シングルサインオン（SSO） – Miro Help Center

SAML ベースのシングルサインオン（SSO）により、ユーザーは選択した ID プロバイダー（IdP）から Miro にアクセスできます。

利用可能なプラン：Enterprise プラン、Business プラン
設定者：会社の管理者

SAML SSO の仕組み

Miro のユーザーが SSO を使用して Miro にログインしようとすると、Miro は、SAML（Security Assertion Markup Language）リクエストを ID プロバイダー（IdP）に送信します
ID プロバイダーは、ユーザーの認証情報を検証し、Miro に返信して、メンバーの ID を確認します
Miro が、応答を認識し、アクセスを許可して、メンバーが Miro アカウントにログインできるようになります

SSO を有効にした後はどうなりますか？

初めて SSO を有効にする

初めて SSO を設定しても、既存のユーザーは中断されることなく Miro で作業を続けることができます。ただし、ログアウトしたときや、セッションの有効期限が切れたとき、または新しいデバイスからログインしようとするときは、SSO でログインする必要があります。

標準のログイン + パスワード、Google、Facebook、Slack、AppleID、O365 などの他のログインオプションは無効になります。

アイドルセッションタイムアウト

アイドルセッションタイムアウトを有効にしている場合、ユーザーは自動的に Miro プロフィールからログアウトされ、SSO で認証する必要があります。

複数のチームと組織

ユーザーが複数の Miro チームや組織を使用している場合、同じ ID プロバイダー（IdP）を認証に使用するように設定することができます。

SSO でのログインが必要なユーザーと必要でないユーザー

SSO でのログインが必要なのは、Enterprise サブスクリプションの一員で、かつ SSO 設定にドメインが記載されているユーザーのみです。

SSO 設定に追加されていないドメインから Miro にアクセスするユーザーは、SSO でログインする必要はありません。代わりに、標準のログイン方法を使用してログインする必要があります。
Miro の Enterprise サブスクリプションのメンバーではないない検証済みドメインのユーザーは、SSO でログインする必要がありません。
⚠️ ユーザーが Enterprise サブスクリプション外の Miro チームのメンバーである場合は、SSO でのログインが必要です。ただし、他のチームへのアクセスは引き続き可能です。他のチームへのアクセスを阻止したい場合は、ドメイン管理をお勧めします。

ユーザーの詳細情報を管理する

ログインに成功すると、ID プロバイダーによって、Miro 内のユーザーデータの紐づけが自動的に行われます。名前やパスワードなどの一部のパラメータは変更できません。部門やプロフィールの写真などの他のパラメーターは任意です。

Miro のユーザー名は、ユーザー認証が成功するたびに更新されます。Miro のユーザー名の設定について詳しくは、高度な SSO 設定をご覧ください。ユーザーのメールアドレスを変更する必要がある場合は、SCIM でのみ変更できます。SCIMをご利用でない場合は、サポートチームまでご連絡ください。

SSO 設定でのドメイン

💡 ロックアウトを防ぐには、SSO 設定にリストされているドメイン外のドメインを持つメールアドレス（例：acmebreaktheglass@gmail.com）で、「break the glass」ユーザーを作成します。あるいは、サポートに連絡して組織全体の SSO を無効化することもできます。

SSO の設定

ID プロバイダー（IdP）

ご希望の ID プロバイダーを使用してください。最もよく使われている ID プロバイダーのプラットフォームには、以下のようなものがあります。

OKTA
Azure AD（Microsoft）
OneLogin
ADFS（Microsoft）
Auth0
Google SSO
Jumpcloud SSO

IdP の設定方法

1. ID プロバイダーの設定パネルに移動し、プロバイダーの指示に従って、シングルサインオンを設定します。

2. 以下のメタデータを追加します。オプションのフィールドは飛ばし、デフォルト値はそのままにしておくことをお勧めします。

設定仕様（メタデータ）

プロトコル	SAML 2.0
バインディング	SP から IdP への HTTP リダイレクト IdP から SP への HTTP ポスト
サービスURL（SP-initiated URL）起動 URL、返信 URL、リライングパーティー SSO サービス URL、ターゲット URL、SSO ログイン URL、ID プロバイダーエンドポイントなどとも呼ばれます。	https://miro.com/sso/saml
Assertion Consumer Service URL 許可されたコールバック URL、カスタム ACS URL、返信 URLとしても知られています	https://miro.com/sso/saml
エンティティー ID 識別子、証明書利用者信頼識別子としても知られています	https://miro.com/
デフォルトのリレー状態	設定で空のままにする必要があります
署名要件	署名付きアサーションを含む未署名の SAML 応答署名付きアサーションを含む署名付き SAML 応答
SubjectConfirmation Method	"urn:oasis:names:tc:SAML:2.0:cm:bearer"
ID プロバイダーの SAML 応答には、ID プロバイダーが発行した公開鍵の x509 証明書が含まれている必要があります。 SAML の詳細な例をご覧ください。Miro SP メタデータファイル（XML）をダウンロードします。

⚠️ 暗号化やシングルログアウトには対応してません。

ユーザーの資格情報

以下のフィールドは必須ではありません。オプションのフィールドは飛ばし、デフォルト値はそのままにしておくことをお勧めします。

必要なユーザーの資格情報の属性

NameID （ユーザーのメールアドレスと等しくなります）

SAML_Subject、主キー、ログオン名、アプリケーションユーザー名形式などとしても知られています。

（通常は別の属性である「EmailAddress」と混同しないでください）

アサーション付きで送信するオプションの属性

（SSO 経由で新しい認証ごとに更新され、存在する場合に使用されます）

「DisplayName」または「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname」（優先的に使用されます）

「FirstName」または「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname」
「LastName」または「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname」
"ProfilePicture" ーエンコードされた画像の URL

Miro の設定で SSO を有効にする方法

✏️ 設定で SSO を有効化しても、すぐにユーザーの SSO が有効になるわけではありません。SSO のログインは、ドメインが確認された後にはじめて利用できます。

1. [会社の設定] > [認証] > [シングルサインオン] に移動します
2. SSO/SAML

のトグルをオンにします

⚠️ 2 つのウィンドウを開いて作業することを強くお勧めします。標準のブラウザーウィンドウで設定を開いたまま、シークレットモードでログイン手順をテストします。これにより、何かが正しく設定されていない場合に、SSO認証を容易にオフにすることができます。本番環境で SSO を有効にする前にテストインスタンスを設定したい場合は、サポートチームまでご連絡ください。

Miro の設定で SSO を設定する方法

シングルサインオン設定で SSO/SAML 機能のトグルをオンにした後、以下のフィールドに入力します。

SAML ログイン URL（多くの場合、エンドユーザーが資格情報を入力する ID プロバイダーのページが開きます）
公開鍵の x.509 証明書（ID プロバイダーが発行したもの）
SAML サーバー経由で認証できる、または認証する必要があるすべてのドメインおよびサブドメイン（ACME.com または ACME.dev.com）

Miro SSO 設定

SSO ドメインを検証する

設定者：会社の管理者

💡 ドメイン管理で既に検証済みであるドメインは、再度検証する必要はありません。

ドメイン名を入力した後、そのドメインを検証する必要があります。SSO 設定でドメインリストに追加され、検証されるまで、ユーザーは SSO を利用できません。ドメインが検証されていない場合、SSO 設定に [メールを検証] というテキストが表示されます。

Miro の SSO 設定の未検証ドメイン

ドメイン検証を成功させるための要件

検証を実行するユーザーは、会社の管理者である必要があります。会社の管理者が、会社の管理者ではないユーザーに検証メールを送信したい場合は、確認リンクが記載された検証メールを転送して、プロセスを完了することができます。
使用するメールアドレスは、実際のものである必要があります（検証メールを受信できる）。
パブリックドメイン（@gmail.com、@outlook.com など）は使用できません。
SSO 機能を有効にし、ドメイン名を SSO 設定に追加する必要があります。

ドメインを検証する方法

ドメインを追加すると、ポップアップが開き、ドメインを検証するためにメールアドレスを入力するように求められます。SSO 設定で追加したドメインと同じドメインを使用するメールアドレスを入力して、そのドメインを代表していることを証明します
[検証を送信する] をクリックします
15 分以内に検証メールが届きます
メールにある検証リンクをクリックする必要があります。このステップを完了するには、会社の管理者である必要があります
終了するには、[保存] ボタンをクリックします。
これで、検証済みドメインのユーザーが SSO でログインできるようになりました

SSO ドメイン検証のポップアップ

💡 多くのドメインやサブドメインを管理する場合（サブドメインは個別の名前として認識され、個別の検証が必要です）、少なくとも 1 つのドメイン名を検証し、その後、全ドメインのリスト（カンマで区切る）とともにサポートチームにリクエストを提出してください。Miro が一括して確認します。10 以上のドメインがある場合、Miro が検証します。10 ドメイン未満の組織は、自身で検証する必要があります。Business プランで組織ごとに検証できるのは、3 つのドメインのみです。

オプションの高度な SSO 設定

オプション設定は SSO 設定に精通している上級ユーザー向けのセクションです。

常に IdP での認証を実行（非公開ベータ版）

この設定により、公共スペースで作業する場合や非常に機密性の高い情報を扱う場合など、必要なときはいつでも、管理者はセキュリティーを強化することができます。

このオプションをオンにすると、IdP SSO 認証を管理するシステムは、以前のログインを無視し、ユーザーを再ログインさせます。

認証の強制

新規ユーザー向けのジャストインタイムプロビジョニング

エンドユーザーが、招待を待ち、全オンボーディングプロセスに参加しなくても、Miro にすぐ参加できるようにします。また、管理するサブスクリプション以外の無料チームの作成を防ぐこともできます（ドメイン管理が必要です）。新規ユーザーのジャストインタイム（JIT）プロビジョニングを有効にするには、SSO が必要です。JIT でプロビジョニングされたすべてのユーザーには、以下のサブスクリプションのデフォルトライセンスが割り当てられます。

サブスクリプションタイプ	ライセンスタイプ	ライセンスの有効期限が切れた場合の動作
Business プラン	フルライセンス	ユーザーは自動的に追加されず、JIT 機能は動作しなくなります。
Enterprise プラン（フレキシブルライセンスプログラムがない場合）	フルライセンス	制限付き無料ライセンスでプロビジョニングされたユーザー
Enterprise プラン（フレキシブルライセンスプログラムが有効な場合）	無料または制限付き無料ライセンス	デフォルトのライセンス設定によって異なります

ジャストインタイムプロビジョニングを有効にする方法

ジャストインタイムプロビジョニングを有効にすると、Miro に登録しているすべての新規ユーザーに自動的に適用されます。ただし、既存の Miro ユーザーがプランに参加するには招待が必要です。

[SSO 設定] に移動します
リストにあるドメインの新規登録ユーザーを全員 Enterprise アカウントに自動的に追加するにチェックを入れます。
ドロップダウンから、新規登録ユーザーのデフォルトチームを選択します
[保存] をクリックします

シングルサインオン（SSO）設定に特定のドメインをリストすると、そのドメインに登録したユーザーは、自動的に Enterprise サブスクリプションに追加されます。ジャストインタイム（JIT）設定で選択したチームに割り当てられます。

user_provisioning_jit_provisioning.png のコピー Enterprise のインテグレーションページでジャストインタイムプロビジョニング機能を有効にする

設定で記載したドメインの新規登録ユーザーはすべて、Miro 登録時に、ご利用の Enterprise 傘下でこの特定のチームに自動的に追加されます。

⚠️ Enterprise プランでは、チームの公開設定を有効にすると、このチームは公開されたチームのリストにも表示されます。

デフォルトのユーザー名として DisplayName を設定

デフォルトで Miro は FirstName + LastName の属性を使用します。あるいは、DisplayName の使用をリクエストすることもできます。この場合、ユーザーの SAML 応答に DisplayName があると、Miro はこれを使用します。

If the DisplayName がなくても、FirstName + LastName がある場合、Miro は FirstName + LastName を使用します。DisplayName を希望の SSO ユーザー名にするには、Miro サポートにご連絡ください。

SAML 通信にこの 3 つの属性がいずれも存在しない場合、Miro は、ユーザーのメールアドレスをユーザー名として表示します。

設定	デフォルトのユーザー名
Miro のユーザー名	FirstName + LastName
代替設定	DisplayName（ユーザーの SAML リクエストに存在する場合）
フォールバック	FirstName + LastName（DisplayName が存在しない場合）
希望の SSO ユーザー名	DisplayName（Miro サポートにお問い合わせください）
属性が存在しません	ユーザー名として表示されるメールアドレス

予期したものと異なるものが表示された場合は、SSO で認証する必要があるかもしれません。あるいは、SAML 応答に更新に必要な値が含まれていない可能性があります。

IdP からユーザープロフィール写真を同期

⚠️ SCIM を有効化していない場合、または IdP がProfilePicture 属性をサポートしていない場合（例えば、ProfilePicture ではサポートされていない場合など）にこのオプションを有効にすることをお勧めします。その他の場合は、SCIM 経由で ProfilePicture を転送し、すぐに更新することをお勧めします。

この設定がオンになっている場合：

IdP 側で設定したプロフィール写真は、ユーザーの Miro のプロフィール写真として設定されます。
ユーザーは、自分でプロフィール写真を更新または削除することはできません。

ユーザー名と同じように、Miro でデータを変更するオプションは即時になくなりますが、データの同期は即時には行われません。ユーザーの次の SSO 認証の際に、IdP 側は更新情報を Miro に送信します（ただし、その時点で「IdP からユーザープロフィール写真を同期する」の設定がまだ有効である場合に限ります）。

IdP でプロフィール写真が設定され、SAML 通信でその属性を移したい場合、Miro は以下のスキーマを求めます。

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

データレジデンシーを用いた SSO

Miro のデータレジデンシーサポートにより、専用の URL（workspacedomain.miro.com）を利用している場合は、以下のように ID プロバイダーの設定を調整する必要があります。

これを行うには、[ORGANIZATION_ID] を URL に追加する必要があります。

ORGANIZATION_ID は、Miro のダッシュボードから、右上の [プロフィール] > [設定] をクリックすると、アドレスバーの URL に表示されています。

	基準値	データレジデンシーによる値
:アサーションコンシューマーサービス URL（別名：許可されたコールバック URL、カスタム ACS URL、返信 URL）：	https://miro.com/sso/saml	https://workspace-domain.miro.com/ sso/saml/ORGANIZATION_ID
エンティティー ID（識別子、証明書利用者信頼識別子）：https://miro.com/	https://miro.com/	https://workspace-domain.miro.com/ ORGANIZATION_ID

SSO 外のユーザーに対する多要素認証（2FA）の設定

2 要素認証（2FA）は、セキュリティレイヤーを追加します。2FA では、ユーザーがログイン中に追加のステップを完了して、識別情報を検証することが求められます。この追加措置により、認可された個人だけがサブスクリプションにアクセスできるようになります。
詳細は、2 要素認証管理者ガイドをご覧ください。。

起こり得る問題と解決方法

「DomainName is busy」というメッセージが表示され、SSO 設定で、ドメインアドレスが承認されません。

セキュリティー上の理由から、対応できるのは、組織のドメインにつき会社（Enterprise サブスクリプション） 1 つのみです。Business プランまたはEnterprise プランの別のアカウントで、ドメインがすでに設定されているため、希望するドメインで SSO を有効にできない可能性があります。あらかじめ同僚の方に確認してみてください。

ドメイン検証メールのリンクをたどりましたが、検証が行われませんでした。

リンクは Enterprise のインテグレーションページを開くように設定されています。このページが開かない場合は、フローを中断するフィッシング対策ソフトウェアを使用していないかご確認ください。リンクをクリックした時点で Miro の会社の管理者であることも確認します。設定ページへのアクセスが許可されているのは、会社の管理者のみです。

エンドユーザーのメールアドレスを変更しなければなりません / ユーザーのメールアドレスを変更したため、ユーザーがボードにアクセスできなくなりました。

会社がドメイン名を変更し、エンドユーザーのメールアドレスの SSO 認証情報の変更が必要な場合は、サポートチームにご連絡ください。

SSO の手順に、個別のゲートウェイ（例えば、Duo DAG などの MFA）を使用したいと考えています。

もちろんご利用いただけます。SAML 2.0 で動作する限り、Miro はご希望のソリューションに対応します。

SSO を有効にしましたが、Miro のユーザープロフィールデータ（IdP でサポートされている場合は、名前、プロフィール写真）が、IdP のデータと同期されません。

SAMLResponse に空でない新しい値が含まれている場合、ユーザー認証がすべて成功した後、Miro のユーザー名やプロフィール写真は更新されます。Miro のユーザー名の設定について詳しくは、高度な SSO 設定をご覧ください。

Miro にログインしようとしたときに、ユーザーの一人または全員にエラーが発生した場合は、よくあるエラーリストと解決方法をご確認ください。

このセクションの記事