Cloudflare ダッシュボード SSO アプリケーション
Cloudflare Zero Trust アカウントにダッシュボード SSO アプリケーションを追加することで、選択したアイデンティティプロバイダー (IdP) を使用して Cloudflare ダッシュボードへのシングルサインオン (SSO) を強制できます。 SSO は、あなたのメールドメイン内のすべてのユーザーに対して強制されます。
| Free | Pro | Business | Enterprise | |
|---|---|---|---|---|
Availability | No | No | No | Yes (with Standard or Premium Success plans) |
あなたのメールドメイン内のすべてのユーザーは、Cloudflare アカウントおよび IdP のメンバーとして存在する必要があります。 Cloudflare アカウントにユーザーを追加するには、Cloudflare アカウントアクセスの管理を参照してください。
詳細な手順に従って、Cloudflare Zero Trust に IdP を追加します。
IdP を設定したら、必ず IdP をテストしてください。
アカウントチームに SSO ドメインの承認と作成を依頼してください。 SSO ドメインは、Cloudflare アカウント内のメンバーに関連付けられたメールドメインです。 たとえば、SSO ドメインが @yourcompany.com で終わるメール用に設定されている場合、@test.com のメールを持つメンバーは SSO でログイン オプションを表示せず、ユーザー名とパスワードを入力する必要があります。
SSO ドメインが承認されると、アクセス > アプリケーション の下に新しい SSO App アプリケーションが表示されます。 このアプリケーションは、デフォルトルールとして allow email domain で事前設定されており、IdP が認証プロバイダーとして設定されています。
- メールドメインはあなたの組織に属している必要があります。
@gmail.comのような公共のメールプロバイダーは許可されていません。 - そのメールドメインを持つすべてのユーザーは、あなたの組織の従業員である必要があります。 たとえば、
@harvard.eduのような大学のドメインは、学生のメールが含まれているため許可されていません。 - SSO ドメインには複数のメールドメインを含めることができます。
-
Zero Trust ↗ に移動し、設定 > 認証 に進みます。
-
Cloudflare ダッシュボード SSO カードで、メールドメインを 有効 に設定します。この操作はスーパ管理者のみが実行できます。
-
ログアウトしたり、ブラウザウィンドウを閉じたりしないでください。代わりに、別のブラウザまたはシークレットウィンドウを開きます。
-
Cloudflare ダッシュボード ↗ にアクセスし、SSO ドメインのメールアドレスでログインします。
-
成功裏にログインできれば、ダッシュボード SSO アプリケーションの設定が完了しています。
-
成功裏にログインできない場合:
- Zero Trust に戻り、設定 > 認証 に進みます。
- Cloudflare ダッシュボード SSO のメールドメインを 無効 に設定します。
- IdP を再構成します。
Cloudflare ダッシュボード SSO は以下をサポートしていません:
example+2@domain.comのようなプラスアドレスのメールを持つユーザー。 このようなユーザーが Cloudflare 組織に追加されている場合、SSO でログインできません。- IdP によって開始されたログイン (Okta のタイルなど)。 すべてのログイン試行は
https://dash.cloudflare.comから行う必要があります。 ユーザーを支援するために、この URL のブックマークを IdP に作成できます。
このセクションでは、SSO でログインできない場合に Cloudflare ダッシュボードへのアクセスを復元する方法を説明します。
SSO IdP プロバイダーに問題がある場合、API を使用して代替 IdP を追加できます。 次の例は、Cloudflare ワンタイム PINをログイン方法として追加する方法を示しています:
curl 'https://api.cloudflare.com/client/v4/accounts/{account_id}/access/identity_providers' \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "type": "onetimepin", "config": {}}'- SSO アプリケーションの
idを取得します。jqを使用して、正しいアプリケーションをすばやく見つけることができます:
curl 'https://api.cloudflare.com/client/v4/accounts/{account_id}/access/apps' \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \| jq '.result[] | select(.type == "dash_sso")'{ "id": "3537a672-e4d8-4d89-aab9-26cb622918a1", "uid": "3537a672-e4d8-4d89-aab9-26cb622918a1", "type": "dash_sso", "name": "SSO App" ...}- 上記で取得した
idを使用して、SSO App を更新し、すべてのアイデンティティプロバイダーを受け入れるようにします:
curl --request PUT \'https://api.cloudflare.com/client/v4/accounts/{account_id}/access/apps/3537a672-e4d8-4d89-aab9-26cb622918a1' \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "id": "3537a672-e4d8-4d89-aab9-26cb622918a1", ... "allowed_idps": [], ...}'ユーザーは、ワンタイム PIN を使用してログインするオプションを持つようになります。
次の API コールは、アカウントの SSO 強制を無効にします。この操作はスーパ管理者のみが実行できます。
- SSO
connector_idを取得します:
curl https://api.cloudflare.com/client/v4/accounts/{account_id}/sso/v2/connectors \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>"{ "result": [ { "connector_id": "2828", "connector_tag": "d616ac82cc7f87153112d75a711c5c3c", "email_domain": "yourdomain.com", "connector_status": "V", ... } ], "success": true, "errors": [], "messages": []}- SSO コネクタを無効にします:
curl --request PATCH \'https://api.cloudflare.com/client/v4/accounts/{account_id}/sso/v2/connectors/2828' \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "sso_connector_status": "DIS"}'{ "result": { "id": "2828" }, "success": true, "errors": [], "messages": []}ユーザーは、Cloudflare アカウントのメールアドレスとパスワードを使用してログインできるようになります。 SSO を再度有効にするには、"sso_connector_status" : "V" を含む PATCH リクエストを送信します。