• 関連ドキュメント

SSO (シングル サインオン) とディレクトリ同期 (SCIM) を設定する

Enterprise チームのサインオンとプロビジョニングのプロセスを簡素化します。

  • 以下に説明する手順は、Loom.com で購入した Loom Enterprise プランを対象としています。

  • Atlassian.com で Loom Enterprise プランを購入した場合は、Atlassian Guard Standard がパッケージに含まれています。Atlassian Guard で SSO (シングル サインオン) を設定する手順については、こちらをご覧ください。

  • Atlassian.com から Loom Business または Business + AI プランを購入した場合、Atlassian Guard は含まれていません。ただし、SSO (シングル サインオン) を有効にしたい場合は、Atlassian Guard を別途購入するという方法があります。 

Loom では、Enterprise ユーザー向けの SSO (シングル サインオン) を利用して、ユーザーのサインインとプロビジョニングのプロセスを簡素化し、幅広い認証ソースを使用して Loom にアクセスできます。SSO (シングル サインオン) とプロビジョニングを設定するには、ワークスペースを Enterprise プランにサブスクライブする必要があります。

SSO (シングル サインオン) と SCIM を設定するには、次の手順に従います。

ドメイン検証

管理者は、SSO (シングル サインオン) またはディレクトリ同期を設定する前に、認証するドメインを追加する必要があります。手順は次のとおりです。

  1. ライブラリの左側のナビゲーション バーにある [設定] をクリックして、[ワークスペース設定] に移動します。

  2. [セキュリティ] タブを開くと、認証するドメインを追加するための [Authorize Domains (ドメインを認証)] セクションが表示されます。

  3. 2 つの認証方法のいずれかを使用できます。1 つはドメイン内の特定の受信ボックスにメールを送信する方法、もう 1 つはドメインに DNS TXT レコードを追加する方法です (手順はこちら)。メールを選択した場合は、認証メールの送信先 (たとえば、admin@domain.com) を選択する必要があります。ドメインを追加すると、そのドメインが認証の保留中として表示されます。

    • 外部ドメインを持つユーザーがワークスペースに招待されていないことを確認してください。ワークスペースの既存のメンバーに domain.com 以外のドメインを持つユーザーがいる場合、それらのユーザーは Loom にログインできなくなります。

  4. 前の手順で認証メールの送信先として指定したメール アドレスを確認します。Loom からドメインを認証するメッセージが届きます。

  5. ドメインの認証後、Loom のセキュリティ設定でドメインが認証され、承認済みドメインとして表示されることを確認できます。

SSO の設定

SSO (シングル サインオン) を設定する前に外部ドメインを持つユーザーがワークスペースに招待されていないことを確認してください。ワークスペースの既存のメンバーに domain.com 以外のドメインを持つユーザーがいる場合、SSO (シングル サインオン) が有効になると、それらのユーザーは Loom にログインできなくなります。

管理者は以下の手順に従って SSO (シングル サインオン) を設定できます。

  1. ライブラリの左側のナビゲーション バーにある [設定] をクリックして、[ワークスペース設定] の [セキュリティ] タブに移動します。

  2. [SSO & Directory Sync (SSO とディレクトリ同期)] セクションが表示されます。続行する前に、少なくとも 1 つのドメインを認証する必要があります。

  3. [SSO の設定] ボタンをクリックすると、SSO (シングル サインオン) を設定するための段階的なプロセスが表示されます。

  4. SSO (シングル サインオン) を設定すると、[セキュリティ] タブ新しくプロビジョニングされたユーザーの既定のロールを設定できるようになります。IdP グループを使用してユーザー ロールを管理することもできます。詳細については、ディレクトリ同期 (SCIM) の設定をご覧ください。 

  5. ユーザーに SSO (シングル サインオン) を強制する前に SSO の設定が正しく動作していることを確認する場合は、[Enforce SSO (SSO を強制)] 設定を使用します。テストやトラブルシューティングを行っている間は、この設定をオフのままにしておくことで、ユーザーは引き続きメール アドレスとパスワードを使用して中断なく Loom にサインオンできます。 

    • SSO (シングル サインオン) では、パブリック ドメイン (gmail.com や yahoo.com など) を持つユーザーの追加はサポートされていません。これは、これらのドメインの所有権を認証できないためです。SSO (シングル サインオン) が強制されている場合は、認証済みドメイン内のユーザーのみが加入できます。

SSO (シングル サインオン) を設定する前にこのワークスペースにアクセスしていたユーザーがいる場合は、現在の Loom セッションからログアウトして SSO 経由で再度ログインするように指示してください。SSO を設定すると、SSO 経由で再度ログインするまでワークスペース メンバーとして認識されません。アクセスや共有の中断を避けるため、SSO が有効になったらすぐにワークスペース メンバーに知らせることをお勧めします。

ドメイン キャプチャ

ドメイン キャプチャは、SSO を有効にした後、認証済みドメイン内でサインアップしたユーザーのワークスペース メンバーシップの管理方法を決定します。これにより、ドメインのユーザーがワークスペースに確実に加入できるようになります。

ディレクトリ同期が有効になっている場合、Loom に接続されているディレクトリにユーザーを追加すると、アカウントのプロビジョニングが自動的に実行されます。 

  1. ライブラリの左側のナビゲーション バーにある [設定] を選択して、[ワークスペース設定] の [セキュリティ] タブに移動します。最下部に [ドメイン キャプチャ] 設定を表示するには、SSO (シングル サインオン) が有効になっている必要があります。 

  2. 次の 2 つのオプションがあります。

    • オフ: Loom アカウントを持つドメイン内の新規ユーザーは、Enterprise ワークスペースに自動的に追加されません。代わりに、それらのユーザーは Enterprise ワークスペース外で無料アカウントを持つことになり、ユーザーを招待するか、ユーザーのアカウントを SCIM 経由で直接プロビジョニングしない限り、それらのアカウントを管理することはできません。 

    • Capture new users in my domain (ドメイン内の新規ユーザーをキャプチャする) (既定の設定): ドメイン内のすべてのユーザーが Enterprise ワークスペースに自動的に加入します。独自の Starter または Business ワークスペースに所属する既存の Loom ユーザーがいる場合、そのユーザーは追加のワークスペースとして Enterprise ワークスペースに追加されます。こちらの手順を使用して Enterprise ワークスペースにコンテンツを転送するようにユーザーに依頼できます。 

  3. 必要な変更を加えたら、[保存] を選択します。

ディレクトリ同期 (SCIM) の設定

SCIM を使用すると、IdP で行われた変更を Loom に即座にプッシュできます。ユーザーがログインを試行するのを待ってからジャスト イン タイムでユーザーをプロビジョニングするのではなく、IdP でユーザーが Loom アプリに追加された時点でユーザーをプロビジョニングします。同様に、SCIM が有効になっているときに IdP でユーザーが無効化されると、Loom でも即座にユーザーが無効化されます (SCIM を使用しない場合、ユーザーは再度ログインを試行するまで技術的には無効化されません)。

上記の手順に従って SSO (シングル サインオン) を設定したら、以下の手順に従って SCIM を設定できます。

WorkOS セットアップ ガイドでは、SSO (シングル サインオン) プロバイダーと同じ IdP を使用することを前提としていないため、SCIM 用に別のアプリを作成するように指示されます。別の SCIM アプリを作成する必要はありません。SSO 用に作成したアプリを使用する場合は、以下に示す Okta の手順をご覧ください。 

  1. ワークスペース設定を開いて、[セキュリティ] タブに移動します。次に、[Configure Directory Sync (ディレクトリ同期の設定)] を選択すると、ディレクトリ同期を設定するための段階的なプロセスが表示されます。

    • WorkOS セットアップ ガイドのみに頼らず、以下の手順に目を通して、注意すべき点について確認することをお勧めします。

  2. Okta のユーザーで、SSO (シングル サインオン) と SCIM の両方に同じアプリを使用したい場合は、次の手順を実行します。

    1. [Step 1: Create Okta Application (ステップ 1: Okta アプリの作成)] では、新しいアプリを作成しないでください。代わりに、SSO (シングル サインオン) 用に作成したアプリに移動し、[一般] > [編集] の順に移動して、プロビジョニング オプションとして [Enable SCIM provisioning (SCIM プロビジョニングを有効化)] を選択します。[保存] を選択します。

    2. WorkOS セットアップ コンソールで、[Step 2: Configure Okta API Integration (ステップ 2: Okta API 統合の設定)] に進みます。[エンドポイント] と [ベアラー トークン] が表示されるまで下にスクロールします。 

    3. これらを Okta アプリにコピーします。[プロビジョニング] タブに移動し、サイドバーで [統合] > [編集] の順に選択します。 

    4. WorkOS セットアップ ガイドのベース URL を SCIM コネクタのベース URL フィールドに貼り付けます。[Unique identifier field for users (ユーザーの一意の識別子フィールド)] は、[メール] に設定します。[Push New Users (新規ユーザーをプッシュ)]、[Push Profile Updates (プロファイルのアップデートをプッシュ)]、[Push Groups (グループをプッシュ)] にチェックを入れます (必要な場合)。[Authentication Mode (認証モード)] で、[HTTP Header (HTTP ヘッダー)] を選択し、WorkOS の設定からベアラー トークンをフィールドに貼り付けます。[保存] を選択します。

      • SSO と SCIM の両方で同じアプリを使用する場合は、プロビジョニングが機能するように [Unique identifier field for users (ユーザーの一意の識別子フィールド)] を「メール」に設定する必要があります。 

  3. [Step 3. Set up Attribute Mapping (ステップ 3. 属性マッピングの設定)] では、loomMemberRole というカスタム属性をサポートしていることがわかります。IT 管理者は、このオプションのカスタム属性を使用して IdP 内からユーザーの Loom ロールを設定できます。すべての IdP がグループレベルの属性をサポートしているわけではないことにご注意ください。

    • この属性には次の属性 (文字列) のみを含めることができます。default,creator,viewer,admin

    • 既定値は、IdP でのロール管理に移行するのに役立ちます。既定値では、ユーザーのロールが Loom の現在の設定で維持されます。ユーザーが新規の場合は、上記の SSO (シングル サインオン) 設定手順で設定された「既定のユーザー ロール」が適用されます。作成者、視聴者、または管理者に変更すると、このロールは不要になります。 

    • 注意: 属性を最初から作成する必要がある場合は、以下の名前を外部名前空間として使用してください。

      urn:ietf:params:scim:schemas:core:2.0:User

  4. WorkOS セットアップ ガイドの残りの手順に従って、セットアップを完了します。 

SCIM に初めてユーザーをオンボーディングする際には、全員を既定としてオンボーディングしてから、ロール (作成者、視聴者、管理者) 用の特定のグループを作成することをお勧めします。その後、これらのグループに既定のグループよりも高い優先度を割り当て、ユーザーを適切なグループに移動します。

  • グループごとにカスタム属性を管理できるため、多くの場合、IT 管理者には Loom 作成者、Loom 視聴者、Loom 管理者の 3 つのグループを作成することをお勧めしています。

  • Okta では優先度が重要です。ユーザーが Loom 作成者と Loom 管理者の両方のメンバーである場合は、管理者が優先されるよう、Loom 管理者の優先度を Loom 作成者より上に設定してください。

  • たとえば、ユーザーが Loom 作成者グループに追加されると、そのユーザーには Loom アプリが割り当てられるだけでなく、既定のユーザー ロールの設定に関係なく、自動的に作成者ロールも付与されます。

  • Okta から Loom に既存のグループをプッシュする場合は、こちらの手順に従ってください。 

ユーザーのプロビジョニング解除

SCIM のプロビジョニングを解除したときの Loom のユーザーに対する操作を選択して、退職するユーザーのコンテンツを保持できます。 

  1. ワークスペース設定を開いて、[セキュリティ] タブに移動します。[Member Deprovisioning (メンバーのプロビジョニング解除)] まで下にスクロールします。 

  2. 既定では、この設定は [Deactivate (無効化)] に設定されます。SCIM でメンバーが無効化されると、そのユーザーは Loom にログインできなくなりますが、ユーザーのコンテンツは無効化されたアカウントに関連付けられたままになります。投稿されたコンテンツには引き続きアクセスでき、その他すべてのコンテンツにもリンク経由で引き続きアクセスできます。 

  3. または、ワークスペースからユーザーを削除することもできます。削除時に、そのユーザーのコンテンツを転送するか削除するかを選択できます。 

  4. [Transfer content to another member (コンテンツを別のメンバーに転送)] を選択した場合は、コンテンツの転送先として管理者または作成者を選択する必要があります。転送すると、削除されたユーザーのすべてのコンテンツ (投稿済みと未投稿) が転送先のユーザーのライブラリ内のフォルダーに [メール アドレス] - [ユーザー名] のコンテンツとして表示されます。 

    • 注意: どの時点においても、SCIM によりターゲット ユーザーの非アクティブ化や視聴者への降格が試行された場合は、その試行が失敗し、新しいターゲット ユーザーを選択する必要があることを知らせるメール通知が届きます。ターゲット ユーザーを切り替えた後、IdP 側から非アクティブ化を再試行してください。 

  5. [コンテンツを削除] を選択すると、そのメンバーのコンテンツがすべて削除されます。削除は元に戻すことができないため、慎重に進めてください。  

FAQ

ドメイン認証はすべてのドメインで機能しますか? 

いいえ、承認済みドメインの設定は非公開ドメインでのみ機能します。ドメインが Gmail、Yahoo、Outlook、または同様のパブリック ドメインの場合、このオプションは利用できません。

ワークスペースに複数の承認済みドメインを設定できますか?

はい。承認済みドメインのリストは、ワークスペース内のユーザーのドメインによって異なります。

ワークスペースからドメインを削除できますか?

現時点では、ドメインを削除することはできません。複数のドメインを所有している場合、または最近ドメインを変更して削除が必要な場合は、サポート チームまでお問い合わせください。可能な限りサポートいたします。

 

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問
このページの内容ドメイン検証SSO の設定ドメイン キャプチャディレクトリ同期 (SCIM) の設定ユーザーのプロビジョニング解除FAQドメイン認証はすべてのドメインで機能しますか? ワークスペースに複数の承認済みドメインを設定できますか?ワークスペースからドメインを削除できますか?
コミュニティ質問、ディスカッション、記事