SSO について
シングルサインオン(SSO)により、組織の ID プロバイダーを使用してチームメンバーが Twenty にログインできます。 これにより、次のことが可能になります:- 一元的なアクセス制御: 1 か所からアクセスを管理
- 強化されたセキュリティ: 既存のセキュリティポリシーを活用
- 優れたユーザー体験: すべてのツールで 1 組の認証情報を使用
サポート対象のプロバイダー
Twenty は次の SSO をサポートしています:- SAML 2.0: ほとんどのエンタープライズ ID プロバイダーで動作
- Google Workspace: Google を利用する組織向け
- Microsoft Entra ID: (旧称 Azure AD)Microsoft 環境向け
SSO のセットアップ
前提条件
- Organization プラン(クラウドおよびセルフホストのワークスペース)
- ID プロバイダーへの管理者アクセス権
- Twenty ワークスペースへの管理者アクセス権
SSO をセットアップしたいセルフホストユーザーの方は、contact@twenty.com までご連絡ください
構成手順
1. SSO 設定にアクセス
- 設定 → セキュリティ に移動します
- SSO 構成 セクションを見つけます
- SSO を構成 をクリック
2) プロバイダーを選択
一覧から ID プロバイダーを選択するか、その他のプロバイダーの場合は「Custom SAML」を選択します。3. ID プロバイダーを構成
ID プロバイダーで次を設定する必要があります:- エンティティ ID: Twenty が提供
- ACS URL: 認証用のコールバック URL
- 証明書: セキュアな通信のため
4. Twenty にプロバイダーの詳細を入力
- SSO URL: プロバイダーのログイン URL
- エンティティ ID: プロバイダーの識別子
- 証明書: プロバイダーの X.509 証明書
5. テストして有効化
- セットアップを確認するには 構成をテスト をクリック
- テストが成功したら SSO を有効化します
- ユーザー プロビジョニングの設定を行います
ユーザー プロビジョニング
ジャストインタイム(JIT)プロビジョニング
- 初回ログイン時にユーザーが自動作成されます
- デフォルトのロールが自動的に割り当てられます
- 手動でユーザーを作成する必要はありません
手動プロビジョニング
- ログイン可能になる前にユーザーを招待します
- 特定のロールを事前に割り当てます
- アクセス可能なユーザーをより詳細に制御できます
SSO ユーザーの管理
ロールの割り当て
SSO ユーザーには、通常のユーザーと同様にロールを割り当てられます:- 設定 → メンバー に移動
- ユーザーを見つけます
- 必要に応じてロールを変更します
アクセスの取り消し
SSO ユーザーのアクセスを削除するには:- ID プロバイダーから削除する、または
- Twenty のワークスペースから削除します
ベストプラクティス
セキュリティ
- SSO を必須にする: SSO ユーザーのパスワードログインを無効化
- 定期的な監査: 定期的にアクセスを見直す
- 強力な IdP ポリシー: ID プロバイダーで MFA を強制
ユーザー管理
- 明確な命名: ディレクトリで一貫した命名を使用
- グループ マッピング: IdP のグループを Twenty のロールにマッピング(可能な場合)
- オフボーディング プロセス: デプロビジョニングのワークフローに Twenty を含める
トラブルシューティング
一般的な問題
- 証明書エラー: 証明書の有効期限が切れていないことを確認
- URL の不一致: ACS URL が完全に一致していることを確認
- ユーザーが見つからない: JIT プロビジョニングの設定を確認
サポートを受ける
問題が発生した場合は、次の情報を添えてサポートにお問い合わせください:- 受信したエラーメッセージ
- 使用している ID プロバイダー
- 構成の詳細(機微なデータを除く)