Azure Active DirectoryでのSAML SSO
はじめに
ビジネスプランとエンタープライズプランでサポートされます
組織管理者のみがSAML SSOを設定できます。
既存のMicrosoft Azure Active Directoryアカウントが必要です。
Azure Active Directoryでユーザーを管理している組織では、FigmaでSAML SSOを設定できます。Figmaでは、ID (Azure AD)開始とサービス(Figma)開始の両方の設定がサポートされています。
FigmaとAzure ADの両方を別々のタブに開いておくことをお勧めします。これにより、セットアッププロセス全体にわたってこれらを切り替えることができます。
アクティブな組織でSAMLを設定
Microsoftはサンドボックス環境でSAML設定をテストすることを推奨しています。ただし、Figmaにはサンドボックスまたはテスト環境を作成する方法はありません。最初にご自身のようなテストユーザーや小さなグループのユーザーで、Figmaアプリケーションをテストすることをお勧めします。
既存のユーザーが引き続きセットアッププロセス中にFigmaにアクセスできるようにするには、[メンバーはメールアドレスとパスワードを含む任意の方法でログインできます(デフォルト)]にログインおよび認証方法を設定します。
すべてが稼働したら、この設定を[メンバーはSAML SSOでログインする必要がある]に更新できます。詳細は、Microsoftのチュートリアル: Azure Active Directory SSOとFigmaの統合を参照してください。
SAML SSOをセットアップ
FigmaでSAMLを開く
Figmaで組織のSAML SSO設定を開きます。プロセスで後からFigmaでSAML SSOを設定する場合は、このページに戻ります。
- Figmaで組織を開きます。
- サイドバーで、[管理者]を選択します。
- [設定]タブを選択します。
- [ログインとプロビジョニング]セクションで、[認証]をクリックします。
- 認証が[メンバーはメールアドレスとパスワードを含む任意の方法でログインできます]に設定されていることを確認します。[完了]をクリックします。
- [ログインとプロビジョニング]セクションで、[SAML SSO]をクリックします。
- Figmaで、SAMLプロセスの主要な情報を示したモーダルダイアログが開きます。
-
テナントID:
123456789123456789
-
SPエンティティーID:
https://www.figma.com/saml/123456789123456789
-
SP ACS URL:
https://www.figma.com/saml/123456789123456789/consume
-
テナントID:
Figmaは、テナントIDを使用して、SPアイデンティティーIDとSP ACS URLを生成します。Azure ADでSAMLを設定するときにこれらが必要になります。SPエンティティーIDを使用して、サービスプロバイダー開始の認証のURLを作成します。
AzureにFigmaを追加
Azure PortalにFigmaを追加します。
- 概要ページでAzureを開きます。
- [エンタープライズアプリケーション]を選択します。
- [すべてのアプリケーション]セクションに進みます。
- [アプリケーションを追加]をクリックして、Azure ADギャラリーを参照します。
- Figmaを検索し、正しい結果を選択します。
- [作成]をクリックして、Azure ADにアプリケーションを追加します。
- Azureが成功のメッセージを表示して、Figmaアプリケーションの概要にリダイレクトされます。
テストユーザーを割り当てる
AzureでFigmaにテストユーザーを割り当てます。これにより、SAMLセットアッププロセスを完了してアプリケーションをテストできるようになります。
- オプションから[ユーザーとグループの割り当て]を選択します。
- + [Add user/group(ユーザーまたはグループの追加)]をクリックして、割り当てページを開きます。
- [ユーザーとグループ]をクリックして、[未選択]をクリックします。
- テストユーザーを検索します。セットアッププロセスの最後にログインをテストできるように、自身のアカウントを使用することをお勧めします。
- クリックして追加し、割り当てページに戻ります。
- [割り当て]ボタンをクリックして、アプリケーションページに戻ります。
AzureでSAMLを設定
AzureでSAMLをセットアップします。プロセスを完了するためにFigmaが提供するテナントIDが必要です。
FigmaとAzure ADの両方を別々のタブに開いておくことをお勧めします。これにより、セットアッププロセス全体にわたってこれらを切り替えることができます。
- パネルで[シングルサインオン]を選択します。
- オプションから[SAML]を選択します。
- [基本的なSAML構成]で[編集]をクリックして変更を行います。
- ブラウザで[Figma]タブに切り替えます。
- [テナントID]の横にある[コピー]をクリックします。
- ブラウザで[Azure]タブに切り替えます。
- [識別子(アイデンティティーID)]で[識別子を追加]をクリックします。
- 指定されたフィールドに
https://www.figma.com/saml/
と入力して、テナントIDを貼り付けてURLを完成させます。 - フィールドからクリップボードにURL全体をコピーします。
- [応答URL (ACSリンク)]で[応答URLを追加]をクリックします。
- フィールドにアイデンティーURLを貼り付け、リンクの末尾に
/consume
を追加します。 -
[サインオンURL (オプション)]フィールドで、アイデンティティーURLを再度貼り付け、リンクの末尾に
/start
に追加します。 - 画面上部の[保存]をクリックします。
- 右上の[X]をクリックし、Figmaアプリケーションページに戻ります。
FigmaでSAMLを設定
これでFigmaでSAMLを設定できます。Figmaでプロセスを完了するには、Azure ADからのメタデータリンクが必要です。
- Azure ADでFigmaアプリケーションを開きます。
- [SAML署名証明書]セクションまで下にスクロールします。
- [アプリのフェデレーションメタデータ XML]の横にある[コピー]をクリックします。
- ブラウザで[Figma]タブに切り替えます。
- ダイアログで[SAMLを設定]をクリックします。
- オプションから[Microsoft Azure Active Directory]を選択します。
- [IdPメタデータURL]フィールドにリンクを貼り付けます。
- [確認]をクリックして、詳細が正しいことを確認します。
- [これは正しい情報です]の横にあるチェックボックスチェックを入れます。
- [SAML SSOを設定]をクリックします。[設定]タブに戻ると、SAML SSOが有効になったことが表示されます。
ユーザー属性をマップ
FigmaとAzure Active Directoryの間でユーザー属性をマップします。
FigmaはSAML応答の一部の属性を必要としています。必須属性もあれば、事前に入力されていてもオプションのものもあります。オプション属性を確認して調整することができます。
- ブラウザで[Azure AD]タブに切り替え、[SAMLサインオン]ページが開いていることを確認します。
- [ユーザー属性とクレーム]セクションを見つけます。鉛筆アイコンをクリックして、これらの属性を編集します。
- オプションの属性を確認して調整することができます。必要な属性を削除したり調整したりしないようにしてください。
名前 |
ソース属性 |
必須 |
---|---|---|
GivenName |
user.givename |
必須 |
Surname |
user.surname |
必須 |
Emailaddress |
user.mail |
必須 |
Name |
user.userprincipalname |
必須 |
Unique User Identifier |
user.userprincipalname |
必須 |
displayName |
user.displayname |
事前入力済み(オプション) |
title |
user.jobtitle |
事前入力済み(オプション) |
emailaddress |
user.mail |
事前入力済み(オプション) |
familyName |
user.surname |
事前入力済み(オプション) |
givenName |
givenName |
事前入力済み(オプション) |
userName |
user.userprincipalname |
事前入力済み(オプション) |
アプリケーションをテストする
FigmaとAzureの両方を設定したので、アプリケーションをテストできます。以前に追加したユーザーでこのプロセスをテストする必要があります。
この手順をスキップした場合、最初にユーザーをFigmaに割り当てる ↑必要があります。自身のアカウントを追加することをお勧めします。
- ブラウザの[Azure AD]タブに切り替え、[SAMLサインオン]ページが表示されていることを確認します。
- ページ上部の[このアプリケーションをテスト]を選択します。
- [サインインをテスト]ボタンをクリックします。Azure ADにより新しいタブが開き、SAML SSOでFigmaにログインします。
SAML SSOを必須にする
テストプロセスが成功すると、他のメンバーがそれぞれのSAML SSO資格情報を使用してログインすることを許可できます。SAMLによるログインをメンバーに対して必須にする場合、組織の認証設定を更新できます。
- Figmaで組織を開きます。
- サイドバーで [管理者]を選択して、[設定]タブに移動します。
- [ログインとプロビジョニング]セクションで、[認証]をクリックします。
- 認証を[メンバーはメールアドレスとパスワードを含む任意の方法でログインできます]に設定するようにしてください。[完了]をクリックします。
SCIMによる自動プロビジョニングをセットアップ
Azure ADをセットアップするには、FigmaからのAPIトークンが必要になります。FigmaとAzure ADの間でより簡単にコピーできるように、両方を開いておくことをお勧めします。
Figma APIトークンを生成
- ファイルブラウザで[管理者]をクリックします。
- 画面上部の[設定]を選択します。
- [ログインとプロビジョニング]セクションで[SCIMプロビジョニング]をクリックします。
- ダイアログで[APIトークンを生成]をクリックします。
- APIトークンをクリップボードにコピーします。Azureでプロセスを完了させるにはこれが必要になります。
Azure ADでSCIMを設定
FigmaからのテナントIDとAPIトークンが必要になります。 必ず、下のURLの<テナントID>
プレースホルダーを、Figmaで生成されたテナントIDに置き換えてください。
注: これらの手順は、Microsoft Azureのチュートリアルから変更されています。スクリーンショットと詳細な説明については、自動ユーザープロビジョニングに応じたFigmaの設定を確認してください。
- Azure Portalで、[エンタープライズアプリケーション] > [すべてのアプリケーション]に移動します。
- [Figma]アプリを選択します。
- [管理]セクションに進み、 [プロビジョニング]を選択します。
- [プロビジョニングモード]を[自動]に設定します。
-
[管理者資格情報]セクションで次の詳細情報を入力します。
-
[テナントURL]フィールドに
https://www.figma.com/scim/v2/<テナントID>
のURLを入力します。 - シークレットAPI トークンを[シークレットトークン]フィールドに入力します。
- [テスト接続]をクリックして、Azure ADがFigmaに接続できることを確認します。
-
[テナントURL]フィールドに
- [通知用メール]フィールドに目的のメールアドレスを入力します。
- [エラーが発生したときにメール通知を送信します]の横にあるチェックボックスにチェックを入れて、[保存] をクリックして適用します。
- [マッピング]セクションで、[Synchronize Azure Active Directory Users to Figma]を選択します。
- [属性マッピング]セクションで、[Azure Active Directory属性]と対応する[Figma属性]を確認します。
- [保存]ボタンをクリックして、すべての変更内容を適用します。
- [設定]で[プロビジョニング状態] > [オン]に切り替えます。
- Figmaにプロビジョニングしようとするユーザーまたはグループを定義します。次の中から選択します。
- すべてのユーザーとグループを同期
- 割り当てられたユーザーとグループのみを同期
- [保存]をクリックして、プロビジョニング設定を適用します。
警告: ユーザーがAzure ADで無効になっている場合、そのユーザーのFigmaアカウントは組織から削除され、すべての権限が失われます。Azure ADでユーザーを再度有効にして組織に再追加する場合、以前のチーム、プロジェクト、ファイルに手動で追加する必要があります。