アクセス

ArchibotChat のアクセスと SSO

シングルサインオンのステップで ID プロバイダーの詳細を送信し、ISM が組織のサインインを構成できるようにします。

顧客管理者プラットフォームオペレーター

最終更新 2026年6月18日

シングルサインオンのステップは、顧客管理者が ID プロバイダー (IdP) を ArchibotChat と Console に接続するために必要な、シークレットを含まない詳細を ISM に渡す場所です。メタデータ、クレームマッピング、ロールグループを送信すると、ISM が承認されたチャネルを通じてシークレットの交換を完了し、サインインのテスト準備が整ったことを確認します。

このガイドでは /account/sso ルートのフォームを扱います。これは個別の製品アクセスを付与または変更するものではありません。製品ゲートと請求がサインインしたユーザーが何を開けるかをどのように判断するかについては、ArchibotChat セットアップ と ArchibotChat の請求とクレジット を参照してください。

始める前に

• SSO 設定を送信するには顧客管理者である必要があります。
• アプリのメタデータを読めるように、IdP 管理者を同席させるか、ご自身が IdP 管理者である必要があります。
• ユーザーがサインインに使用するメールドメインを把握してください。
• 使用するプロトコルを決定してください: OIDC または SAML。

小規模チームは SSO を使用する必要はありません。このステップは任意であり、IdP を接続する準備が整うまでメール招待を使い続けられます。プロバイダーを接続するつもりがある場合にのみ SSO の詳細を送信してください。

シングルサインオンのステップを開く

1. Console を開いてアカウント設定に移動します。
2. アカウント設定のナビゲーションで シングルサインオン を選択します。
3. ステップ上部の安全な送信に関するバナーを読みます。これはこのフォームがシークレットを含まないメタデータのみを受け付けることを示すリマインダーです。

ステップのヘッダーにはステータス (未開始、進行中、要確認、または準備完了) が表示され、セルフサービスアカウントの場合は任意マーカーが表示されます。

IdP タイプとログインドメインを選択する

1. IdP タイプ を次のいずれかに設定します:
   • OpenID Connect プロバイダー向けの OIDC。
   • SAML 2.0 プロバイダー向けの SAML。
   • プロバイダーを接続する準備ができていない場合は まだ SSO なし (招待メールを使用)。
2. ログインドメイン に、ユーザーがサインインに使用するメールドメインをカンマ区切りのリストで入力します。例: example.com, example.co。Console がすでにアカウントのドメインを把握している場合は、ルックアップから 1 つを選択して追加できます。

IdP タイプまたはドメインを変更すると、以前のメタデータ検証結果がクリアされるため、調整後に再検証してください。

Console をプロバイダーのメタデータに向ける

ディスカバリー / メタデータ URL の行は、正しいメタデータ URL を見つけて確認するのに役立ちます。

1. プリセットリストからプロバイダーを選択します。プリセットには Microsoft Entra ID、Okta、Google Workspace、Auth0、OneLogin、その他のプロバイダーが含まれます。各プリセットは、テナント ID や company.okta.com など、期待されるホストのヒントを表示します。
2. プロバイダー URL を使用 を選択すると、プロバイダーとドメインから構築された推奨ディスカバリー URL でメタデータフィールドが入力されます。推奨をまだ構築できない場合、Console は最初に入力すべきもの (ログインドメインまたはテナント値) を伝えます。
3. プロバイダーコンソールを開く を選択すると、プロバイダーの管理コンソールが新しいタブで開きます。
4. 一部のプリセットには、プロバイダー固有のセットアップ引き継ぎボタン (たとえばアプリ登録やクレーム画面を開くもの) が追加されます。これらを使用して、IdP アプリケーションを作成または確認する画面に直接ジャンプできます。
5. すでに正確なメタデータ URL がある場合は、代わりにそれをメタデータフィールドに入力または貼り付けます。例: https://idp.example.com/.well-known/openid-configuration。

Console は選択内容のみから推奨とリンクを構築します。シークレットを読み取ったり保存したりすることはありません。

メタデータを検証する

1. メタデータを検証 を選択します。Console はプロバイダーのメタデータ URL に到達し、期待されるフィールドを確認します。実行中、ボタンには 検証中… と表示されます。
2. フィールドの下の結果パネルを読みます:
   • メタデータが検証されました は、Console がプロバイダーに到達し、期待されるフィールドを見つけたことを意味します。プロバイダーと一致することを確認できるように、発見された発行者またはエンティティ ID を表示します。
   • メタデータに対応が必要 は、Console がメタデータを検証できなかったことを意味します。URL、ドメイン、プロトコルを再確認してから、もう一度試してください。

検証は読み取り専用です。URL が到達可能で適切な形式であることを確認しますが、接続を完了するものではありません。

クレームとロールグループをマッピングする

ISM はこれらの値を使用して、サインインしたユーザーを正しい ID とロールにマッピングします。各フィールドは、クイックピックリストの一般的な値またはご自身の入力を受け付けます。

プロバイダーアプリ参照は、シークレットを含まない識別子のみです。これにより ISM は Console の引き継ぎメモを正確な IdP アプリケーションに結び付けられます。ここにクライアントシークレットを入力しないでください。

SSO 準備状況パネルを読む

フィールドの下にある SSO 準備状況 パネルは、ready/total バッジとともに送信の完成度を要約します。一致する詳細を入力すると、各タイルが準備完了に変わります:

• ログインドメイン — 少なくとも 1 つのサインインドメインが設定されている。
• メタデータ検証 — メタデータ URL が存在し、検証されている。
• プロバイダーアプリケーション — プロバイダーアプリ参照が提供されている。
• クレームマッピング — ユーザー名とメールのクレームがマッピングされている。
• ロールグループ — 管理者グループとメンバーグループに名前が付けられている。
• コールバック — プロバイダー側のコールバック設定が考慮されている。
• テストユーザー — 少なくとも 1 つのテストアカウントが提供されている。

送信前にすべての項目を満たす必要はありませんが、より充実した準備状況の要約があれば、ISM はより早く完了できます。

SSO 設定を送信する

1. デバイス MFA をまだ完了できない承認済みユーザーのために一時的なパスワードフォールバックが必要な場合は、パスワードフォールバック オプションを設定して要求します。これはアカウントでパスワードフォールバックが有効になっている場合にのみ利用可能で、ISM がポリシーを承認して有効化しないとログイン動作は変わりません。
2. メンテナンスウィンドウやプロバイダー固有の癖など、ISM が知っておくべきことを SSO メモ に追加します。
3. SSO 設定を送信 を選択します。

Console は送信を確認し、構成がテスト準備できたら ISM が連絡することを伝えます。ISM は接続を完了し、シークレットの交換はこのフォームではなく承認されたチャネルを通じて行います。

このフォームに入力してはいけないもの

シングルサインオンのステップは、シークレットを含まない OIDC または SAML メタデータのみを受け付けます。次のものを貼り付けないでください:

• クライアントシークレットまたは署名鍵。
• 秘密の情報を含む秘密鍵または証明書。
• Cookie、セッショントークン、または招待トークン。
• パスワード。

ISM が接続を完了するためにシークレットを必要とする場合は、承認されたチャネルを通じて要求します。

送信後

• ISM は送信を確認し、確認またはフォローアップの質問のために連絡します。
• 接続が稼働すると、ユーザーは ArchibotChat の URL で組織を通じてサインインします。
• サインインに成功することは、製品が有効になっていることと同じではありません。製品ゲートと請求が依然として各ユーザーが何を開けるかを判断します。ArchibotChat セットアップ を参照してください。

関連ガイド

• 顧客管理者セットアップ
• ArchibotChat セットアップ
• ArchibotChat はじめに
• ArchibotChat トラブルシューティング
• アクセスロール