SAML SSOのガイド
シングルサインオン(SSO)では、ユーザーはIDプロバイダーを使用して多くのアプリケーションやウェブサイトにログインできます。Security Assertion Markup Language (SAML)は、認証およびアクセスを管理するためのセキュリティ規格です。
SAML SSOセットアップでは、IDプロバイダーが組織のユーザーアカウントと資格情報を管理します。サービスプロバイダー(Figma)は、ユーザーまたは組織にサービスを提供するアプリまたはウェブサイトです。
SAML SSOを使用している場合、メンバーは組織のIDプロバイダーを使用してFigmaビジネスにログインします。
SAML SSOが機能する仕組み:
- メンバーがSAML SSOでFigmaにログインします
- FigmaがSAMLリクエストをIDプロバイダーに送信します
- IDプロバイダーがメンバーの資格情報を確認します
- IDプロバイダーが応答をFigmaに送信し、メンバーのIDを検証します
- Figmaは応答を受け取り、メンバーをFigmaアカウントにログインします
注: FigmaはすべてのSAML SSO設定にSAML 2.0を使用します。これには、サポート対象のIDプロバイダーによる設定とすべてのカスタム設定が含まれます。
SAML SSOをセットアップする
SAMLを設定するプロセスはIDプロバイダーにより異なります。SAML SSOを実装する一般的なプロセスについて、以下に説明します。
SAML SSOはFigmaビジネスのメンバーにのみ適用されます。ゲストは、組織のSAML SSO設定とは関係なく、Google SSOでログインすることもメールと一意のパスワードでログインすることもできます。
Figma for Governmentユーザー: Figma for Governmentソリューションを使用するユーザーは、SAML SSOを使用する必要があります。MicrosoftやOktaなど、FigmaマーケットプレイスのIDプロバイダーアプリケーションは、Figma for Governmentと互換性がありません。以下を参照し、各IDプロバイダーに合わせてカスタマイズされたアプリのSAML SSOセットアップ手順に従ってください。
1. ドメインを確認する
ドメインキャプチャーを使用してドメインを追加・検証していただくと、こちらで誰をメンバーまたはゲストとして扱うべきかがわかります。
例: ACME Corpには、acme.org
、acmecorp.org
、dev.acme.org
という3つのドメインが登録されています。
acme.org
、acmecorp.org
、またはdev.acme.org
のメールアドレスを持つすべての人がメンバーです。メンバーはSAML SSOでログインすることができます。
上記のドメイン以外のメールアドレスを持つユーザーはゲストであり、SAML経由でログインできません。例: name@gmail.com
やname@notyourdomain.com
など。
注: ISAML SSOを使用する予定の場合、Figmaで使用するすべてのドメインをIDプロバイダーに登録する必要があります。メールエイリアスはSAML SSOでは機能しません。
注意: 既存のファイルおよびプロジェクトに引き続きアクセスするには、それぞれの会社のメールに登録されているアカウントが必要です。SAML SSOをセットアップする前に、全員が正しいメールをFigmaで使用していることを確認することをお勧めします。
2. FigmaをIDプロバイダーに追加する
FigmaをIDプロバイダーに追加すると、IDプロバイダーはメタデータURLを提供します。これは、IDプロバイダーに接続し、ログイン時にユーザーを認証するためにFigmaで使用するXMLリンクです。
Figmaでは、次のIDプロバイダーとの専用の統合をサポートしています。
注: このリストにはないプロバイダーでカスタムSAML設定をセットアップすることもできます。これには、お使いのIDプロバイダーによるカスタムアプリのセットアップも含まれます。カスタムSAML設定をセットアップする →
*Google SAML SSOを使用するには、カスタムSAML設定をセットアップする必要があります。Google SAML SSOの詳細情報 →
3. FigmaでSAML SSOをオンにする
次に、FigmaでSAML SSOをセットアップする必要があります。ここでは次の手順を行います。
- 組織のSAML SSOをオンにする
- IDプロバイダーをFigmaアカウントに接続する
- メンバーがログインに使用する方法を選択できるようにする
SAML SSOを介したログインが必須かどうか、またはユーザーが引き続きメールアドレスとパスワードでログインできるかどうかを決定する必要があります。セットアッププロセス中にどの方法でもログインできるようにすることをお勧めします。
Google SSOをセットアップする場合、すべてのユーザーはGoogle SSOでログインする必要があります。これをオプションにしたり、一部のユーザーにのみこれを有効にすることはできません。ログインまたは認証方法を設定する →
4. IDプロバイダーでSAML SSOをセットアップする
お使いのIDプロバイダーでセットアッププロセスの残りを完了します。
- OktaでのSAML SSO
- Microsoft Entra IDを使用したSAML SSO
- OneLoginを使用したSAML SSO
- ADFSでのSAML SSO
- カスタムSAML設定をセットアップ
注: usernameやnameidのほか、SAMLアサーションでは、Figmaは次のような4つの属性をサポートしています: givenName、familyName、displayName、およびtitle。Figmaは、追加の属性を無視します。
5. SCIMプロビジョニングをセットアップする(オプション)
すべてのSAML SSO設定 は、「ジャストインタイム」(JIT)プロビジョニングまたは手動プロビジョニングをサポートしています。JITプロビジョニングを使用するとFigmaは、Figmaのユーザーを作成および更新できます。
- ユーザーを作成した場合、Figmaは、IDプロバイダーからのSAML応答にあるサポートされている4つの属性からの情報を使用します。
- IDプロバイダーでユーザーを更新した場合、変更はユーザーが次回ログインしたときに適用されます。
SCIMを介した自動プロビジョニングを有効にすることができます。SCIMは変更を即座にプッシュし、ユーザーをインポートおよび 解除できるようにします。
- サポート対象のIDプロバイダー: SCIMを介したプロビジョニングを有効にできます。SCIMを介した自動プロビジョニングのセットアップの手順が、各プロバイダーの記事に記載されています。
- カスタムSAML設定: 選択したIDプロバイダーでSCIMをセットアップできます。カスタムSCIM設定のセットアップの詳細はこちら→
ビジネスプランでは、Figma外でユーザーのシートタイプを割り当てることはできません。Figmaでは、組織に参加した全員に最初の閲覧者の役割を与えます。Figmaでの無料シートと有料シートについて詳しくはこちら →
エンタープライズプランでは、SCIMを介してメンバーのシートを設定することができます。これにより、ユーザーが組織に参加する前に、そのユーザーのFigmaデザインとFigJamシートを設定できるようになります。SCIMを介してメンバーのシートタイプを設定する場合、組織のデフォルトのシートタイプは無視されます。
SAML SSO設定を変更する必要がありますか。いつでも設定を編集できます。
6. 変更についてユーザーに通知する
ユーザーがSSOを使用して、またはSCIM経由でプロビジョニングされた後に、初めてログインすると、SendGridから確認のメールを受け取ります。このメールには他と重複しない6桁のPINコードが記載されており、最初のログインの際に追加セキュリティ対策として一度だけ使用されます。
ユーザーがこのメールをスパムやフィッシング詐欺と取り違えないように、この追加手順について事前に知らせておくとよいでしょう。