設定すること
- TOTPベースの二要素認証 — 全プランで利用可能 — とワークスペース全体への強制方法。
- 任意のSAML 2.0 IDプロバイダーとのSAML SSO設定と、本番稼働前に属性マッピングを検証するテストフロー。
- SCIM 2.0自動プロビジョニングにより、IdPの変更から60秒以内にElidoのユーザーが追加・削除されます。
Elidoはエンタープライズアイデンティティの3つの柱をサポートします:SAML SSO(Businessプラン)、SCIM 2.0プロビジョニング(Businessプラン)、TOTPベースの2FA(全プラン、無料)。
二要素認証#
1Password、Google Authenticator、Aegis、AuthyなどのアプリによるTOTPをサポートしています。WebAuthn(ハードウェアキー、Touch ID、Face ID)はロードマップに含まれています。
Settings → Profile → Security → Two-factor authentication から有効にします:
- 認証アプリでQRコードをスキャンします。
- 確認のために生成した6桁のコードを入力します。
- 10個の回復コードを安全な場所に保存してください — 電話を紛失した場合にアクセスを取り戻す唯一の方法です。
ワークスペース管理者は全メンバーに2FAを要求できます。2FAが有効になっていないメンバーは登録するまでダッシュボードからロックアウトされます。APIキーは引き続き機能します。
SAML SSO#
Businessプランで利用可能です。SAML 2.0サービスプロバイダーとして機能するため、SAMLをサポートするIDプロバイダー — Okta、Azure AD、Google Workspace、JumpCloud、OneLogin、Oryなど — はすぐに使えます。
設定:
- Settings → SSO → Configure SAML。
- ACS URLとEntity IDをIdPにコピーします。
- IdPのメタデータXMLをアップロードします(またはSSO URL + 署名証明書を貼り付けます)。
- 単一ユーザーでテストします — 「test SSO」ボタンを提供しており、完全なフローを実行してSAMLレスポンスを表示するのでアトリビュートマッピングをデバッグできます。
- すべて正しく見えたら Require SSO をオンにします。既存のパスワードセッションは5分以内に失効します。
有効にした後、すべてのワークスペースメンバーはIdP経由でサインインする必要があります。オーナーは緊急アクセス用のパスワード専用フォールバックを保持できます(デフォルトではオフ。Advanced でオンにしてください)。
SCIM 2.0#
SCIMはIdPでユーザーをオンボード/オフボードする際にユーザーを自動的にプロビジョニング/デプロビジョニングします。Businessで利用可能です。
設定:
- Settings → SCIM → Generate token。トークンをコピーします(一度だけ表示されます)。
- SCIM Base URLとbearerトークンをIdPのSCIMプロビジョニングセクションに貼り付けます。
- IdPのグループメンバーシップを通じてロールをマッピングします — 例:グループ
elido-admins→ ロールAdmin。
プロビジョニングイベントは60秒以内に流れます。デプロビジョニングはユーザーのセッションと個人的に発行したAPIキーを失効させます。
監査ログ#
すべての認証イベント(ログイン、MFAチャレンジ、SSOリダイレクト、SCIMプロビジョニング)が監査ログに記録されます。BusinessワークスペースはWebhooksを通じて監査ログをS3 / Datadog / Splunkにストリーミングできます。
コンプライアンス#
ISO 27001認定およびSOC 2 Type IIを取得しています。現在の認証レポートはNDAの下で trust.elido.app から入手できます。