SAML SSOのガイド
シングルサインオン(SSO)では、ユーザーはIDプロバイダーを使用して多くのアプリケーションやウェブサイトにログインできます。Security Assertion Markup Language (SAML)は、認証およびアクセスを管理するためのセキュリティ規格です。
SAML SSOセットアップでは、IDプロバイダーが組織のユーザーアカウントと資格情報を管理します。サービスプロバイダー(Figma)は、ユーザーまたは組織にサービスを提供するアプリまたはウェブサイトです。
SAML SSOを使用している場合、メンバーは組織のIDプロバイダーを使用してFigmaビジネスにログインします。
SAML SSOが機能する仕組み:
- メンバーがSAML SSOでFigmaにログインします
- FigmaがSAMLリクエストをIDプロバイダーに送信します
- IDプロバイダーがメンバーの資格情報を確認します
- IDプロバイダーが応答をFigmaに送信し、メンバーのIDを検証します
- Figmaは応答を受け取り、メンバーをFigmaアカウントにログインします
注: FigmaはすべてのSAML SSO設定にSAML 2.0を使用します。これには、サポート対象のIDプロバイダーによる設定とすべてのカスタム設定が含まれます。
SAML SSOをセットアップする
SAMLを設定するプロセスはIDプロバイダーにより異なります。SAML SSOを実装する一般的なプロセスについて、以下に説明します。
SAML SSOはFigmaビジネスのメンバーにのみ適用されます。ゲストは、組織のSAML SSO設定とは関係なく、Google SSOでログインすることもメールと一意のパスワードでログインすることもできます。
ドメインを確認
ドメインはインターネット上のエンティティーを識別するための手段です。これによりFigmaは、誰をメンバーとして扱い、誰をゲストとして扱うかがわかります。ドメインとドメインキャプチャー →
組織は、サブドメインを含め、複数のドメインを保有できます。組織管理者は組織に対するドメインの追加または削除をいつでも行えます。
例: ACME Corpでは、acme.org、acmecorp.org、dev.acme.org
の3つのドメインを組織に登録しています。
acme.org
、acmecorp.org
、またはdev.acme.org
のメールアドレスを持つすべての人がメンバーです。メンバーはSAML SSOでログインすることができます。
これらのドメインに一致しないメールアドレスの人はゲストであり、SAMLではログインできません。例: name@gmail.com
またはname@notyourdomain.com
注: ISAML SSOを使用する予定の場合、Figmaで使用するすべてのドメインをIDプロバイダーに登録する必要があります。メールエイリアスはSAML SSOでは機能しません。
注意: 既存のファイルおよびプロジェクトに引き続きアクセスするには、それぞれの会社のメールに登録されているアカウントが必要です。SAML SSOをセットアップする前に、全員が正しいメールをFigmaで使用していることを確認することをお勧めします。
FigmaをIDプロバイダーに追加
FigmaをIDプロバイダーに追加すると、IDプロバイダーはメタデータURLを提供します。これは、IDプロバイダーに接続し、ログイン時にユーザーを認証するためにFigmaで使用するXMLリンクです。
Figmaでは、次のIDプロバイダーとの専用の統合をサポートしています。
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- Google SSO*
- Active Directory Federation Services (ADFS)
注: このリストにはないプロバイダーでカスタムSAML設定をセットアップすることもできます。これには、お使いのIDプロバイダーによるカスタムアプリのセットアップも含まれます。カスタムSAML設定をセットアップする →
*Google SAML SSOとSCIMを使用する場合、Google SSOオプションを使用する代わりに、カスタムSAML設定をセットアップする必要があります。Google SAML SSOの詳細はこちら →
FigmaでSAML SSOをオンにする
次に、FigmaでSAML SSOをセットアップする必要があります。ここでは次の手順を行います。
- 組織のSAML SSOをオンにする
- IDプロバイダーをFigmaアカウントに接続する
- メンバーがログインに使用する方法を選択できるようにする
SAML SSOを介したログインが必須かどうか、またはユーザーが引き続きメールアドレスとパスワードでログインできるかどうかを決定する必要があります。セットアッププロセス中にどの方法でもログインできるようにすることをお勧めします。
Google SSOをセットアップする場合、すべてのユーザーはGoogle SSOでログインする必要があります。これをオプションにしたり、一部のユーザーにのみこれを有効にすることはできません。ログインまたは認証方法を設定する →
IDプロバイダーでSAML SSOをセットアップ
お使いのIDプロバイダーでセットアッププロセスの残りを完了します。
注: usernameやnameidのほか、SAMLアサーションでは、Figmaは次のような4つの属性をサポートしています: givenName、familyName、displayName、およびtitle。Figmaは、追加の属性を無視します。
SCIMプロビジョニングをセットアップ(オプション)
すべてのSAML SSO設定 は、「ジャストインタイム」(JIT)プロビジョニングまたは手動プロビジョニングをサポートしています。JITプロビジョニングを使用するとFigmaは、Figmaのユーザーを作成および更新できます。
- ユーザーを作成した場合、Figmaは、IDプロバイダーからのSAML応答にあるサポートされている4つの属性からの情報を使用します。
- IDプロバイダーでユーザーを更新した場合、変更はユーザーが次回ログインしたときに適用されます。
SCIMを介した自動プロビジョニングを有効にすることができます。SCIMは変更を即座にプッシュし、ユーザーをインポートおよび 解除できるようにします。
- サポート対象のIDプロバイダー: SCIMを介したプロビジョニングを有効にできます。SCIMを介した自動プロビジョニングのセットアップの手順が、各プロバイダーの記事に記載されています。
- カスタムSAML設定: 選択したIDプロバイダーでSCIMをセットアップできます。カスタムSCIM設定のセットアップの詳細はこちら →
ビジネスプランでは、Figma外でユーザーの役割を割り当てることはできません。Figmaは組織に参加した全員に最初の閲覧者の役割を与えます。Figmaでの役割 →
エンタープライズプランでは、SCIMを介してメンバーの役割を設定することもできます。これにより、メンバーが組織に参加する前にそのFigmaデザインとFigJam役割を設定できるようになります。SCIMを介してメンバーの役割を設定する場合、Figmaは組織のデフォルトの役割設定を無視します。
SAML SSO設定を変更する必要がありますか。いつでも設定を編集できます。