シングルサインオン(SSO)連携
[更新日: 2025年6月25日]
概要
さくらのクラウドにおけるシングルサインオン(SSO)連携の概要と操作方法について説明します。
外部のIdP(Identity Provider)情報の登録により、さくらのクラウドへシングルサインオンできるようになります。
サービス仕様
会員単位でSSOプロファイルを登録可能
認証方式として SAML 2.0 を採用
SAMLのNameIDにはメールアドレス(email)を使用
このため既存のユーザに対してメールアドレスの登録が可能
ユーザのメールアドレス登録について、会員配下でユニークである必要がある
登録したSSOプロファイルの中から一つを有効にできる
有効化されたSSOプロファイルにより、会員配下のクラウドユーザーにSSOが適用
メールアドレスが登録されたユーザーのみSSOログイン可能
さくらのクラウドで2段階認証を設定していても発動しない(IdPの認証に任せる)
メールアドレスが登録されていないユーザーは従来どおりパスワードログインが可能(SSOログインはできない)
有効にしたSSOプロファイルは無効にできる
SSOが有効な状態でメールアドレス未登録ユーザーが存在するケース
SSOを有効化している場合でも、メールアドレスが未登録のユーザーは引き続きパスワードでログイン可能です。これは、何らかの理由でSSOログインが行えない状況に備えて、SSOを適用しないユーザーを保持することを想定した仕様です。
なお、メールアドレスを登録したユーザーはSSO認証のみが有効となります。
利用想定フロー
管理者のSSO連携作業
IdP側サービスにてSSOアプリケーションを登録
さくらのクラウド(SP)側でIdPのSSOアプリケーション情報を元にSSOプロファイルを登録し有効にする
管理者のユーザ登録作業
IdP側サービスでユーザを登録
さくらのクラウド側でユーザを登録
このときIdPとSPでメールアドレスを同じものにしておく適宜ユーザに必要な権限を付与
利用者のユーザログイン
利用者はIdPサービスにログインし、さくらのクラウドアプリを選択
さくらのクラウドに遷移して自動ログイン完了
クラウドコントロールパネルで操作
SSOプロファイルの作成
左側のサイドメニューから「SSOプロファイル」を選択し、右上の「APIキーの作成」を選択します。
新しいSSOプロファイルを作成するために必要なIdP情報や証明書情報を入力し、下部の「作成」を選択します。
入力項目
入力項目 |
項目の説明 |
|---|---|
SSOプロファイル名 |
1〜32文字で入力してください |
説明 |
1〜512文字で入力してください |
IdP情報 |
IdPエンティティID:IdP側で定義されている一意の識別子(例: https://idp.example.com) |
証明書 |
X.509証明書をテキスト形式で貼り付けてください |
有効状態 |
SSOプロファイルは作成後に有効化できます |
注意事項
入力する情報は、IdP側の設定と正確に一致している必要があります。
証明書の形式が正しくないと、SSOの認証が失敗します。
IdP側のプロファイル作成後に、SP側(さくらのクラウド側)におけるSSO設定も必要になる場合があります。
SSOプロファイルの編集・削除
左側のサイドメニューの「SSOプロファイル」を選択します。
作成済みのSSOプロファイル一覧が表示されるので、編集・削除したいSSOプロファイルを選択します。
編集する際は、変更したい項目を編集し、下部の「保存」を選択します。
削除する場合は右上の「SSOプロファイルの削除」を選択します。
ユーザの登録
シングルサインオンを実現するためには、IdPおよびさくらのクラウドの両方で同じユーザを登録しておく必要があります。
IdP側のユーザ登録が済んだら、さくらのクラウド側にもユーザを作成します。
その際、必ずIdP側で登録したメールアドレスと同じものをさくらのクラウドにも入力してください。
