google Workspace 設定
ステップ 1: カスタム SAML アプリを追加
- Google 管理コンソール に移動します
- Apps → Web and mobile apps に移動します
- Add App → Add custom SAML app をクリックします
ステップ 2: 詳細を入力
アプリ詳細:
- アプリ名:
Zenovay - 説明: 分析プラットフォーム
- アプリアイコン: アップロード (オプション)
ステップ 3: IdP メタデータをダウンロード
- SSO URL と エンティティ ID をコピーまたはダウンロードします
- 証明書 をダウンロードします
- Continue をクリックします
ステップ 4: サービスプロバイダーの詳細
Zenovay の 設定 → セキュリティ → SSO から正確な ACS URL とエンティティ ID をコピーします:
| Google 管理フィールド | 値 |
|---|---|
| ACS URL | https://auth.zenovay.com/api/sso/saml/callback |
| Entity ID | https://auth.zenovay.com/sso/{teamId} |
| Name ID format | |
| Name ID | Basic Information > Primary email |
ステップ 5: 属性マッピング
| Google ディレクトリ | アプリ属性 |
|---|---|
| Primary email | |
| First name | firstName |
| Last name | lastName |
ステップ 6: ユーザーに対して有効にする
- アプリをクリックします
- User access セクションに移動します
- 組織または特定の組織単位に対して ON にします
変更が Google Workspace に反映されるまで最大 24 時間かかることがあります。
ステップ 7: Zenovay で完了
- 設定 → セキュリティ → SSO に移動します
- プロバイダーを追加 をクリックして SAML を選択します
- ステップ 3 の IdP エンティティ ID、SSO URL、証明書を入力します
- 作成 をクリックします
- メールドメインを追加して検証します
- 接続をテスト アクションを使用して動作確認します
OneLogin 設定
ステップ 1: アプリケーションを追加
- OneLogin 管理に移動します
- Applications → Add App に移動します
- SAML Custom Connector (Advanced) を検索します
- 追加します
ステップ 2: 設定タブ
Zenovay の 設定 → セキュリティ → SSO から正確な Audience と Recipient/ACS 値をコピーします:
| OneLogin フィールド | 値 |
|---|---|
| Audience (EntityID) | https://auth.zenovay.com/sso/{teamId} |
| Recipient | https://auth.zenovay.com/api/sso/saml/callback |
| ACS (Consumer) URL | https://auth.zenovay.com/api/sso/saml/callback |
ステップ 3: パラメータ
パラメータを追加します:
| フィールド | 値 |
|---|---|
| firstName | First Name |
| lastName | Last Name |
ステップ 4: SSO タブ
以下の値をメモします:
- SAML 2.0 Endpoint (HTTP)
- Issuer URL
- X.509 証明書をダウンロード
ステップ 5: Zenovay で完了
- 設定 → セキュリティ → SSO に移動します
- プロバイダーを追加 をクリックして SAML を選択します
- ステップ 4 の IdP 値を入力します
- 作成 をクリックします
- メールドメインを追加して検証します
Zenovay での設定を完了
SSO プロバイダーを追加
- 設定 → セキュリティ → SSO に移動します
- プロバイダーを追加 をクリックします
- SAML を選択します
- アイデンティティプロバイダーから以下の値を入力します:
| フィールド | 説明 |
|---|---|
| 名前 | このプロバイダーのわかりやすい名前 (例:「Corporate Okta」) |
| エンティティ ID | アイデンティティプロバイダーの IdP エンティティ ID / Issuer |
| SSO URL | IdP ログイン URL / SSO エンドポイント |
| SLO URL | IdP シングルログアウト URL (オプション) |
| 証明書 | X.509 署名証明書 (BEGIN/END 行を含む完全な PEM をペーストします) |
- 作成 をクリックします
ドメインを検証
保存後、メールドメインを追加して検証します:
- ドメイン検証 セクションにメールドメイン (例:
company.com) を入力します - ドメインを検証 をクリックします
- 表示される TXT レコードをドメインの DNS に追加してから、DNS を確認 をクリックします
- 検証後、そのドメインを持つユーザーはログイン時に SSO にリダイレクトされます
接続をテスト
- プロバイダーの その他 メニューを開いて 接続をテスト を選択するか、ログインフローを直接テストします:
- プライベート/シークレットブラウザウィンドウを開きます
- auth.zenovay.com に移動します
- 検証済みドメインのメールアドレスを入力します
- アイデンティティプロバイダーで認証します
- Zenovay ダッシュボードへの正常なリターンを確認します
SSO を強制
正常なテスト後、ユーザーがパスワードでログインできないように SSO を強制できます:
- プロバイダーが有効になっていることを確認します (隣のトグル)
- プロバイダーの その他 メニューを開いて SSO を強制 を選択します
- ダイアログで確認します
SSO を強制する前に、少なくとも 1 つの所有者アカウントがメール/パスワードでログインできることを確認してください (IdP 障害時のバックアップとして)。
ユーザープロビジョニング
Just-In-Time (JIT) プロビジョニング
新しいユーザーは最初の SSO ログイン成功時に自動作成されます:
- アカウントは SAML アサーション内のメールと名前から作成されます
- 招待メールは不要です
JIT プロビジョニングされたユーザーは、特定のロール付きでワークスペースに自動的に追加されません。最初のログイン後、所有者または管理者が 設定 → ワークスペース → メンバー からチームに追加してロールを割り当てる必要がある場合があります。
トラブルシューティング
一般的な問題
| 問題 | 解決策 |
|---|---|
| 「Signature verification failed」 | IdP 証明書を再度ダウンロードして Zenovay で更新してください |
| 「Digest mismatch」 | 正しい署名証明書が構成されていることを確認します |
| 「SSO is not configured for your domain」 | SSO 設定にユーザーのメールドメインを追加して検証します |
| 「ACS URL mismatch」 | ACS URL が正確に https://auth.zenovay.com/api/sso/saml/callback であることを確認します |
| 「Entity ID mismatch」 | Audience/Entity ID が 設定 → セキュリティ → SSO に表示される値と一致していることを確認します (チーム ID で終わります) |
| 「NameID not found」 | IdP で NameID 形式を EmailAddress に設定します |
証明書の有効期限
IdP 証明書は有効期限切れになります — 事前に計画してください:
- IdP で有効期限切れ日を監視します
- 有効期限前に新しい証明書をダウンロードします
- Zenovay の SSO プロバイダーを編集して証明書を置き換えます
- 新しい証明書で接続をテストします
セキュリティのベストプラクティス
証明書管理
- 有効期限切れ日を監視する
- SHA-256 署名を使用する
- 有効期限前に証明書を更新する
属性セキュリティ
- 必要な属性のみを要求する
- 属性マッピングを確認する
- 変更を監視する
アクセス制御
- アイデンティティプロバイダーで特定ユーザー/グループを割り当てる
- 定期的にアクセスを確認する
- 条件付きアクセスポリシーを使用する