エンタープライズ

SAMLとOIDC経由のシングルサインオン

すでに運用しているアイデンティティ統制の下にCiaoを置く — SAMLまたはOIDC、任意のMFA、ジャストインタイムプロビジョニング、そして本来あるべき場所、つまりIdPで強制されるセッションポリシー。

Ciaoは、任意のMFAとロールベースのアクセス制御を伴うSAMLとOIDC経由のシングルサインオンをサポートします。並行するアイデンティティサイロを作るパスワードベースのツールとは異なり、SSOはCiaoを既存のアイデンティティプロバイダーの背後に置きます — 参加者はディレクトリを通じてアクセスを得て、セッションと再認証のポリシーはIdPのルールに従い、離脱者はIdPが無効化した瞬間にアクセスを失います。

適した用途ITとアイデンティティチームアクセス制御を評価するセキュリティレビュアーエンタープライズオンボーディング

公開日 2026-07-03 · 最終更新 2026-07-03

なぜSSOが通常最初のエンタープライズ要件なのか

自身のパスワードを保持するすべてのツールは、御社のオフボーディングプロセスが見逃す可能性のあるツールです。サインインしたユーザーが本番ソフトウェアへの変更をプロンプトできるプラットフォームにとって、そのリスクはダッシュボード製品よりも鋭いものです: 孤立したアカウントは単なるデータ露出の問題ではなく、変更管理の問題です。セキュリティレビューが要件リストの上位にSSOを置くのは正しいことです。

SSOは、Ciaoの認証をすでに統治しているアイデンティティプロバイダーの背後に移します。アクセスレビューは1か所で行われ、MFAポリシーは一貫して強制され、監査人がすでに受け入れているジョイナー・ムーバー・リーバーのプロセスが、照合が必要な並行アカウントストアなしにAI支援開発をカバーするよう拡張されます。

実際に作業する人々にとってのより静かな利点もあります: パスワードが1つ減り、ログインの儀式が1つ減り、ディレクトリ — チケットキューではなく — が真実の情報源であるため、初日からアクセスが表示されます。安全な道を便利な道にする統制こそ、人々が実際に従う統制であり、SSOはアイデンティティスタックの中で最も明確な例です。

Ciaoが提供するもの

以下のアイデンティティ機能はエンタープライズプラットフォームの一部であり、それぞれオンボーディングや評価中に検証できます。

  • SAMLとOIDC — 両方の主要プロトコル経由のSSOにより、Ciaoは特定のベンダーを要求するのではなく、御社が今日運用しているIdPで動作します。
  • 任意のMFA — MFAは御社のIdPのポリシーを通じて強制でき、Ciao側でもアイデンティティ設定の一部として任意のMFAが利用可能です。
  • ロールベースのアクセス制御 — SSOはRBACとペアになるため、認証は「あなたが誰か」に答え、ロールは「あなたが何をしてよいか」に答えます — ワークスペースとプロジェクトをまたいで。
  • ジャストインタイムプロビジョニング — 御社のIdPを通じて初回サインインが成功した時点でアカウントを作成できるため、オンボーディングは手動のアカウント作成に依存しません。
  • 監査されたアイデンティティとアクセス変更 — アイデンティティとアクセスの変更は管理操作であり、管理操作は追記専用の監査証跡に記録されます。

設定の仕組み

  1. 1. プロトコルを選ぶ

    御社のIdPチームが好む方に基づいて、SAMLまたはOIDCを選びます。どちらも「劣った」選択肢ではありません — 御社のアイデンティティツールが最もうまく管理できる方を選んでください。

  2. 2. IdPでアプリケーションを作成する

    他のSSOアプリケーションと同じように、御社のアイデンティティプロバイダーでCiaoを登録し、アクセスを持つべきユーザーまたはグループを割り当てます。

  3. 3. 設定を交換する

    メタデータ、エンドポイント、証明書はオンボーディング中に御社のIdPとCiaoの間で交換され、エンタープライズチームが御社のアイデンティティエンジニアとともにそれを進めます。

  4. 4. パイロットグループでテストする

    アクセスをさらに広げる前に、サインイン、ジャストインタイムのアカウント作成、ロール割り当てを小さなグループで検証します。

  5. 5. 展開してレビューする

    割り当てを全体に拡大し、次に監査証跡でアクセスイベントと管理操作が御社のレビューが期待する形で記録されていることを確認します。

ジャストインタイムプロビジョニングと、それが解決しないこと

ジャストインタイムプロビジョニングは、ユーザーが御社のIdPを通じて初めてサインインしたときにCiaoアカウントを作成します。これによりオンボーディング時の手動ステップがなくなり、事前作成されたアカウントが使われずに残ることを防ぎます。JITが行わないのは非プロビジョニングです: 二度とサインインしないユーザーは、それでもIdPでアクセスを削除する必要があり、ライフサイクル自動化はSCIMでより適切に処理されます。ほとんどのエンタープライズ展開は、参加にはJIT付きSSOを、フルライフサイクルにはSCIMを使用しています — SCIMページがその半分をカバーしています。

評価中は、JITの経路を明示的にテストしてください: IdPでテストユーザーを割り当て、一度サインインし、想定したロールでアカウントが到着することを確認します。この5分間のテストは、どんなアーキテクチャ図よりも多くを教えてくれます。

セッションポリシーとMFA

セッションの長さ、再認証の頻度、ステップアップルールは、御社のセキュリティチームがすでに調整しているアイデンティティプロバイダーに属し、SSOはCiaoのセッションがサインイン時にIdPが強制するポリシーに従うことを意味します。MFAも同様に動作します: Ciaoへのアクセスを統治するIdPポリシーで強制し、Ciao側でも任意のMFAが利用可能です。レビュアーにとっての実際的な結果は、ドリフトするツールごとのセッション設定ではなく、監査すべき単一のポリシー面です。

御社のポリシーが変わったとき — より短いセッション、より厳格なステップアップルール — IdPで一度変更すれば、プラットフォーム側での並行した設定監査なしにCiaoへのアクセスがそれに従います。

検証に関する注記

アイデンティティの主張は安く検証できます: 評価中にテスト接続を構成し、サインイン、JITアカウント作成、ロールマッピングが御社自身のIdPに対して行われるのを見てください。コンタクトページ経由でリクエストに応じて入手できるセキュリティパックは、アイデンティティアーキテクチャを書面で文書化しており、NDAのもとでのSOC 2 Type IIレポートは、その背後にある監査済みのアクセス管理統制をカバーしています。

機能の概要

機能メカニズム注記
シングルサインオンSAMLまたはOIDC標準準拠のアイデンティティプロバイダーで動作
多要素認証IdPポリシー、加えてCiao側の任意のMFA御社のチームがすでにMFAを統治している場所で強制
アカウント作成初回サインイン時のジャストインタイムフルライフサイクルのためSCIMとペア
認可ロールベースのアクセス制御ワークスペースとプロジェクトの範囲設定
証拠追記専用の監査証跡レビューのために管理操作を記録

よくある質問

どのアイデンティティプロバイダーがサポートされていますか?

SAMLまたはOIDCを実装している任意のアイデンティティプロバイダーです — Okta、Microsoft Entra ID、Google Workspaceなど、企業が一般的に運用しているIdPはすべてこれらのプロトコルを話します。設定はオンボーディング中に御社のアイデンティティチームとともに進めます。

すべてのユーザーにSSO経由のみのサインインを要求できますか?

SSOを唯一のサインイン経路として強制することは、オンボーディング中に扱われるアイデンティティ設定の質問です — エンタープライズチームに提起すれば、要件に照らして設定を確認します。

従業員が退職したらどうなりますか?

IdPで無効化すれば、その人はCiaoに認証できなくなります。SCIMプロビジョニングが設定されていれば、無効化はライフサイクルイベントとしても伝播し、周辺の管理操作は追記専用の監査証跡に記録されます。

JITとSCIMの違いは何ですか?

JITはユーザーが初めてサインインしたときにアカウントを作成します。参加のみを扱います。SCIMは御社のIdPから作成、更新、無効化のイベントを継続的にプッシュし、ライフサイクル全体をカバーします。ほとんどのエンタープライズ展開は両方を併用します。

SSOは含まれていますか、それとも追加オプションですか?

SAMLとOIDC経由のSSOはCiaoのエンタープライズ機能セットの一部です。本格的な本番プログラムは年間10,000米ドルから — アイデンティティ要件が最初から契約に含まれるよう、営業とプランの範囲を確認してください。

関連ページ

セキュリティパックを入手する。

シングルサインオン: SAMLとOIDC | Ciao