⚙ シングルサインオンでログインする

## シングルサインオン（SSO）とは
シングルサインオンは、1つのID・パスワードで複数のWebサービスやアプリケーションにログインする仕組みのことです。シングルサインオンを利用することで、DocBaseログイン時に任意のIDプロバイダー経由でのログインが可能となります。

![sso1.png](https://image.docbase.io/uploads/8fd621ec-de0a-47d5-8340-77416cecbc7a.png =WxH)


シングルサインオンを実装する際に使う規格のひとつにSAMLというものがあり、DocBaseでは **G Suite** や **OneLogin** など、SAML 2.0に対応したすべてのIDプロバイダーを利用できます。


## シングルサインオンのメリット
1. 任意のIDサービス経由でのログインが可能
    - 複数のID・パスワードを管理する煩わしさから解放され、一つのID・パスワードで各種サービスへのログインが可能になります。
2. 管理負担の軽減
    - ユーザーのパスワード忘失の対応・アカウント発行の手間を軽減し、サービスごとに要求されるアカウント発行や設定の運用負担を軽減します。
3. 高いセキュリティ
    - 複雑なパスワードの設定がしやすくなり、情報漏えいリスクが軽減します。各サービスのアクセス制限も簡単になり、社員退職時にはID管理サービスからアカウントを削除するだけで、連携した各サービスへのアクセスを遮断できます。

## シングルサインオンのデメリット
DocBaseのシングルサインオンでは、サービスを使うすべてのメンバーをIDプロバイダーに登録する必要があります。会社の制度などで社外のメンバーをIDプロバイダーに登録できない場合、そのメンバーはサービスを利用できません。シングルサインオンを使わないログインに切り替えるか、IDプロバイダーに登録できるよう制度を変更する必要があります。


## 設定方法
IDプロバイダーにてDocBaseと連携し、メンバーのNameID(メールアドレス)を発行します。

**※ なりすまし対策のため、NameIDとして登録されたメールアドレスに本人確認メールを送信します。NameIDには到達可能なメールアドレスのご使用をお願いいたします。**

IDプロバイダーごとの詳しい設定方法は以下をご参照ください。

#{520338}
#{554816}
#{820208}
#{1084617}
#{1124191}
#{2409518}



### :bulb: 自動所属グループで、メンバーのグループ追加の手間を省けます
グループ管理で自動所属グループを設定しておくと、チームメンバー追加時に自動的にそのグループに追加されます。

#{14818}

## DocBaseにシングルサインオンを導入した場合

###  新入社員の場合
こちらの場合はDocBase側に事前にアカウントを作成する必要はありません。

1. 山田太郎さんが入社
2. 山田さんをIDプロバイダーに登録（`taro_yamada@example.com`を発行)
3. 山田さんがDocBaseチームにアクセス
4. IDプロバイダーで認証が行われ、DocBaseにアクセスできる

### すでにDocBaseを使っている社員の方の場合
1〜5は初回のみの操作となります。

1. DocBaseオーナーがシングルサインオンの設定をして、IDプロバイダーと連携する
2. 既存のメンバー全員にNameID（IDプロバイダーに登録されたメールアドレス）を登録するためのメールが通知される
3. 各自がメールに書かれたリンクをクリックし、NameID（IDプロバイダーに登録された自分のメールアドレス）を登録
1. NameIDとして登録されたメールアドレスに本人確認メールが送信される
2. メールに記載されたリンクをクリックし、本人確認完了
4. 次回からIDプロバイダーで認証が行われ、DocBaseにアクセスできる

### 社員が退社した場合
1. IDプロバイダーから該当の社員を除外
2. IDプロバイダー側の認証情報が削除され、DocBaseへのアクセスもできなくなります


## シングルサインオンの導入テスト
シングルサインオンの導入に不安がある場合は、下記メモの手順で導入テストができます。ご参照ください。

#{520373}

## 緊急ログイン
IDプロバイダーの停止や障害でDocBaseにログインできなくなった場合は、一時的な緊急ログインURLを発行し、IDプロバイダーの認証を通さずDocBaseにログインできます。
<span style="color:#d70910;">**※この操作はオーナー権限のみ可能です。**</span>
#{586787}

## 参考

[シングルサインオンFAQ](https://help.docbase.io/posts/19480#%E3%82%B7%E3%83%B3%E3%82%B0%E3%83%AB%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%AA%E3%83%B3%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6-1)