シングルサインオンを使うと、チームが既存のIDプロバイダーを使ってCloudThinkerに認証できます——個別のパスワードが不要で、ユーザーの自動プロビジョニングと、退職者の集中デプロビジョニングが可能です。
SSOは Scale 、Scale + 、Enterprise プランで利用できます。開始するには、Organization Settings → Security → SSO に移動して Add Connection をクリックします。
セットアップウィザードの仕組み
SSOウィザードには3つのステップがあります: Protocol → SP Metadata → IdP Configuration 。
Protocol — SAML 2.0またはOIDCを選択する
SP Metadata — SAMLアプリ作成時にCloudThinkerの値をIdPにコピーする
IdP Configuration — IdPの値をCloudThinkerに貼り付ける
以下のタブで、IDプロバイダーごとの具体的な手順を確認してください。
SAMLのセットアップ
Google Workspace
Azure AD / Entra ID
AWS IAM Identity Center
Okta
OneLogin
Generic SAML
Google Workspace — SAMLセットアップ
Google管理コンソールを開く
admin.google.com に移動し、Apps → Web and mobile apps → Add app → Add custom SAML app を選択します。
アプリに名前を付ける
CloudThinker などの名前を付けて Continue をクリックします。
IdPメタデータをダウンロードする
Google IdP information 画面で IdP metadata XML をダウンロードするか、以下をメモします:
SSO URL (シングルサインオンURL)
Entity ID (https://accounts.google.com/o/saml2?idpid=...)
Certificate (X.509証明書をダウンロード)
Continue をクリックします。
CloudThinkerのSP詳細を入力する
CloudThinker → Settings → Security → SSO → SP Metadata から値をコピーします:Googleフィールド CloudThinkerの値 ACS URL CloudThinkerの ACS URL を貼り付ける Entity ID CloudThinkerの SP Entity ID を貼り付ける Name ID format EMAILName ID Basic Information > Primary email
Continue をクリックします。
属性マッピングを設定する
以下の属性マッピングを追加します: Googleディレクトリ属性 アプリ属性 Primary email emailFirst name firstNameLast name lastName
Finish をクリックします。
アプリを有効にする
アプリ設定でアクセスを On for everyone (または特定の組織単位を対象に)に設定します。
CloudThinkerでセットアップを完了する
CloudThinkerのSSOウィザードに戻り、以下を貼り付けます:
GoogleからのEntity ID
GoogleからのSSO URL
Certificate(X.509証明書の内容を貼り付け)
Create Connection をクリックし、Test をクリックして確認します。CloudThinkerの Import フィールドにGoogle IdPメタデータURLを貼り付けると、Entity ID、SSO URL、Certificateが1ステップで自動入力されます。
Microsoft Azure AD(Entra ID)— SAMLセットアップ
エンタープライズアプリケーションを作成する
Azureポータル で Microsoft Entra ID → Enterprise applications → New application → Create your own application に移動します。CloudThinker と名前を付け、Integrate any other application you don’t find in the gallery を選択して Create をクリックします。
シングルサインオンをセットアップする
新しいアプリケーションを開き、Single sign-on → SAML を選択します。
基本的なSAML設定を入力する
Basic SAML Configuration の Edit をクリックし、CloudThinkerのSP Metadataから入力します:Azureフィールド CloudThinkerの値 Identifier (Entity ID) SP Entity ID を貼り付けるReply URL (ACS URL) ACS URL を貼り付けるSign on URL ACS URLと同じ
保存します。
属性とクレームを設定する
Attributes & Claims で emailaddress クレームが user.mail にマッピングされていることを確認します。オプションで以下を追加します:
firstName → user.givenname
lastName → user.surname
フェデレーションメタデータをダウンロードする
SAML Signing Certificate で Federation Metadata XML をダウンロードするか、以下をコピーします:
App Federation Metadata URL (推奨——CloudThinkerへの自動インポートに使用)
Certificate (Base64)
Login URL (SSO URL)
Azure AD Identifier (Entity ID)
ユーザーとグループを割り当てる
Users and groups → Add user/group に移動し、CloudThinkerへのアクセスを許可するユーザーを割り当てます。
CloudThinkerでセットアップを完了する
CloudThinkerのIdP Configurationステップで、Import フィールドに App Federation Metadata URL を貼り付けてすべてのフィールドを自動入力します。または手動で入力します:
Entity ID : Azure AD Identifier
SSO URL : Login URL
Certificate : Certificate (Base64)
Create Connection をクリックし、Test をクリックします。AWS IAM Identity Center(AWS SSO)— SAMLセットアップ
IAM Identity Centerを開く
AWSコンソール で IAM Identity Center → Applications → Add application → Add custom SAML 2.0 application に移動します。
アプリケーションを設定する
CloudThinker などの表示名を付け、オプションで説明を追加します。
IAM Identity Centerのメタデータをダウンロードする
IAM Identity Center metadata セクションで、以下をコピーまたはダウンロードします:
IAM Identity Center SAML metadata file (またはメタデータURL)
IAM Identity Center issuer URL
IAM Identity Center sign-in URL
Certificate
アプリケーションのSAMLメタデータを入力する
Application metadata セクションで、CloudThinkerのSP Metadataから値を貼り付けます:IAM Identity Centerフィールド CloudThinkerの値 Application ACS URL ACS URL を貼り付けるApplication SAML audience SP Entity ID を貼り付ける
ユーザーを割り当てる
Assigned users and groups → Assign users and groups に移動し、CloudThinkerにアクセスするユーザーを選択します。
属性マッピングを設定する
Attribute mappings で以下を追加します:アプリケーション内のユーザー属性 IAM Identity Centerのこの文字列値またはユーザー属性にマッピング Subject${user:email} — フォーマット: emailAddressemail${user:email}firstName${user:givenName}lastName${user:familyName}
CloudThinkerでセットアップを完了する
CloudThinkerに戻り、Import を使ってIAM Identity CenterのメタデータURLを貼り付けるか、手動で入力します:
Entity ID : IAM Identity Center issuer URL
SSO URL : IAM Identity Center sign-in URL
Certificate : メタデータファイルから取得
Create Connection をクリックし、Test をクリックします。Okta — SAMLセットアップ
新しいアプリ連携を作成する
Okta管理コンソール で Applications → Applications → Create App Integration → SAML 2.0 に移動します。
一般設定
アプリに CloudThinker と名前を付けて Next をクリックします。
SAML設定を構成する
CloudThinkerのSP Metadataから入力します: Oktaフィールド CloudThinkerの値 Single sign-on URL ACS URL を貼り付けるAudience URI (SP Entity ID) SP Entity ID を貼り付けるName ID format EmailAddressApplication username Email
属性ステートメントを追加する
Attribute Statements に以下を追加します:名前 値 emailuser.emailfirstNameuser.firstNamelastNameuser.lastName
IdPメタデータを取得する
保存後、アプリの Sign On タブ → SAML Signing Certificates セクション → Actions → View IdP metadata をクリックしてメタデータXMLのURLを取得します。 または直接コピーします:
Identity Provider Single Sign-On URL
Identity Provider Issuer
X.509 Certificate
ユーザーまたはグループを割り当てる
Assignments タブでアクセスを許可するユーザーまたはグループを割り当てます。
CloudThinkerでセットアップを完了する
CloudThinkerのIdP Configurationステップで Oktaメタデータ URL を Import フィールドに貼り付けるか、手動で入力します:
Entity ID : Identity Provider Issuer
SSO URL : Identity Provider Single Sign-On URL
Certificate : X.509 Certificate
Create Connection をクリックし、Test をクリックします。OneLogin — SAMLセットアップ
新しいアプリを作成する
OneLogin管理ポータル で Applications → Applications → Add App → Search for “SAML Custom Connector (Advanced)” を検索してクリックします。
名前を付けて保存する
表示名を CloudThinker に設定して Save をクリックします。
Configurationタブを設定する
Configuration タブに移動し、CloudThinkerのSP Metadataから貼り付けます:OneLoginフィールド CloudThinkerの値 Audience (EntityID) SP Entity ID を貼り付けるACS (Consumer) URL ACS URL を貼り付けるACS (Consumer) URL Validator .*(またはACS URLを正規表現として)Login URL ACS URLと同じ
保存します。
パラメーターマッピングを追加する
Parameters タブで以下を追加します:フィールド名 値 emailEmail firstNameFirst Name lastNameLast Name
IdPの詳細を取得する
SSO タブに移動して以下をコピーします:
Issuer URL (Entity ID)
SAML 2.0 Endpoint (HTTP)
X.509 Certificate (View Details → 証明書をコピー)
ユーザーを割り当てる
Users タブでアクセスを許可するユーザーまたはロールを追加します。
CloudThinkerでセットアップを完了する
CloudThinkerで以下を入力します:
Entity ID : Issuer URL
SSO URL : SAML 2.0 Endpoint (HTTP)
Certificate : X.509 Certificate
Create Connection をクリックし、Test をクリックします。汎用SAML 2.0 上記に記載されていないSAML準拠のIDプロバイダーに使用します。 ステップ1 — CloudThinkerのSPメタデータを取得する Organization Settings → Security → SSO → Add Connection → SAML に移動します。SP Metadata 画面で以下をコピーします:フィールド 使用方法 ACS URL IdPの “Reply URL” または “ACS URL” フィールドに貼り付ける SP Entity ID IdPの “Audience” または “Entity ID” フィールドに貼り付ける SP Metadata URL このURLのインポートを許可するIdPでは、すべてのフィールドを一度に自動入力できる
ステップ2 — IdPでSAMLアプリを作成する IDプロバイダーで新しいSAMLアプリケーションを作成し、上記のSP値を入力します。ユーザー属性マッピングを設定します: CloudThinker属性 IdP属性 email(NameID)ユーザーのプライマリメール firstName名(ファーストネーム) lastName姓(ラストネーム)
ステップ3 — CloudThinkerでIdPの詳細を設定する IdPでSAMLアプリを作成したら、CloudThinkerに戻り IdP Configuration ステップを完了します: フィールド 場所 Display Name 任意のラベルを選択する(例: “Okta SAML”) Entity ID IdPのエンティティ識別子(“Issuer” と呼ばれることもある) SSO URL IdPのシングルサインオンエンドポイントURL Certificate IdPからのX.509署名証明書(base64エンコード) SLO URL (オプション) シングルログアウトエンドポイント——CloudThinkerからサインアウトしたときにIdPからもログアウトさせる場合のみ必要NameID Format IdPが別のフォーマットを必要とする場合を除き、“Email Address” のままにする
IdPがメタデータURLまたはXMLファイルを提供している場合は、上部の Import フィールドを使ってEntity ID、SSO URL、Certificateを自動入力できます——時間の節約とコピーペーストのミスを防げます。
Create Connection をクリックします。
OIDCのセットアップ
Google Workspace
Azure AD / Entra ID
Okta
Generic OIDC
Google Workspace — OIDCセットアップ
OAuthクライアントを作成する
console.cloud.google.com → APIs & Services → Credentials → Create Credentials → OAuth 2.0 Client ID に移動します。アプリケーションタイプ: Web application 。
認証済みリダイレクトURIを追加する
CloudThinkerのOIDC SP Metadataからの Redirect URI を追加します。Create をクリックします。
クレデンシャルをコピーする
Client ID と Client Secret をコピーします。
CloudThinkerでセットアップを完了する
CloudThinkerのOIDC設定で:
Discovery URL : https://accounts.google.com/.well-known/openid-configuration
Client ID : Googleからコピー
Client Secret : Googleからコピー
Create Connection をクリックし、Test をクリックします。Azure AD(Entra ID)— OIDCセットアップ
アプリケーションを登録する
Azureポータル → Microsoft Entra ID → App registrations → New registration に移動します。CloudThinker と名前を付けます。Redirect URI で Web を選択し、CloudThinkerのOIDC SP MetadataからリダイレクトURIを貼り付けます。
クライアントシークレットを作成する
Certificates & secrets → New client secret に移動します。Value をすぐにコピーします——再度表示されません。
CloudThinkerでセットアップを完了する
CloudThinkerのOIDC設定で:
Discovery URL : https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration
Client ID : アプリ登録の概要からの Application (client) ID
Client Secret : コピーしたシークレットの値
Create Connection をクリックし、Test をクリックします。Okta — OIDCセットアップ
OIDCアプリを作成する
Okta管理コンソールで Applications → Create App Integration → OIDC - OpenID Connect → Web Application に移動します。
リダイレクトURIを設定する
Sign-in redirect URIs に、CloudThinkerのOIDC SP MetadataからリダイレクトURIを貼り付けます。Save をクリックします。
CloudThinkerでセットアップを完了する
CloudThinkerのOIDC設定で:
Discovery URL : https://your-org.okta.com/.well-known/openid-configuration
Client ID : OktaアプリのGeneralタブから
Client Secret : OktaアプリのGeneralタブから
Create Connection をクリックし、Test をクリックします。汎用OIDC OpenID Connect準拠の任意のプロバイダーに使用します。
CloudThinkerをOAuthクライアントとして登録する
IdPで新しいOAuth 2.0 / OIDCアプリケーションを作成します。CloudThinkerのOIDC SP Metadata画面に表示される Redirect URI を追加します。
CloudThinkerで設定する
CloudThinkerのOIDC設定に以下を入力します: フィールド 説明 Discovery URL IdPの .well-known/openid-configuration エンドポイント Client ID IdPから発行されたクライアントID Client Secret IdPから発行されたクライアントシークレット
Create Connection をクリックし、Test をクリックします。
セットアップ後
接続をテストする
SSO強制の前に必ずテストします:
SSO接続設定で Test をクリックする
新しいブラウザタブが開いて認証を試みる
CloudThinkerに正常にリダイレクトされることを確認する
ユーザー属性(名前、メール)が正しく受信されたことを確認する
SSO強制(オプション)
確認後、すべてのユーザーにSSO経由の認証を必須化できます:
Organization Settings → Security → SSO に移動する
Enforce SSO をオンにする
次のログイン時にユーザーはIdPにリダイレクトされます——メール/パスワードログインは無効になります
SSO強制の前に、少なくとも1つのOwnerアカウントがSSOで機能することを確認してください。強制後にSSOが壊れた場合、バックアップアクセス方法を持つOwnerが無効化できます。
ユーザープロビジョニング
CloudThinkerはIdPからの email、firstName、lastName 属性を使って、初回SSOログイン時にユーザーを自動プロビジョニングします。新しいユーザーにはデフォルトで Developer ロールが割り当てられます——SSO設定で変更できます。
トラブルシューティング
IdPから「Invalid ACS URL」エラーが発生する
IdPに入力したACS URLがCloudThinkerに表示されているものと完全に一致していることを確認します——プロトコル(https://)の確認とトレイリングスラッシュがないことを確認してください。
属性がマッピングされない(名前がメールとして表示される)
IdPが firstName と lastName 属性を送信していることを確認します。上記のプロバイダーごとの属性マッピングテーブルを参照してください。
-----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- ヘッダーを含む完全なX.509証明書をコピーしていることを確認します。IdPが証明書をローテーションした場合は、CloudThinkerのSSO設定で更新してください。
Ownerはバックアップクレデンシャルを使って Organization Settings → Security → SSO でSSO強制を無効化できます。IdPアプリが影響を受けるすべてのユーザーに割り当てられているか確認してください。
「Audience mismatch」または「Entity ID mismatch」
IdPのSP Entity IDはCloudThinkerのSP Metadataに表示されているSP Entity IDと完全に一致する必要があります——大文字と小文字が区別されます。
次のステップ
MFAのセットアップ 追加の認証レイヤーのためにTOTPベースのMFAを追加する
ロールベースアクセス制御 チームメンバーのきめ細かな権限を設定する
Organization Settings メンバー、ワークスペース、組織レベルの設定を管理する
BYOK データレジデンシーとコスト管理のために独自のAWS Bedrockクレデンシャルを使用する