Skip Navigation
Show nav
Heroku Dev Center
  • Get Started
  • ドキュメント
  • Changelog
  • Search
  • Get Started
    • Node.js
    • Ruby on Rails
    • Ruby
    • Python
    • Java
    • PHP
    • Go
    • Scala
    • Clojure
  • ドキュメント
  • Changelog
  • More
    Additional Resources
    • Home
    • Elements
    • Products
    • Pricing
    • Careers
    • Help
    • Status
    • Events
    • Podcasts
    • Compliance Center
    Heroku Blog

    Heroku Blog

    Find out what's new with Heroku on our blog.

    Visit Blog
  • Log inorSign up
View categories

Categories

  • Heroku のアーキテクチャ
    • Dyno (アプリコンテナ)
    • スタック (オペレーティングシステムイメージ)
    • ネットワーキングと DNS
    • プラットフォームポリシー
    • プラットフォームの原則
  • コマンドライン
  • デプロイ
    • Git を使用したデプロイ
    • Docker によるデプロイ
    • デプロイ統合
  • 継続的デリバリー
    • 継続的統合
  • 言語サポート
    • Node.js
    • Ruby
      • Bundler の使用
      • Rails のサポート
    • Python
      • Django の使用
      • Python でのバックグランドジョブ
    • Java
      • Maven の使用
      • Java でのデータベース操作
      • Spring Boot の使用
      • Java の高度なトピック
    • PHP
    • Go
      • Go の依存関係管理
    • Scala
    • Clojure
  • データベースとデータ管理
    • Heroku Postgres
      • Postgres の基礎
      • Postgres Getting Started
      • Postgres のパフォーマンス
      • Postgres のデータ転送と保持
      • Postgres の可用性
      • Postgres の特別なトピック
    • Heroku Redis
    • Apache Kafka on Heroku
    • その他のデータストア
  • モニタリングとメトリクス
    • ログ記録
  • アプリのパフォーマンス
  • アドオン
    • すべてのアドオン
  • 共同作業
  • セキュリティ
    • アプリのセキュリティ
    • ID と認証
    • コンプライアンス
  • Heroku Enterprise
    • Private Space
      • インフラストラクチャネットワーキング
    • Enterprise Accounts
    • Enterprise Team
    • Heroku Connect (Salesforce 同期)
      • Heroku Connect の管理
      • Heroku Connect のリファレンス
      • Heroku Connect のトラブルシューティング
    • シングルサインオン (SSO)
  • パターンとベストプラクティス
  • Heroku の拡張
    • Platform API
    • アプリの Webhook
    • Heroku Labs
    • アドオンのビルド
      • アドオン開発のタスク
      • アドオン API
      • アドオンのガイドラインと要件
    • CLI プラグインのビルド
    • 開発ビルドパック
    • Dev Center
  • アカウントと請求
  • トラブルシューティングとサポート
  • Integrating with Salesforce
  • Heroku Enterprise
  • シングルサインオン (SSO)
  • Heroku でのシングルサインオン (SSO) サービスの使用 (エンドユーザー向け)

Heroku でのシングルサインオン (SSO) サービスの使用 (エンドユーザー向け)

日本語 — Switch to English

最終更新日 2022年03月18日(金)

Table of Contents

  • SSO による Heroku への認証の仕組み
  • 既存の Heroku アカウント認証を SSO にアップグレードする
  • SSO での新しい Heroku アカウントの取得
  • SSO での Heroku CLI への認証
  • FAQ: SSO での Heroku アカウント

SSO による Heroku への認証の仕組み

Heroku で管理者がシングルサインオン (SSO) を有効化​した後、ユーザーは会社の ID プロバイダーで Heroku にログインします。これは多くの場合、Slack や Dropbox のような他のクラウドサービスにログインするのと同じ場所です。 会社では ID プロバイダー (IdP) を使用して、任意の数のクラウドまたはオンプレミスサービスへの認証を集中化し、通常は 1 回のクリックで各サービスにアクセスできるようにします。

ユーザーは、IdP で一度ユーザー名とパスワードを入力するのみで、IdP の制御下にあるすべてのサービスにアクセス可能になります。

シングルサインオンで利用可能なサービスプロバイダーの一覧に Heroku を追加できるのは、ID 管理者のみです。 これらのサービスプロバイダーは多くの場合、メインログインページのタイルに表示されます。

シングルサインオンに関するメール通知の差出人は、常に ID 管理者であり、Heroku ではありません。 シングルサインオンや特定の通知内容について質問がある場合は、会社の ID 管理者に問い合わせてください。

既存の Heroku アカウント認証を SSO にアップグレードする

業務用のメールアドレスと紐付けられた Heroku アカウントを持つユーザーに招待が届き、会社の ID 管理者から提供された URL にアクセスして認証方式を SSO にアップグレードするよう求められます。 アカウントのアップグレードプロセスにより、会社の IdP を使用して Heroku にログインする方式に変更されます。これにより、アカウントの認証制御が会社に移管されます。

SSO にアップグレードすることを選択したユーザーは、以後、個人の資格情報を使用してのログインはできなくなり、 SSO を使用する必要があります。 個人のアプリを持っているユーザーは、SSO にアップグレードする前に、個人のアプリを別の (個人用) Heroku アカウントに移動しておくことが推奨されます。 アップグレードプロセスを拒否または延期したユーザーは、SSO リンクにアクセスすることで、いつでもアップグレードを再開して SSO に参加できます。

(アップグレードプロセスをキャンセルしたユーザーは未アップグレードのままであり、組織の管理者には “not under SSO” (SSO 未参加) と表示されます。)

アップグレードされたアカウントには “個人” 用の領域が常に確保されますが、会社の IT 部門はその Heroku アカウントへのアクセスをいつでもブロックできるため、ここで述べる “個人” はあくまで、従業員という文脈の中での個人であることをユーザーは理解する必要があります。

アカウントに長期間のトークン​がある場合、これらは SSO を使用するようにアカウントがアップグレードされた後に無効になることを理解することが重要です。

SSO での新しい Heroku アカウントの取得

会社の ID プロバイダー (IdP) を経由して初めて Heroku にログインするとき、ログイン用のメールアドレスに紐付けられた Heroku アカウントがまだ存在していなければ、作成されます。つまり、ジャストインタイム (JIT) プロビジョニングによって新しい Heroku アカウントが作成されます。Heroku は組織の IdP を信頼し、認証されたユーザーに Heroku アカウントが必要であれば、作成します。

Heroku からウェルカムメールが届くので、受信確認リンクをクリックしてアカウントをアクティブにする必要があります。

SSO での Heroku CLI への認証

heroku login​ コマンドを使用して、SSO で Heroku CLI にログインします。

$ heroku login
heroku: Press any key to open up the browser to login or q to exit
 ›   Warning: If browser does not open, visit
 ›   https://cli-auth.heroku.com/auth/browser/***

このコマンドにより、Web ブラウザで Heroku ログインページが開き、SSO ログインオプションを選択できます。

heroku login コマンドを実行すると Web ブラウザが起動して Heroku アカウントのログインページが開き、SSO ログインを選択できる。

Log in​ (ログイン) ボタンをクリックすると、Heroku CLI で自動的にログイン処理が行われます。

$ heroku login
heroku: Press any key to open up the browser to login or q to exit
 ›   Warning: If browser does not open, visit
 ›   https://cli-auth.heroku.com/auth/browser/***
heroku: Waiting for login...
Logging in... done
Logged in as me@example.com

環境変数 HEROKU_LEGACY_SSO=1​ を設定することによって、従来の SSO ログインを使用できます。その場合、CLI から直接ログインするには heroku login​ を実行します。これがヘッドレス SSO ログインのための唯一の方法です。

FAQ: SSO での Heroku アカウント

Q: 従業員が退職した場合はどうなりますか? 管理者はどのようにして元従業員の個人のアプリにアクセスするのですか?

A: 管理者はユーザーとしてログインし、アプリを移動することができます。

Q: ユーザーが認証を SSO にアップグレードし、将来、IdP 自体が管理者によって切断された場合、ユーザーは自分のアカウントにログインできますか?

A: 会社のメールシステムにまだアクセスできる場合、通常の方法で Heroku パスワードをリセットしてアカウントにアクセスできます。

Q: 自分のアカウントを SSO から切断できますか?

A: いいえ。認証をアップグレードして組織の IdP に接続した後は、IdP 管理者のみがアカウントを SSO から切断できます。

Q: Heroku で SSO セッションの存続期間はどれくらいですか?

A: SSO セッションの存続期間は 8 時間です。8 時間を過ぎると、再度ログインを求められます。

Q: Enterprise Team または Enterprise Account に対するアクセス許可を含む Heroku アカウントをすでに持っています。SSO 経由でサインインすると、その Enterprise Team/Enterprise Account に対するアクセス許可は変更されますか?

A: ほとんどの場合は、既存の Heroku アカウントを使用して SSO 経由でログインしても、Enterprise Team または Enterprise Account に対するアクセス許可は変更されません。これの例外は、ユーザーが Enterprise Team の collaborator​ である場合です。collaborator​ が SSO を使用して Enterprise Team にサインインすると、デフォルトのアクセス許可が与えられます。Enterprise Team のデフォルトの SSO アクセス許可レベルは、Enterprise Team の Settings​ タブで admin​ によって指定され、member​、admin​、viewer​ のいずれかです。Enterprise Team のアクセス許可についての詳細は、「Heroku Team のアクセス許可と許可されるアクション​」の記事を参照してください。Enterprise Account のデフォルトの SSO アクセス許可レベルは view​ であり、設定できません。Enterprise Account に対するアクセス許可を含む Heroku アカウントをすでに持っている場合は、SSO 経由でログインしても、そのアクセス許可が変更されることはありません。

Q: SSO を使用しているときは多要素認証 (MFA) を有効にする必要がありますか?

A: はい。会社のセキュリティおよびガバナンスポリシーへのコンプライアンス​を確保するには、MFA を有効にする必要があります。SSO 経由でログインする場合は、プラットフォームのネイティブな MFA 機能​を使用するのではなく、ID プロバイダーで MFA を有効にする必要があります。

関連カテゴリー

  • シングルサインオン (SSO)
Heroku でのシングルサインオン (SSO) サービスの使用 (管理者向け) Heroku でのシングルサインオン (SSO) サービスの使用 (管理者向け)

Information & Support

  • Getting Started
  • Documentation
  • Changelog
  • Compliance Center
  • Training & Education
  • Blog
  • Podcasts
  • Support Channels
  • Status

Language Reference

  • Node.js
  • Ruby
  • Java
  • PHP
  • Python
  • Go
  • Scala
  • Clojure

Other Resources

  • Careers
  • Elements
  • Products
  • Pricing

Subscribe to our monthly newsletter

Your email address:

  • RSS
    • Dev Center Articles
    • Dev Center Changelog
    • Heroku Blog
    • Heroku News Blog
    • Heroku Engineering Blog
  • Heroku Podcasts
  • Twitter
    • Dev Center Articles
    • Dev Center Changelog
    • Heroku
    • Heroku Status
  • Facebook
  • Instagram
  • Github
  • LinkedIn
  • YouTube
Heroku is acompany
  • heroku.com
  • Terms of Service
  • Privacy
  • Cookies
  • Cookie Preferences
  • Your Privacy Choices
  • © 2023 Salesforce.com