SAML SSO
SankaワークスペースでSAMLシングルサインオンを設定し、SSOユーザー追加、ログイン、ドメイン、アクセス問題を確認します。
最終更新日: 2026/5/28
このガイドでは、SAMLシングルサインオンでSankaにログインするワークスペース向けに、設定に必要な情報、SSOユーザーの追加方法、期待されるログイン動作、ドメイン・席数・アクセス問題の確認方法を説明します。
SAML SSOでできること
SAML SSOを使うと、ワークスペースユーザーはSankaのパスワードではなく、IDプロバイダー経由でログインできます。Sankaでは、SSOは次の動作に関係します。- ログイン画面の SSOでサインイン タブを使います。
- メールドメインを確認し、正しいIDプロバイダーへ案内します。
- SSOでログインするユーザーをワークスペースに追加します。
- SSO専用ユーザーのパスワードログインとパスワードリセットを制御します。
- メールドメイン、ユーザーレコード、ワークスペースの席数、IDプロバイダー側の割り当てに関する問題を切り分けます。
設定前に準備します
SankaサポートがSSOを設定する前に、次の情報を準備します。- ワークスペース名とワークスペース管理者の連絡先
- SSOで使うメールドメイン(例:
example.com) - OktaなどのIDプロバイダー名
- IDプロバイダーのサインインURL
- IDプロバイダーのエンティティID
- IDプロバイダー証明書
- Sankaがユーザー識別に使うメール属性
- 対象ドメインに所属し、IDプロバイダー側でSankaアプリに割り当て済みのテストユーザー
- ワークスペースでSSO専用ログインを必須にするかどうか
AIに設定チェックリストを作成してもらう
AIはチェックリストやサポート返信の下書きに役立ちます。ただし、IDプロバイダーの値を推測したり、ワークスペースのアクセスルールを変更したりしないようにします。サンプルプロンプト
/sanka SankaワークスペースのSAML SSO設定チェックリストを作成してください。ワークスペース管理者、メールドメイン、IDプロバイダー、サインインURL、エンティティID、証明書、メール属性、テストユーザー、SSO専用ログインの判断、席数、検証手順を含めてください。不足しているIDプロバイダー情報を推測したり、ユーザーアクセスを変更したりしないでください。SankaサポートとSSOを設定します
- Sankaサポートへ、対象ワークスペースのSAML SSO設定を依頼します。
- ワークスペース名、メールドメイン、IDプロバイダー、必要なSAMLメタデータを安全なサポート手順で共有します。
- IDプロバイダーでSankaアプリを作成するか、既存アプリを開きます。
- Sankaサポートから案内されたサービスプロバイダーのエンティティIDと返信URLを設定します。
- Sankaがユーザーのメールアドレスを受け取れるように、メール属性を設定します。
- 全社展開の前に、小さなテストグループを割り当てます。
- Sankaサポートに、ドメイン登録とテスト準備が完了したことを確認します。
SSOユーザーを追加します
ドメイン登録後、ワークスペース管理者はユーザー招待の流れからSSOユーザーを追加できます。- ワークスペース > ユーザー を開きます。
- SAMLユーザーを追加する操作を選択します。
- ユーザー名とメールアドレスを入力します。
- メールのドメインが登録済みSSOドメインと一致していることを確認します。
- ワークスペースに空き席があることを確認します。
- ユーザーを追加し、ログイン画面のSSOタブからログインしてもらいます。
期待されるログイン動作
| 状況 | 期待動作 |
|---|---|
| ユーザーがSSO対応メールドメインを入力します | SankaはSSOサインインの流れからIDプロバイダーへ案内できます。 |
| メールドメインが未登録です | Sankaは、そのドメインがSSOに対応していないことを表示します。 |
| ワークスペースでSSO専用ログインを必須にしています | 対象ワークスペースのユーザーは、メールとパスワードでログインできません。 |
| ユーザーがSSOユーザーとして作成されています | パスワードログインとパスワードリセットは利用できず、SSOを使います。 |
| ユーザーがIDプロバイダー側で割り当てられていません | Sankaのドメイン設定が正しくても、IDプロバイダー側でログインが拒否される場合があります。 |
| ワークスペースに空き席がありません | 席を追加するかプランを更新するまで、新しいSSOユーザー追加は失敗します。 |
展開前に検証します
SAML SSOチェックポイント
ログ
ログを検索すべてのアクションすべての日付
ID / アクション日時対象 / 項目変更内容実行者
1ドメインを登録2026年5月23日SAML SSOワークスペースドメインとIDプロバイダーメタデータを確認ワークスペース管理者
2テストユーザーを追加2026年5月23日ワークスペースユーザーテストユーザーのメールドメインと空き席を確認ワークスペース管理者
3SSOログインを確認2026年5月23日ログイン全社展開前にテストユーザーがIDプロバイダー経由でログインIT管理者
SSO専用ログインを必須にしたり、全社展開したりする前に確認します。多くのSSO問題は、ドメイン、IDプロバイダー割り当て、証明書、メール属性、席数の設定で説明できます。
- SSOタブで、テストユーザーのメールドメインが認識されることを確認します。
- テストユーザーがIDプロバイダーのログイン画面へ進めることを確認します。
- IDプロバイダーから期待するメールアドレスが返ることを確認します。
- ユーザーが正しいSankaワークスペースに入れることを確認します。
- SSO専用にするべきユーザーとワークスペースだけ、パスワードログインがブロックされることを確認します。
- SSO専用ユーザーの復旧方法として、Sankaのパスワードリセットを案内しないことを確認します。
よくある問題を確認します
| 問題 | 確認すること |
|---|---|
| SSOドメインが対応していません | メールドメインがSankaサポートに登録済みで、ユーザーが正しい業務用メールを入力していることを確認します。 |
| SAMLユーザーを追加できません | メール形式、登録済みドメイン、ユーザー権限、ワークスペースの空き席、既存ユーザーかどうかを確認します。 |
| IDプロバイダーへ遷移しますがログインできません | IDプロバイダー側の割り当て、グループ、アプリ状態、証明書、メール属性のマッピングを確認します。 |
| ログイン後に違うワークスペースへ入ります | メールアドレス、ワークスペース所属、複数ワークスペース所属の有無を確認します。 |
| パスワードログインがブロックされます | ワークスペースでSSO専用ログインが必須か、ユーザーがSSOユーザーとして作成されているかを確認します。 |
| パスワードリセットができません | SSOユーザーは、SankaのパスワードリセットではなくIDプロバイダー側でアクセスを復旧します。 |
| 以前は使えていたSSOが使えません | 証明書の更新、IDプロバイダーアプリの変更、ドメイン変更、ユーザーがIDプロバイダーのグループから外れていないかを確認します。 |
AIに安全に確認させます
顧客からSSO問題の問い合わせがあった場合、AIはまず設定、ドメイン、IDプロバイダー割り当て、ユーザー作成、空き席、SSO専用ログイン、パスワード復旧のどれに該当するかを確認します。これらを確認するまでは、コード変更を提案しないようにします。サンプルプロンプト
/sanka このSAML SSO問題について、返信文やコード変更を作成する前に確認してください。ユーザーのメールドメイン、そのドメインのSSO登録状況、IDプロバイダー割り当て、メール属性マッピング、証明書変更、SSO専用ワークスペース設定、ワークスペース所属、空き席、パスワードリセットの期待動作を確認してください。期待動作、不足している証跡、次にユーザーが安全に確認できる内容を要約してください。人が承認するまで、アクセスルール変更やコード変更案の作成は行わないでください。