シングルサインオン(SSO)について
概要
PigeonCloudでは、SAML 2.0プロトコルを使用したシングルサインオン(SSO)に対応しています。Google WorkspaceやMicrosoft Entra ID(旧 Azure Active Directory)のアカウントでPigeonCloudにログインできます。
SSOを利用すると、PigeonCloud専用のパスワードを覚える必要がなくなり、企業のIDプロバイダーで認証を一元管理できます。また、SSOで初めてログインしたユーザーのアカウントが自動的に作成されます。
対応しているIDプロバイダー(IdP)
| IDプロバイダー | 説明 |
|---|---|
| Google Workspace | Googleアカウントでログイン |
| Microsoft Entra ID(旧 Azure AD) | Microsoft 365アカウントでログイン |
設定手順については「Google SAML設定マニュアル」「Microsoft 365 SAML設定マニュアル」をご確認ください。
SSO認証と従来のログインの併用
SSOを有効にしても、従来のID/パスワードによるログインは引き続き利用できます。SAML認証を有効にしたからといって、従来のログイン方式が無効になることはありません。
SSOが有効になると、ログイン画面に「Sign in with Google」や「Sign in with Microsoft 365」のボタンが追加されます。従来のID/パスワード入力フォームはそのまま残りますので、ユーザーは毎回どちらの方法でログインするか自由に選択できます。
SSOでのログイン手順
- PigeonCloudのログイン画面を開きます。
- 「Sign in with Google」または「Sign in with Microsoft 365」ボタンをクリックします。
- IdP(Google/Microsoft)の認証画面が開くので、アカウント情報を入力してログインします。
- 認証が完了すると、PigeonCloudのダッシュボードに自動的に遷移します。
ユーザー紐付けの仕組み
SSOでログインする際、PigeonCloudは既存のユーザーアカウントとの紐付けを自動的に行います。紐付けの仕組みはGoogle SSOとMicrosoft 365 SSOで異なります。
Google SSOの場合
PigeonCloudのメールアドレス(ログインID)と、Google側のメールアドレスで紐付けが行われます。
| 条件 | 動作 |
|---|---|
| Googleのメールアドレスと一致するユーザーが存在する | そのユーザーでログイン |
| 一致するユーザーがいない | 新規ユーザーを自動作成 |
Microsoft 365 SSOの場合
Microsoft 365(Entra ID)の場合は、以下の順序で紐付けが行われます。
| 順序 | PigeonCloud側 | Microsoft側 | 動作 |
|---|---|---|---|
| 1 | office_user_id | ユーザープリンシパル名(UPN) | 一致するユーザーでログイン |
| 2 | メールアドレス(ログインID) | 社員番号(employee_id)※ | 一致するユーザーを紐付けしてログイン |
| 3 | (該当なし) | - | 新規ユーザーを自動作成 |
※ Entra ID側で社員番号(employee_id)が未設定の場合、ユーザープリンシパル名(UPN、通常はメールアドレスと同じ値)が代わりに使用されます。
初回ログイン時にステップ2で紐付けが成功すると、以降はステップ1のoffice_user_idで紐付けされます。新規作成時は、社員番号(またはUPN)がPigeonCloudのメールアドレス(ログインID)に保存されます。
初回ログイン時の自動ユーザー作成
SSOで初めてPigeonCloudにログインすると、ユーザーアカウントが自動的に作成されます。
IdPから取得される情報:
| 項目 | Google SSO | Microsoft 365 SSO |
|---|---|---|
| メールアドレス(ログインID) | Googleのメールアドレス | Entra IDの社員番号(未設定の場合はUPN) |
| 氏名 | Googleアカウントの姓名 | Microsoftアカウントの姓名 |
| 権限 | 権限グループ1が付与されます(管理者が後から変更可能) | |
| ユーザータイプ | 一般ユーザー(マスターユーザーではありません) | |
「ログインIDとしてメールアドレス以外を使用可能に変更」機能との関係
PigeonCloudには、その他設定にある「ログインIDとして、メールアドレス以外を使用可能に変更」機能があります。この機能をONにすると、ユーザー管理画面の「メールアドレス」欄が「ログインID」に変わり、メールアドレス以外の文字列をログインIDとして設定できます。
| IdP | この機能がONの場合の影響 |
|---|---|
| Google SSO | GoogleのメールアドレスでログインIDを検索するため、ログインIDをメールアドレス以外に変更していると既存ユーザーとマッチしない(新規ユーザーが作成される) |
| Microsoft 365 SSO | 初回紐付け時はログインIDと社員番号で検索するため同様の影響あり。ただし一度office_user_idが紐付けされれば、以降は影響なし |
IPアドレス制限との関係
SSOでログインする場合も、IPアドレス制限は通常のログインと同様に適用されます。
ユーザーにIPアドレス制限が設定されている場合、SAML認証が成功しても、許可されていないIPアドレスからのアクセスは拒否されます。
現時点では、「SAML認証の場合はIP制限をスキップする」といった設定はありません。ログイン方法(SAML / ID・パスワード)に関わらず、同一のIPアドレス制限が適用されます。
組織連携(Microsoft Entra ID)
Microsoft 365 SSOでは、Entra IDのグループとPigeonCloudの組織を自動連携する機能があります。SSOでログインするたびに、Entra ID上のユーザーの所属グループを取得し、PigeonCloudの組織に自動的に反映します。
- Entra IDのグループに対応するPigeonCloud組織がない場合、自動作成されます
- ユーザーの所属・離脱がログインのたびに反映されます
| 設定項目 | 説明 | デフォルト |
|---|---|---|
| 組織の自動連携 | Entra IDグループとPigeonCloud組織の連携を有効にする | 有効 |
| 組織名の同期 | 組織名をEntra ID側のグループ名に同期する | 無効 |
ライセンス数の上限
SSOで自動作成されるユーザーも、契約ライセンス数にカウントされます。ライセンス上限に達している場合:
- 一般ユーザー: ログインが拒否されます。他のユーザーがログアウトするまで待つか、管理者に問い合わせてください。
- マスターユーザー: 自動的に「ユーザー管理モード」でログインします。ユーザー管理モードでは、データの閲覧・編集はできませんが、ユーザーの管理(削除、ログアウトなど)が可能です。
よくある質問
SAML認証を有効にしたら、従来のID/パスワードログインは使えなくなりますか?
いいえ。SAML SSOが有効でも、従来のID/パスワードログインは引き続き使用できます。ログイン画面にSSOボタンが追加されるだけで、従来のログインフォームはそのまま残ります。
SSOでログインした場合、IPアドレス制限はどうなりますか?
SSOでログインした場合も、通常のログインと同様にIPアドレス制限が適用されます。SAML認証の場合にIP制限をスキップする設定はありません。
既存のPigeonCloudアカウントをSAML SSOに移行できますか?
Google SSOの場合: 既存アカウントのメールアドレスとGoogleアカウントのメールアドレスが一致していれば、自動的に紐付けされます。
Microsoft 365 SSOの場合: 既存アカウントのメールアドレス(ログインID)とEntra IDの社員番号(未設定の場合はUPN)が一致していれば、自動的に紐付けされます。一度紐付けされると、以降はoffice_user_idで管理されます。
SSOで自動作成されたユーザーのパスワードは?
SSOで自動作成されたユーザーには、PigeonCloud専用のパスワードは設定されていません。IdP(Google/Microsoft)の認証のみでログインします。なお、PigeonCloud側でパスワードが設定されていれば、ID/パスワードでのログインも可能です。
IdP側でアカウントを削除したらどうなりますか?
PigeonCloudにはSSOでログインできなくなりますが、アカウント自体はPigeonCloud上に残ります。完全に削除するには、PigeonCloud側でもユーザーを削除してください。
SSOで初回ログインしたら新しいアカウントが作成されてしまいました
PigeonCloud上の既存アカウントのメールアドレス(ログインID)と、IdPから送信される識別子が一致しなかった可能性があります。「ログインIDとして、メールアドレス以外を使用可能に変更」がONの状態でログインIDをメールアドレス以外に変更していた場合にも発生します。
管理者に不要なアカウントの削除を依頼し、既存アカウントのメールアドレス/ログインIDをIdP側の識別子と一致させてから再度SSOでログインしてください。
注意事項
- SSO機能を利用するには、管理者によるSAML設定が必要です。設定はSSO設定画面(画面右上のユーザーアイコン →「SSO設定」)から行えます。
- PigeonCloudからログアウトしても、IdP(Google/Microsoft)側のセッションは維持されます。共用PCでは必ずIdP側からもログアウトしてください。
- IdP側でアカウントを無効化すると、PigeonCloudへのSSOログインはできなくなります。IdP連携により、アカウント管理が一元化されます。