Kibelaでは、Google Workspace OAuth 2.0 + OpenID Connect 認証によるシングルサインオン(「Google Workspace OAuth2によるSSO」)をサポートしています。
このSSOは、どのプランでご利用可能です。
設定方法
※本操作は、管理者/オーナー権限のユーザーのみが行えます。
- 画面右上のプロフィールアイコンから「設定」画面に移動、「シングルサインオン」を選択し、「Google Workspace OAuth 2.0 認証によるシングルサインオンを有効にする」をクリックする
- Google Workspaceを利用しているアカウントを選択する
これで、Google Workspace OAuth2認証によるシングルサインオンが有効となりました。
※注意点
- シングルサインオンを有効にすると、一度すべてのユーザのセッションが無効化されて、改めて、Googleアカウントで再認証が必要になります。
- Kibelaの利用途中でGoogle Workspace OAuth2認証によるシングルサインオンへ切り替えを行う際に、既存のアカウントとGoogle Workspaceのアカウントのメールアドレスが不一致だった場合は別アカウントが作成されます。
Google Workspaceアカウントの同期
アカウントの削除について
Google Workspaceの特定アカウントを削除した場合、Kibelaでは自動的にGoogle Workspaceと同期し、Kibela内のアカウントも削除します。
この同期は1日に1度だけ行なわれるため、Google Workspaceアカウントの削除後、最大で24時間はKibelaアカウントが有効になっています。
即座にKibelaアカウントを削除にする場合は、オーナーまたは管理者が「メンバー管理」から該当アカウントを削除してください。
Google Workspaceアカウントの追加を承認制にする
スタンダードプラン、エンタープライズプランをご利用のチームでは、Google Workspace OAuth2認証によるシングルサインオンで新たなユーザーがチームに参加する時に、管理者による承認制を選択できます。
スタンダードプラン、エンタープライズプランをご利用のチームでは、「設定」の「シングルサインオン(/team/settings/sso)」の画面から、ドメイン毎に設定が可能です。
登録申請フロー
管理者の承認を必要にした場合、Google Workspaceアカウントを持つ新しいユーザーがチームにログインしようとした時に、アカウント登録の申請フォームが表示されます。
新しいユーザーが本名と管理者へのメッセージを記入して申請を行うと、そのチームの管理者とオーナーに、メールもしくはKibela内の通知で登録申請が届いたことが通知されます。この通知は、通知設定画面よりユーザー毎にON・OFFの設定が可能です。
登録申請の通知からは、「設定」の「メンバー管理(/team/members)」に移動して、申請内容の確認と、申請の承認もしくは却下を行うことができます。メンバー管理画面から承認待ちの登録申請を確認して、役割と参加グループを確認・変更し、承認もしくは却下を行なってください。登録申請が承認された場合はその旨申請を行なったメンバーにメールで通知されます。却下の場合、通知はありません。
また、この承認制への設定変更や、参加の申請・承認・却下の処理を行なった場合はそれぞれ監査ログに記録されます。