SSOはすべてのエンタープライズ評価スコアカードでトップ3のチェックボックスです。そしてほとんどのプラットフォームでは、有効化はサポートチケットの提出、ソリューションエンジニアとの通話の予約、誰かが代わりにスイッチを入れるまで3-5営業日待つことを意味します。
エンタープライズITチームは待ちたくありません。設定ページを開き、メタデータURLを貼り付け、接続をテストし、次に進みたいのです。それがJieGouのセルフサービスSSO設定です。
7つのIDプロバイダー、2つのプロトコル
JieGouは7つのIDプロバイダープリセットを標準搭載:
| プロバイダー | プロトコル |
|---|---|
| Okta | SAML 2.0, OIDC |
| Azure AD (Entra ID) | SAML 2.0, OIDC |
| Google Workspace | SAML 2.0, OIDC |
| OneLogin | SAML 2.0, OIDC |
| Auth0 | SAML 2.0, OIDC |
| Ping Identity | SAML 2.0, OIDC |
| Custom Provider | SAML 2.0, OIDC |
Custom ProviderオプションはSAML 2.0またはOIDC準拠のあらゆるIDプロバイダーで動作します。IdPがこれらのプロトコルのいずれかに対応していれば、JieGouで動作します。
プロトコル詳細
SAML 2.0
メタデータURLを入力すると、JieGouがXMLドキュメントを自動取得し、エンティティID、SSO URL、X.509証明書を自動抽出します。証明書の手動コピー&ペーストは不要です。
設定オプション:
- 4つのName IDフォーマット — email、persistent、transient、unspecified
- 認証リクエスト署名 — 要求するプロバイダー向けにSAML認証リクエストに署名
- 証明書フィンガープリント — IdP署名証明書のSHA-256フィンガープリント検証
OpenID Connect (OIDC)
ディスカバリーURLを入力すると、JieGouが自動正規化 — 必要に応じて/.well-known/openid-configurationを追加 — してディスカバリードキュメントを取得し、エンドポイントを自動入力します。
設定オプション:
- Client ID + 暗号化されたClient Secret — Client Secretは保存前にkey-vaultで暗号化
- 設定可能なスコープ — デフォルト:
openid profile email groups - 3つのトークンエンドポイント認証方式 —
client_secret_basic、client_secret_post、private_key_jwt
セットアップフロー
設定は9ステップ:
- アカウント設定に移動 — SSO設定はアカウントのセキュリティ設定内
- プロトコルを選択 — SAML 2.0またはOIDC
- プロバイダープリセットを選択 — 7つのプリセットから選択、またはCustomを選択
- メールドメインを入力 — すべてのアカウント間で一意性を強制、2つの組織が同じドメインを主張不可
- プロバイダー固有フィールドを入力 — SAML用メタデータURL、OIDC用ディスカバリーURL、その他プロバイダー固有の設定
- プロビジョニングを設定 — 自動プロビジョニングのオン/オフ、新規ユーザーのデフォルトロールを設定
- グループからロールへのマッピングを設定 — IdPグループをJieGouロールにマッピング
- 設定を保存 — 永続化前にすべてのフィールドを検証
- 接続をテスト — 診断を実行、結果を確認、有効化
ステップ1-8は設定。ステップ9で本番稼働前にすべてが動作することを確認します。
診断付き接続テスト
テストボタンはIdP設定に対して完全な診断スイートを実行します。ワンクリックでチェックごとの合否インジケーターがカラーコード付きで表示されます。
SAML診断:
- メタデータドキュメントの取得に成功?
- SSO URLに到達可能?
- X.509証明書は有効で期限切れでない?
OIDC診断:
- ディスカバリードキュメントの取得に成功?
- トークンエンドポイントに到達可能?
- トークンレスポンスにグループクレームが存在?
各チェックは明確な合否を表示。何かが壊れた場合、汎用的な「SSO設定エラー」メッセージではなく、どのステップが失敗したかが正確に表示されます。テスト結果は監査証跡のために保存され、接続がいつ誰によって検証されたかの記録が残ります。
グループからロールへのマッピング
JieGouには6ロール階層があります:Owner、Admin、Dept Lead、Member、Auditor、Viewer。SSOグループからロールへのマッピングで、IdPのグループ構造をこれらのロールに直接接続できます。
マッピングの仕組み:
| IdPグループ | JieGouロール |
|---|---|
engineering-leads | Dept Lead |
engineering | Member |
finance-auditors | Auditor |
executives | Admin |
contractors | Viewer |
グループから部門の割り当ても可能です。IdPにdept-engineeringやdept-marketingのようなグループがあれば、JieGou部門にマッピングして、ユーザーが自動的に正しい組織コンテキストに配置されます。
一致するグループのないユーザーはデフォルトロール — 通常Member — を取得します。IdPグループ構造がJieGouのロールモデルと完全に一致しなくても、すべてのSSOユーザーがアクセスを得られます。
Just-in-Timeプロビジョニング
JIT(Just-in-Time)プロビジョニングが有効な場合、新規ユーザーに個別の招待は不要です。以下が発生します:
- ユーザーがSSO経由で認証
- メールドメインが設定済みSSOドメインに一致
- JieGouが設定済みデフォルトロールでアカウントメンバーシップを自動作成
- グループからロールへのマッピングが適用され、一致が見つかればロールをアップグレードまたは指定
- グループマッピングからの部門割り当てが適用
- ユーザーがオンボーディングフローにルーティング
管理者のアクション不要。招待リンクの管理不要。新入社員が初日にログインし、IdPで所属するグループによってアクセスが設定されます。
ログインフロー
ユーザーの視点では、SSOログインは3クリック:
- ログインページで**「Sign in with SSO」**をクリック
- メールアドレスを入力
- システムがドメインルックアップを実行 — メールドメインにSSプロバイダーが設定されているかチェックする公開・未認証エンドポイント
- プロバイダーが見つかれば**「Sign in with [Provider Name]」**ボタンが表示
- クリックして
signInWithPopup経由でIdPで認証、JieGouに到着
ドメインルックアップエンドポイントは意図的に公開されています。特定のメールアドレスが存在するかは公開せず、ドメインにSSOが設定されているかのみを公開します。これはほとんどのSSO実装でユーザーを正しいIdPにルーティングするために使用される標準パターンです。
セキュリティ
ドメインの一意性 — 各メールドメインは1つのアカウントのみが主張可能。悪意あるアカウントが所有していないドメインのSSOを設定し、認証フローを傍受することを防ぎます。
監査ログ — すべての設定変更が監査ログに記録:誰が何をいつ変更したか、変更前後の値。SSOのセットアップ、変更、テスト、有効化、無効化がすべて追跡されます。
管理者専用アクセス — SSO設定にはaccount:admin権限が必要。一般ユーザーはSSO経由で認証できますが、設定の表示や変更はできません。
暗号化されたシークレット — OIDCのClient Secretはデータベースに書き込む前にkey-vaultで暗号化。トークン交換に必要な時のみメモリ内で復号されます。
利用可能プラン
セルフサービスSSO/SAML設定はEnterpriseプランで利用可能です。7つのIDプロバイダープリセット、SAML 2.0とOIDCサポート、グループからロールへのマッピング、JITプロビジョニング、接続診断、完全な監査ログを含みます。エンタープライズ機能の詳細またはトライアルを開始。