> ## Documentation Index
> Fetch the complete documentation index at: https://docs.replit.com/llms.txt
> Use this file to discover all available pages before exploring further.

# SAML

> ワークスペース設定からReplit Enterpriseのシングルサインオンを直接設定します。IdP設定とメールドメインのクレームを含みます。

## はじめに

<Note>
  SAMLシングルサインオンを使用できるのは、Enterpriseプランの組織のみです。[料金ページからEnterpriseプランを直接購入](https://replit.com/pricing)するか、[お問い合わせ](https://replit.com/teams#inlineForm)からガイド付きウォークスルーをリクエストできます。
</Note>

[SAML](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language) SSOを使用すると、IDプロバイダー（IdP）でreplit.comにログインするユーザーを認証できます。組織内のユーザーは認証のためにIdPにリダイレクトされ、IdPはユーザーのIDを確認してサインインするレスポンスをReplitに返します。

Enterpriseの管理者は、Replitに連絡することなく**Enterpriseの設定 → 認証**から直接SAML SSOを設定できます。ウィザードはサービスプロバイダー（SP）の値を生成し、IdPの認証情報を受け取り、SSOを自動的にプロビジョニングします。同じセルフサービスのフローは、Enterpriseプランをオンラインで購入する際のサインアップ時にも使用されるため、オンボーディングの一部としてSSOの設定がガイドされます。

## SAML SSOの設定

<img src="https://mintcdn.com/replit/Q9XsduFBPCiKwlxc/images/teams/identity-and-access-management/saml-enterprise-settings.png?fit=max&auto=format&n=Q9XsduFBPCiKwlxc&q=85&s=ae33addb0a54e6b668111e0425a3be49" alt="Enterpriseの設定でのSAML SSOの設定" width="1024" height="613" data-path="images/teams/identity-and-access-management/saml-enterprise-settings.png" />

セットアップウィザードは5つのステップを案内します。ReplitとIdPの両方への管理者アクセスが必要です。

<Steps>
  <Step title="認証設定を開く">
    ワークスペーススイッチャーを開き、Enterpriseワークスペースを選択して**設定**を開きます。**詳細**を選択し、**認証**セクションを展開して、**SAMLシングルサインオン**カードの**SSO を有効化**をクリックします。

    ステータスのピルが**進行中**に変わり、ウィザードがIdPに必要な値を表示します。
  </Step>

  <Step title="IDプロバイダーを選択する">
    **IDプロバイダーを設定する**でIdPを選択します：

    * **Microsoft Entra ID**
    * **Google Workspace**
    * **Okta**
    * **その他のプロバイダー**

    各オプションはフィールドラベルを調整し、新しいタブでSAMLアプリケーションを作成できるよう、IdPの管理コンソールへの直接リンクを提供します。
  </Step>

  <Step title="IdPでSAMLアプリケーションを作成する">
    IdPの管理コンソールで、Replitが表示する値を使用して新しいSAMLアプリケーションを作成します：

    | フィールド                      | 値                                                                  |
    | -------------------------- | ------------------------------------------------------------------ |
    | Audience URI / SP エンティティID | ウィザードに表示された値をコピー（組織固有、`https://replit.com/<tenant-id>/saml/sp`の形式） |
    | SSO URL（ACS URL）           | `https://replit.com/__/auth/handler`                               |
    | Name ID フォーマット             | メールアドレス                                                            |
    | アプリケーションユーザー名              | メール                                                                |
  </Step>

  <Step title="IdPからの値を入力する">
    IdPでSAMLアプリケーションが作成されたら、以下の値をReplitの**プロバイダーからの値を入力する**セクションにコピーします：

    * **IdP SSO URL** — 認証時にReplitがユーザーをリダイレクトするURL。
    * **IdP エンティティID** — ReplitのIdPを識別します。
    * **X.509証明書** — PEMまたはbase64形式のIdP署名証明書。`BEGIN/END`マーカーはオプションです。
    * **メールドメイン** — ユーザーがサインインするドメインのカンマ区切りリスト（例：`acme.com, acme.co.uk`）。IdPが報告する可能性のあるすべてのエイリアスとサブドメインを含めてください。

    **認証情報を送信**をクリックします。ReplitはURLを同期的に検証し、証明書を解析（期限切れまたは未有効の証明書を拒否）し、要求されたメールドメインを確認します。各ドメインは組織の少なくとも1人の請求管理者のメールアドレスと一致する必要があり、公開ドメイン（`gmail.com`など）はクレームできません。
  </Step>

  <Step title="プロビジョニングを待つ">
    Replitが基盤となるSAMLテナントを作成する間、ステータスのピルが**プロビジョニング中…**に変わります。通常約1分かかります。完了するとステータスのピルが**アクティブ**になり、組織でSSOを使用してサインインできるようになります。

    プロビジョニングが失敗した場合、ステータスのピルが**セットアップ失敗**になり、Replitは部分的な状態を自動的にクリーンアップします。**再試行**をクリックしてウィザードを再起動します。
  </Step>
</Steps>

## メールドメインの選択

組織に対して複数のメールドメインとサブドメインをクレームできます。クレームしたドメインと一致するメールアドレスでサインアップしようとするユーザーは、SAML SSOの使用が必要になります。クレームしたドメインは、IdPがユーザーに対して報告するものと一致する必要があります。メールドメインのエイリアスを使用している場合は、ユーザーがSSO無しでサインアップしないよう、それらも含めてください。

例えば、会社が`acmeco.com`、`foo.acmeco.com`、`acmebiz.com`のメールドメインを使用している場合、認証情報を送信する際に3つすべてをクレームします。

Replitは各クレームドメインを管理者のメールアドレスと照合して検証します。ドメインのクレーム後に追加または削除するには、**認証**カードの**メールドメイン**フィールドを編集します。既存の管理者のメールアドレスと一致しないドメインをクレームするには、[support@replit.com](mailto:support@replit.com)にお問い合わせください。

## SAML SSOの使用

<Note>
  SAMLでサインアップしても、ユーザーが組織に自動的に招待されるわけではありません。自動化されたユーザー管理や一括操作については、代わりに[SCIM](/teams/identity-and-access-management/scim)を参照してください。
</Note>

SAML SSOが**アクティブ**になると、ユーザーは**SSOで続ける**ボタンを使用して[replit.com](https://replit.com)にログインできます。

## FAQ

### SAML SSOが設定される前にreplit.comにすでにアカウントを持っているユーザーはどうなりますか？

組織でSAML SSOが有効になると、クレームされたSSOメールドメインを持つすべてのユーザーはSSOを使用してログインする必要があります。既存のユーザーは、メールアドレスがSSOドメインと一致する場合、以前の認証方法（メールまたはソーシャルログイン）を使用できなくなります。組織に自動的に追加されることはありません。

### IdPがアクセスを削除したとき、Replitでユーザーは自動的にプロビジョニング解除されますか？

いいえ、SAML SSOは認証のみを処理します。自動ユーザーのプロビジョニングとプロビジョニング解除については、Enterpriseの顧客が利用できる[SCIM](/teams/identity-and-access-management/scim)統合を使用できます。SCIMを使用すると、IdPのディレクトリを同期してユーザーロールとプロビジョニングを自動的に管理できます。

### IdPでユーザーにアクセスが付与されたとき、組織のシートは自動的に消費されますか？

いいえ、シートはユーザーが組織への招待を承認した時点でのみ消費されます。

### SAMLの設定が失敗した場合はどうすればいいですか？

ウィザードは**セットアップ失敗**のピルで失敗を報告し、Replitは部分的なプロビジョニングを自動的にロールバックします。**再試行**をクリックしてウィザードを再起動し、IdPの値を再確認して認証情報を再送信します。エラーが続く場合は、アカウントマネージャーに連絡してください。

### SAML SSOを無効にするにはどうすればいいですか？

セルフサービスでの無効化はまだサポートされていません。組織のSSOをオフにするには、アカウントマネージャーに連絡してください。有効化後も、**認証**カードからクレームしたメールドメインの編集はセルフサービスで行えます。

## 関連リソース

<CardGroup cols={2}>
  <Card title="SCIM" icon="key" href="/teams/identity-and-access-management/scim">
    SCIM統合によるユーザー管理の自動化について学ぶ
  </Card>

  <Card title="グループと権限" icon="shield" href="/teams/identity-and-access-management/groups-and-permissions">
    ユーザーロールとアクセスの管理方法を理解する
  </Card>
</CardGroup>
