メインコンテンツへスキップ
シングルサインオンを使うと、チームが既存のIDプロバイダーを使ってCloudThinkerに認証できます——個別のパスワードが不要で、ユーザーの自動プロビジョニングと、退職者の集中デプロビジョニングが可能です。
SSOは ScaleScale +Enterprise プランで利用できます。開始するには、Organization Settings → Security → SSO に移動して Add Connection をクリックします。

セットアップウィザードの仕組み

SSOウィザードには3つのステップがあります: Protocol → SP Metadata → IdP Configuration
  1. Protocol — SAML 2.0またはOIDCを選択する
  2. SP Metadata — SAMLアプリ作成時にCloudThinkerの値をIdPにコピーする
  3. IdP Configuration — IdPの値をCloudThinkerに貼り付ける
以下のタブで、IDプロバイダーごとの具体的な手順を確認してください。

SAMLのセットアップ

Google Workspace — SAMLセットアップ

1

Google管理コンソールを開く

admin.google.com に移動し、Apps → Web and mobile apps → Add app → Add custom SAML app を選択します。
2

アプリに名前を付ける

CloudThinker などの名前を付けて Continue をクリックします。
3

IdPメタデータをダウンロードする

Google IdP information 画面で IdP metadata XML をダウンロードするか、以下をメモします:
  • SSO URL(シングルサインオンURL)
  • Entity IDhttps://accounts.google.com/o/saml2?idpid=...
  • Certificate(X.509証明書をダウンロード)
Continue をクリックします。
4

CloudThinkerのSP詳細を入力する

CloudThinker → Settings → Security → SSO → SP Metadata から値をコピーします:
GoogleフィールドCloudThinkerの値
ACS URLCloudThinkerの ACS URL を貼り付ける
Entity IDCloudThinkerの SP Entity ID を貼り付ける
Name ID formatEMAIL
Name IDBasic Information > Primary email
Continue をクリックします。
5

属性マッピングを設定する

以下の属性マッピングを追加します:
Googleディレクトリ属性アプリ属性
Primary emailemail
First namefirstName
Last namelastName
Finish をクリックします。
6

アプリを有効にする

アプリ設定でアクセスを On for everyone(または特定の組織単位を対象に)に設定します。
7

CloudThinkerでセットアップを完了する

CloudThinkerのSSOウィザードに戻り、以下を貼り付けます:
  • GoogleからのEntity ID
  • GoogleからのSSO URL
  • Certificate(X.509証明書の内容を貼り付け)
Create Connection をクリックし、Test をクリックして確認します。
CloudThinkerの Import フィールドにGoogle IdPメタデータURLを貼り付けると、Entity ID、SSO URL、Certificateが1ステップで自動入力されます。

OIDCのセットアップ

Google Workspace — OIDCセットアップ

1

OAuthクライアントを作成する

console.cloud.google.comAPIs & Services → Credentials → Create Credentials → OAuth 2.0 Client ID に移動します。アプリケーションタイプ: Web application
2

認証済みリダイレクトURIを追加する

CloudThinkerのOIDC SP Metadataからの Redirect URI を追加します。Create をクリックします。
3

クレデンシャルをコピーする

Client IDClient Secret をコピーします。
4

CloudThinkerでセットアップを完了する

CloudThinkerのOIDC設定で:
  • Discovery URL: https://accounts.google.com/.well-known/openid-configuration
  • Client ID: Googleからコピー
  • Client Secret: Googleからコピー
Create Connection をクリックし、Test をクリックします。

セットアップ後

接続をテストする

SSO強制の前に必ずテストします:
  1. SSO接続設定で Test をクリックする
  2. 新しいブラウザタブが開いて認証を試みる
  3. CloudThinkerに正常にリダイレクトされることを確認する
  4. ユーザー属性(名前、メール)が正しく受信されたことを確認する

SSO強制(オプション)

確認後、すべてのユーザーにSSO経由の認証を必須化できます:
  1. Organization Settings → Security → SSO に移動する
  2. Enforce SSO をオンにする
  3. 次のログイン時にユーザーはIdPにリダイレクトされます——メール/パスワードログインは無効になります
SSO強制の前に、少なくとも1つのOwnerアカウントがSSOで機能することを確認してください。強制後にSSOが壊れた場合、バックアップアクセス方法を持つOwnerが無効化できます。

ユーザープロビジョニング

CloudThinkerはIdPからの emailfirstNamelastName 属性を使って、初回SSOログイン時にユーザーを自動プロビジョニングします。新しいユーザーにはデフォルトで Developer ロールが割り当てられます——SSO設定で変更できます。

トラブルシューティング

IdPに入力したACS URLがCloudThinkerに表示されているものと完全に一致していることを確認します——プロトコル(https://)の確認とトレイリングスラッシュがないことを確認してください。
IdPが firstNamelastName 属性を送信していることを確認します。上記のプロバイダーごとの属性マッピングテーブルを参照してください。
-----BEGIN CERTIFICATE----------END CERTIFICATE----- ヘッダーを含む完全なX.509証明書をコピーしていることを確認します。IdPが証明書をローテーションした場合は、CloudThinkerのSSO設定で更新してください。
Ownerはバックアップクレデンシャルを使って Organization Settings → Security → SSO でSSO強制を無効化できます。IdPアプリが影響を受けるすべてのユーザーに割り当てられているか確認してください。
IdPのSP Entity IDはCloudThinkerのSP Metadataに表示されているSP Entity IDと完全に一致する必要があります——大文字と小文字が区別されます。

次のステップ

MFAのセットアップ

追加の認証レイヤーのためにTOTPベースのMFAを追加する

ロールベースアクセス制御

チームメンバーのきめ細かな権限を設定する

Organization Settings

メンバー、ワークスペース、組織レベルの設定を管理する

BYOK

データレジデンシーとコスト管理のために独自のAWS Bedrockクレデンシャルを使用する