認証ポリシー
認証ポリシーを使うと、許可するログイン方法のセットを名前付きで定義し、ユーザーに割り当てられます。ほとんどのメンバーではSAML SSOによるログインのみを許可したいが、一部のユーザーのみメール/パスワードによるログインも許可したい、といったように、ユーザーの属性ごとにログイン方法を分けて運用できます。
各ユーザーは必ず1つの認証ポリシーに所属し、そのポリシーで許可されたログイン方法だけでログインできます。
必要なロール
認証ポリシーの作成・編集・削除や、ユーザーへの割り当ては、企業アカウント管理者のみが行なえます。
ログイン方法の種類
認証ポリシーでは、次の3種類のログイン方法を組み合わせて許可できます。各ポリシーには少なくとも1つのログイン方法を許可する必要があります。
| ログイン方法 | 説明 |
|---|---|
| メール / パスワード | メールアドレスとパスワードでログインします。 |
| Googleアカウントでログインします。 | |
| SAML SSO | 企業アカウントで設定済みのIdP経由でログインします。 |
SAML SSOを許可するには、あらかじめ企業アカウントのセキュリティ設定でSAMLを設定しておく必要があります。SAMLが未設定の場合、ポリシー編集画面でSAML SSOは選択できません。
デフォルトのポリシー
企業アカウントには、あらかじめデフォルトのポリシーが1つ用意されています。新しいポリシーを作成するまでは、すべてのユーザーがこのポリシーに所属します。デフォルトのポリシーは名前や許可するログイン方法を変更できます。
認証ポリシーを作成する
企業アカウント設定のセキュリティ画面 (opens in a new tab)から認証ポリシーの一覧を開き、「ポリシーを追加」を選びます。
- ポリシー名を入力します。
- 許可するログイン方法を選択します(少なくとも1つ)。
- 「ポリシーを作成」を選びます。
ユーザーの追加は、ポリシーを作成したあとに編集画面から行ないます。
認証ポリシーを編集する
一覧でポリシーを選ぶと編集画面が開きます。ポリシー名と許可するログイン方法を変更し、「変更を保存」を選びます。変更は、そのポリシーに所属するすべてのユーザーにすぐ反映されます。
あるログイン方法を許可から外すと、その方法でしかログインできないユーザーはログインできなくなる場合があります。許可するログイン方法を変更する際は、所属ユーザーが他の許可された方法でログインできるか確認してください。
ユーザーをポリシーに割り当てる
各ユーザーは1つの認証ポリシーに所属します。割り当ては次の方法で行なえます。
ユーザーの招待時に割り当てる
新しいユーザーを招待するときに、所属させる認証ポリシーを選択します。認証ポリシーの選択は必須です。
ユーザーの編集画面で変更する
ユーザーの編集画面で「認証ポリシー」を選び直すと、そのユーザーの所属ポリシーを変更できます。
ポリシー編集画面からまとめて移動する
ポリシー編集画面の「所属ユーザー」で「ユーザーを追加」を選ぶと、他のポリシーに所属しているユーザーを、このポリシーへまとめて移動できます。一覧から対象のユーザーをチェックして「移動」を選ぶと、選択したユーザーの所属ポリシーが現在のポリシーから移動します。
認証ポリシーを削除する
ポリシー編集画面の「ポリシーを削除」から削除できます。
ポリシーを削除できるのは、所属ユーザーがいない場合のみです。所属ユーザーがいる場合は、先に所属ユーザーを別のポリシーへ移動してください。
企業アカウントの認証設定との関係
認証ポリシーで許可できるログイン方法は、企業アカウント全体の認証設定で有効になっている方法の範囲内です。たとえばSAML SSOは、企業アカウントでSAMLを設定していないと許可できません。