ドメインを保護する
シングルサインオンは単一のスイッチではありません。誰が自社の在庫にアクセスできるかを正確に 決めるために連携する3つの制御です。それらがどう噛み合うのかを理解すれば、 なぜSSOが正しい人を通し、それ以外の全員を締め出すのかが一目瞭然になります。
1. ドメイン検証:自分のものだと証明する
何かが起こる前に、まず自社のメールドメイン(たとえば yourcompany.com)を主張し、
当社が生成するDNS-TXTレコードを公開することで所有権を証明します。ドメインのDNSを
管理する人だけがそれを行えるため、検証済みドメインは、そのドメインが
本当に自社のものであるという強力で偽造不可能な証拠になります。この検証が通るまで、
これより先の何も有効になりません。
2. SSOを強制する:裏口を閉じる
検証済みドメインがあれば、そのすべてのメンバーに対してSSOを強制できます。有効にすると、 メールが自社ドメインにある人は、もはや別のパスワードでこっそり入ることができなくなります。 ログインが毎回、自社のIDプロバイダーへリダイレクトされるからです。これにより 「でも大昔にアカウントを作ったんだ」という裏口を閉じ、すべてのログインをIdPが 強制するMFAとそれに応じたポリシーを通します。
3. 自動プロビジョニング:正しい人を、自動的に
自動プロビジョニングを有効にすると、検証済みドメインの人が初めてSSOで ログインしたとき、手動の招待なしに自動的に会社へ追加されます。新入社員が 自社IdPの正しいグループに参加し、ログインすれば、すぐに使い始められます。無効のままにすれば、アクセスは 招待制のままで、SSOは単にログイン方法として機能します。
それらをどう組み合わせるか
- 検証済みドメイン + SSOの強制 = 自社ドメインの認証済みメンバーだけが、しかも自社IdP経由でのみ入れます。
- + 自動プロビジョニング = オンボーディングは自動で進み、すべて自社のIDプロバイダーのグループで制御されます。
- 自社IdPで誰かを削除する = 次のログインは、どこでも失敗します。アクセスが残り続けることはありません。
各制御は、自社のシングルサインオン(SSO)設定にあるチェックボックスです。完全な 設定手順(ドメインの追加からこれらのオプションの有効化まで)は、 シングルサインオン機能ページにあります。