SAML SSOのガイド
シングルサインオン(SSO)では、ユーザーはIDプロバイダーを使用して多くのアプリケーションやウェブサイトにログインできます。Security Assertion Markup Language (SAML)は、認証およびアクセスを管理するためのセキュリティ規格です。
SAML SSOセットアップでは、IDプロバイダーが組織のユーザーアカウントと資格情報を管理します。サービスプロバイダー(Figma)は、ユーザーまたは組織にサービスを提供するアプリまたはウェブサイトです。
SAML SSOを使用している場合、メンバーは組織のIDプロバイダーを使用してFigmaビジネスにログインします。
SAML SSOが機能する仕組み:
- メンバーがSAML SSOでFigmaにログインします
- FigmaがSAMLリクエストをIDプロバイダーに送信します
- IDプロバイダーがメンバーの資格情報を確認します
- IDプロバイダーが応答をFigmaに送信し、メンバーのIDを検証します
- Figmaは応答を受け取り、メンバーをFigmaアカウントにログインします
注: FigmaはすべてのSAML SSO設定にSAML 2.0を使用します。これには、サポート対象のIDプロバイダーによる設定とすべてのカスタム設定が含まれます。
SAML SSOをセットアップする
SAMLを設定するプロセスはIDプロバイダーにより異なります。SAML SSOを実装する一般的なプロセスについて、以下に説明します。
SAML SSOはFigmaビジネスのメンバーにのみ適用されます。ゲストは、組織のSAML SSO設定とは関係なく、Google SSOでログインすることもメールと一意のパスワードでログインすることもできます。
Figma for Governmentユーザー: Figma for Governmentソリューションを使用するユーザーは、SAML SSOを使用する必要があります。MicrosoftやOktaなど、FigmaマーケットプレイスのIDプロバイダーアプリケーションは、Figma for Governmentと互換性がありません。以下を参照し、各IDプロバイダーに合わせてカスタマイズされたアプリのSAML SSOセットアップ手順に従ってください。
1. ドメインを確認する
ドメインキャプチャーを使用してドメインを追加・検証していただくと、こちらで誰をメンバーまたはゲストとして扱うべきかがわかります。
例: ACME Corpには、acme.org、acmecorp.org、dev.acme.orgという3つのドメインが登録されています。
acme.org、acmecorp.org、またはdev.acme.orgのメールアドレスを持つすべての人がメンバーです。メンバーはSAML SSOでログインすることができます。
上記のドメイン以外のメールアドレスを持つユーザーはゲストであり、SAML経由でログインできません。例: name@gmail.comやname@notyourdomain.comなど。
注: ISAML SSOを使用する予定の場合、Figmaで使用するすべてのドメインをIDプロバイダーに登録する必要があります。メールエイリアスはSAML SSOでは機能しません。
注意: 既存のファイルおよびプロジェクトに引き続きアクセスするには、それぞれの会社のメールに登録されているアカウントが必要です。SAML SSOをセットアップする前に、全員が正しいメールをFigmaで使用していることを確認することをお勧めします。
2. FigmaをIDプロバイダーに追加する
FigmaをIDプロバイダーに追加すると、IDプロバイダーはメタデータURLを提供します。これは、IDプロバイダーに接続し、ログイン時にユーザーを認証するためにFigmaで使用するXMLリンクです。
Figmaでは、次のIDプロバイダーとの専用の統合をサポートしています。
注: このリストにはないプロバイダーでカスタムSAML設定をセットアップすることもできます。これには、お使いのIDプロバイダーによるカスタムアプリのセットアップも含まれます。カスタムSAML設定をセットアップする →
3. FigmaでSAML SSOをオンにする
次に、FigmaでSAML SSOをセットアップする必要があります。ここでは次の手順を行います。
- 組織のSAML SSOをオンにする
- IDプロバイダーをFigmaアカウントに接続する
- メンバーがログインに使用する方法を選択できるようにする
SAML SSOを介したログインが必須かどうか、またはユーザーが引き続きメールアドレスとパスワードでログインできるかどうかを決定する必要があります。セットアッププロセス中にどの方法でもログインできるようにすることをお勧めします。
Google SSOをセットアップする場合、すべてのユーザーはGoogle SSOでログインする必要があります。これをオプションにしたり、一部のユーザーにのみこれを有効にすることはできません。ログインまたは認証方法を設定する →
4. IDプロバイダーでSAML SSOをセットアップする
お使いのIDプロバイダーでセットアッププロセスの残りを完了します。
- OktaでのSAML SSO
- Microsoft Entra IDを使用したSAML SSO
- OneLoginを使用したSAML SSO
- ADFSでのSAML SSO
- GoogleでのSAML SSO
- カスタムSAML設定をセットアップ
注: usernameやnameidのほか、SAMLアサーションでは、Figmaは次のような4つの属性をサポートしています: givenName、familyName、displayName、およびtitle。Figmaは、追加の属性を無視します。
5. SCIMプロビジョニングをセットアップする(オプション)
すべてのSAML SSO設定 は、「ジャストインタイム」(JIT)プロビジョニングまたは手動プロビジョニングをサポートしています。JITプロビジョニングを使用するとFigmaは、Figmaのユーザーを作成および更新できます。
- ユーザーを作成した場合、Figmaは、IDプロバイダーからのSAML応答にあるサポートされている4つの属性からの情報を使用します。
- IDプロバイダーでユーザーを更新した場合、変更はユーザーが次回ログインしたときに適用されます。
SCIMを介した自動プロビジョニングを有効にすることができます。SCIMは変更を即座にプッシュし、ユーザーをインポートおよび 解除できるようにします。
- サポート対象のIDプロバイダー: SCIMを介したプロビジョニングを有効にできます。SCIMを介した自動プロビジョニングのセットアップの手順が、各プロバイダーの記事に記載されています。
- カスタムSAML構成: 選択したIDプロバイダーでSCIMをセットアップできます。 カスタムSCIM構成のセットアップの詳細はこちら →
ビジネスプランでは、Figma外でユーザーのシートタイプを割り当てることはできません。Figmaは、組織に参加するすべての人に無料の閲覧シートを提供します。Figmaの無料シートと有料シートの詳細 →
エンタープライズプランでは、SCIMを介してメンバーのシートを設定することができます。これにより、ユーザーが組織に参加する前に、そのユーザーのシートを設定できるようになります。
SAML SSO設定を変更する必要がありますか。いつでも設定を編集できます。
6. 変更についてユーザーに通知する
ユーザーがSSOを使用して、またはSCIM経由でプロビジョニングされた後に、初めてFigmaにログインしたときに、SendGridから確認のメールを受信します。このメールには他と重複しない6桁のPINコードが記載されており、最初のログインの際に追加のセキュリティ対策として一度だけ使用されます。
ユーザーがこのメールをスパムやフィッシング詐欺と取り違えないように、この追加手順について事前に知らせておくとよいでしょう。