SSO 接続のセットアップとテストが完了したら、SSO を強制して、チームが Zenovay のパスワードではなく組織のアイデンティティプロバイダー (IdP) 経由でサインインするようにできます。このガイドでは、強制が誰に適用されるのか、なぜ所有者と管理者が常にバックアップとしてパスワードを保持するのか、個人用メールアドレスを持つメンバーがどのようにサインインするのかを正確に説明します。
情報
SSO の強制は最初のステップではなく、最後のステップです。まず SAML 設定 または OAuth / OIDC セットアップ を使用してプロバイダーを設定して検証し、テストサインインが動作することを確認してから、強制を有効にしてください。
SSO ルーティングの仕組み (重要な考え方)
Zenovay は、サインイン時に入力されたメールアドレスのドメインを、SSO プロバイダー用に検証済みのドメインと照合して、その人を IdP に送るかどうかを判断します。
- メールのドメインが検証済みドメイン (例:
@acme.com) と一致する場合、Zenovay はその人を IdP にルーティングします。 - 一致しない場合 (例:個人用の
@gmail.comアドレス)、IdP はそのドメインを管理していないため、Zenovay はその人を IdP にルーティングできません。
このひとつのルールが、以下のすべてのケースを説明します。
「SSO を強制」で変わること
| 強制オフ | 強制オン | |
|---|---|---|
| 検証済みドメインのメールを持つメンバー | パスワードまたは SSO を選択できる | IdP 経由でサインインしなければならない |
| 検証済みドメインのメールを持つ所有者または管理者 | パスワードまたは SSO を選択できる | パスワードアクセス (ブレークグラス) を保持し、引き続き SSO も使用できる |
| 誰でも (任意のメール) | 「Continue with SSO」ボタンが常に利用可能 | 「Continue with SSO」ボタンが常に利用可能 |
強制をオンにすると、検証済みドメインのメールを入力した一般メンバーはそのまま IdP に送られ、Zenovay のパスワードにフォールバックできなくなります。
所有者と管理者はパスワードを保持する (ブレークグラス)
ワークスペースの所有者と管理者は、強制から意図的に除外されており、常に自分のパスワードでサインインできます。
情報
これは安全機構であり、見落としではありません。万が一 IdP に障害や設定ミス (証明書の期限切れ、エンドポイントの変更) が発生した場合、厳格な強制では本来全員が締め出されてしまい、SSO 設定を修正するためにサインインする必要があるまさにその人たちまで含まれてしまいます。所有者と管理者にパスワードの経路を残しておくことで、いつでも復帰できることが保証されます。
所有者と管理者は、サインイン画面の Continue with SSO オプションを使用して、いつでも SSO 経由でサインインできます。強制は単に、彼らにそれを強制しないだけです。
警告
このトレードオフは理解しておく価値があります。所有者や管理者はパスワードでサインインできるため、そのパスワードは IdP を経由しないワークスペースへの入口になります。所有者と管理者のアカウントは、強力で一意なパスワードと 多要素認証 で保護し、管理者の数は少なく保ってください。
個人用メールアドレスを持つメンバー
検証済みドメインにないアドレス (例えば個人用の @gmail.com を使う業務委託者) で追加されたチームメイトは、そのメールがアイデンティティプロバイダーに属していないため、SSO を使用できません。彼らは通常どおり Zenovay のパスワードでサインインします。
これは想定された動作であり、回避すべき欠陥ではありません。SSO は検証するドメインに紐づいているため、それらのドメインの外にいる人は単に SSO ユーザーではありません。全員に IdP 経由で認証してほしい場合は、すべてのメンバーが、SSO 用に検証したドメインのメールで招待されていることを確認してください。
誰でも手動で SSO を選択できる
auth.zenovay.com のサインイン画面にある Continue with SSO ボタンは常に利用可能です。ユーザーはこれを選択し、会社のドメインを入力して、強制の有無に関わらず IdP 経由で認証できます。強制は、検証済みドメインのメンバーがメールを入力したときに SSO の経由を求められるかどうかだけを制御します。
強制をオンにする
まずドメインを検証する
設定 → セキュリティ → SSO で、ドメイン検証 セクションにメールドメインを追加して検証します (DNS に TXT レコードを追加して DNS を確認 をクリックします)。少なくとも 1 つのドメインが検証されるまで、強制は効果がありません。
テストサインインが動作することを確認する
プロバイダーの 接続をテスト オプションを使用するか、シークレットウィンドウから検証済みドメインのメールでサインインして、ダッシュボードに戻れることを確認します。テストに成功していない SSO 接続を強制してはいけません。
強制を有効にする
プロバイダーが有効になっていることを確認してから、プロバイダーの その他 メニューを開いて SSO を強制 を選択し、ダイアログで確認します。
強制をオンにする前に、少なくとも 1 つの所有者がバックアップとしてメールとパスワードでサインインできることを確認してください。これにより、アイデンティティプロバイダーの障害でワークスペース全体が締め出されることが決して起こらないようにできます。
強制をオフにする
(例えば IdP を再設定している間など) メンバーに再びパスワードを使わせる必要がある場合は、設定 → セキュリティ → SSO でプロバイダーの その他 メニューを開き、SSO を強制 を再びオフにします。これにより、検証済みドメインのメンバーは再びパスワードでサインインできるようになります。SSO 接続自体はそのまま残るので、いつでも強制を再び有効にできます。
新規ユーザーと SSO
SSO が強制されていて、検証済みドメインの新しい人が初めてサインインすると、そのアカウントは自動的に作成されます (Just-In-Time プロビジョニング)。彼らはロール付きでワークスペースに自動的に追加されるわけではないため、所有者または管理者が引き続き 設定 → ワークスペース → メンバー からチームに追加してロールを割り当てます。詳細は SAML 設定 を参照してください。
トラブルシューティング
メンバーが SSO に送られず、パスワードを求められる
- そのメールドメインが 設定 → セキュリティ → SSO で検証済みであることを確認してください (未検証のドメインは決して SSO にルーティングされません)。
- 個人用アドレスではなく、会社のメールを使用していることを確認してください。
- 所有者と管理者は意図的に除外されており、設計上パスワード画面が表示されることを覚えておいてください。彼らは Continue with SSO を使用して IdP 経由でサインインできます。
管理者も SSO を強制されたい
強制はブレークグラスとして所有者と管理者を意図的に除外します。あるアカウントを強制の対象にしたい場合は、管理者ではなくメンバーロールを付与するか、手動で Continue with SSO からサインインしてください。
IdP の変更後に全員が締め出された
所有者は引き続きメールとパスワードでサインインできます (ブレークグラスの経路)。所有者としてサインインし、設定 → セキュリティ → SSO に移動して、強制を修正または一時的に無効にし、プロバイダー設定を更新してください。その後、再テストして再度有効にします。