Skip Navigation
Show nav
Heroku Dev Center
  • Get Started
  • ドキュメント
  • Changelog
  • Search
  • Get Started
    • Node.js
    • Ruby on Rails
    • Ruby
    • Python
    • Java
    • PHP
    • Go
    • Scala
    • Clojure
  • ドキュメント
  • Changelog
  • More
    Additional Resources
    • Home
    • Elements
    • Products
    • Pricing
    • Careers
    • Help
    • Status
    • Events
    • Podcasts
    • Compliance Center
    Heroku Blog

    Heroku Blog

    Find out what's new with Heroku on our blog.

    Visit Blog
  • Log inorSign up
View categories

Categories

  • Heroku のアーキテクチャ
    • Dyno (アプリコンテナ)
    • スタック (オペレーティングシステムイメージ)
    • ネットワーキングと DNS
    • プラットフォームポリシー
    • プラットフォームの原則
  • コマンドライン
  • デプロイ
    • Git を使用したデプロイ
    • Docker によるデプロイ
    • デプロイ統合
  • 継続的デリバリー
    • 継続的統合
  • 言語サポート
    • Node.js
    • Ruby
      • Bundler の使用
      • Rails のサポート
    • Python
      • Python でのバックグランドジョブ
      • Django の使用
    • Java
      • Maven の使用
      • Java でのデータベース操作
      • Play Framework の使用
      • Spring Boot の使用
      • Java の高度なトピック
    • PHP
    • Go
      • Go の依存関係管理
    • Scala
    • Clojure
  • データベースとデータ管理
    • Heroku Postgres
      • Postgres の基礎
      • Postgres Getting Started
      • Postgres のパフォーマンス
      • Postgres のデータ転送と保持
      • Postgres の可用性
      • Postgres の特別なトピック
    • Heroku Redis
    • Apache Kafka on Heroku
    • その他のデータストア
  • モニタリングとメトリクス
    • ログ記録
  • アプリのパフォーマンス
  • アドオン
    • すべてのアドオン
  • 共同作業
  • セキュリティ
    • アプリのセキュリティ
    • ID と認証
    • コンプライアンス
  • Heroku Enterprise
    • Private Space
      • インフラストラクチャネットワーキング
    • Enterprise Accounts
    • Enterprise Team
    • Heroku Connect (Salesforce 同期)
      • Heroku Connect の管理
      • Heroku Connect のリファレンス
      • Heroku Connect のトラブルシューティング
    • シングルサインオン (SSO)
  • パターンとベストプラクティス
  • Heroku の拡張
    • Platform API
    • アプリの Webhook
    • Heroku Labs
    • アドオンのビルド
      • アドオン開発のタスク
      • アドオン API
      • アドオンのガイドラインと要件
    • CLI プラグインのビルド
    • 開発ビルドパック
    • Dev Center
  • アカウントと請求
  • トラブルシューティングとサポート
  • Integrating with Salesforce
  • Heroku Enterprise
  • シングルサインオン (SSO)
  • Heroku でのシングルサインオン (SSO) サービスの使用 (管理者向け)

Heroku でのシングルサインオン (SSO) サービスの使用 (管理者向け)

日本語 — Switch to English

この記事の英語版に更新があります。ご覧の翻訳には含まれていない変更点があるかもしれません。

最終更新日 2021年12月13日(月)

Table of Contents

  • Heroku での SSO の前提条件
  • Heroku 向けの SSO サポートが組み込まれた ID プロバイダー
  • その他の SAML 2.0 準拠 IdP での SSO 設定
  • 複数の IdP 証明書の提供
  • エンドユーザーアカウントの作成と削除

Heroku での SSO は現在、Heroku Enterprise​ のお客様のみに提供されています。

Heroku は既存の ID プロバイダー (IdP) との統合が容易であり、これによって Heroku へのシングルサインオン (SSO) を実現できます。その際に使用する資格情報やログイン方式は、Slack や Dropbox などの他の SSO 対応サービスプロバイダーと同じです。

SSO を使用する場合、従業員は Heroku のログインページの代わりに ID プロバイダーのインターフェースを使用して Heroku にログインします。従業員のブラウザは Heroku にリダイレクトされ、認証された後、準備が整います。SSO を有効にすると、Heroku 自体のログインメカニズムは無効​になります。つまり、認証のセキュリティは IdP にシフトし、他のサービスプロバイダーと連携するようになります。

組織で SSO を設定、変更、または無効化しても、Heroku からは従業員に通知されません。そのため、変更内容の周知を徹底してください。

SSO を有効にするときは、「Heroku でのシングルサインオン (SSO) サービスの使用 (エンドユーザー向け)​」の記事を実施の通知に含めてください。

Heroku での SSO の前提条件

  • 会社の ID プロバイダー (IdP) で SAML 2.0 標準をサポートしている必要があります。
  • IdP に対する管理権限が必要です。

Heroku 向けの SSO サポートが組み込まれた ID プロバイダー

以下の主要な IdP は、Heroku のサポートを組み込みで提供しています。 これらの IdP で SSO を設定するには、各ベンダーのサイトの指示に従ってください。

  • Auth0
  • Azure
  • Google Cloud Identity
  • Okta
  • OneLogin
  • Ping Federate
  • Ping Identity​ (管理者ログインが必要。ログイン後、アプリケーションカタログから ‘Heroku’ を検索)
  • Salesforce Identity

Microsoft Active Directory で SSO を設定するには、次の SAML 2.0 の手順を使用します。

その他の SAML 2.0 準拠 IdP での SSO 設定

ほとんどの SAML 2.0 準拠 ID プロバイダーでは、SSO を設定するために、サービスプロバイダーに関する共通の情報が必要です。Heroku の場合、必要な情報は、SSO を有効にする対象の Heroku Enterprise Team の Settings​ (設定) タブで確認できます。

設定ダイアログの SSO 設定情報

この情報を表示するには (また、Enterprise Team で SSO を有効にするには) Enterprise Team に対する管理者権限が必要であることに注意してください。

Heroku 組織で SSO が有効な状態

IdP で SSO を設定した後、メタデータを手動でアップロードまたは入力できます。設定が成功すると、確認ダイアログが管理者に表示され、エンドユーザーの SSO ログインの URL が表示されます。必ず、この URL を組織内で共有してください。

複数の IdP 証明書の提供

ダウンタイムなしで SSO 証明書を変更できるよう、最大 3 つの SSO 証明書を Enterprise Team に追加することが可能になりました。有効期限が切れていない SSO 証明書のいずれかで署名された SAML アサーションは受理され、ダウンタイムなしでシームレスに新しい ID プロバイダー証明書に切り替えることが可能になっています。

multicert

また Heroku では、SSO が有効な Enterprise Team の管理者 (admin​ 権限を持つユーザー) 宛てに、証明書の有効期限が切れる 30 日前、7 日前、および 1 日前にメール通知を送信します。したがって管理者には、有効期限が切れそうな証明書を更新し、ユーザーがロックアウトされるのを防ぐ機会があります。

セキュリティを強化するために、IdP で SHA-256 がサポートされている場合は、SAML の応答とアサーションのどちらにも SHA-256 を使用して署名するよう IdP を設定してください。

エンドユーザーアカウントの作成と削除

エンドユーザーアカウントの作成

エンドユーザーを追加するには、利用中の IdP でそのユーザーのアカウントを作成するのみです。ユーザーが IdP 経由で Heroku に初めてログインするときに、自動 IdP プロビジョニングによって Heroku アカウントが作成されます。Enterprise Team のリソースと設定に対するユーザーのアクセス権は、新しいユーザーに割り当てるデフォルトロールによって異なり、このロールは Enterprise Team の Settings​ (設定) タブで管理者が指定します。

設定タブの SSO デフォルトロール

新しいユーザーのデフォルトロールは member​ です。

アカウントがプロビジョニングされた後、エンドユーザーは確認メールを受信し、メール内の受信確認リンクをクリックする必要があります。

IdP が正常に動作していない場合でも Heroku にアクセスできるよう、管理者のユーザーアカウントは必ず、IdP 経由ではなく Heroku で直接作成してください。

 

Heroku API キーを要求する統合を設定する必要がある場合は、IdP 経由ではなく Heroku で直接、統合ユーザーアカウントを作成してください。

エンドユーザーアカウントの削除

IdP からエンドユーザーを削除すると、そのユーザーは対応する Heroku アカウントにログインできなくなりますが、そのアカウントは Heroku からは削除されません​。API キーがタイムアウトになる前に API 経由で Enterprise Team のリソースにアクセスされる可能性があるため、それを防ぐために、IdP と関連付けられている Heroku Enterprise Team からも必ず、エンドユーザーのアカウントを削除してください。

自動 IdP プロビジョニングによって作成されたエンドユーザーアカウントを Heroku から削除するには、ID 管理者から Heroku Support​ にご連絡ください。

関連カテゴリー

  • シングルサインオン (SSO)

Information & Support

  • Getting Started
  • Documentation
  • Changelog
  • Compliance Center
  • Training & Education
  • Blog
  • Podcasts
  • Support Channels
  • Status

Language Reference

  • Node.js
  • Ruby
  • Java
  • PHP
  • Python
  • Go
  • Scala
  • Clojure

Other Resources

  • Careers
  • Elements
  • Products
  • Pricing

Subscribe to our monthly newsletter

Your email address:

  • RSS
    • Dev Center Articles
    • Dev Center Changelog
    • Heroku Blog
    • Heroku News Blog
    • Heroku Engineering Blog
  • Heroku Podcasts
  • Twitter
    • Dev Center Articles
    • Dev Center Changelog
    • Heroku
    • Heroku Status
  • Facebook
  • Instagram
  • Github
  • LinkedIn
  • YouTube
Heroku is acompany

 © Salesforce.com

  • heroku.com
  • Terms of Service
  • Privacy
  • Cookies
  • Cookie Preferences