SSO / LDAP / SCIM 概要（IT 向け）

SSO / LDAP / SCIM 概要（IT 向け）

ワークスペースへの シングルサインオン（SSO）、LDAP ディレクトリ連携、SCIM によるユーザープロビジョニングの概要です。IT 管理者・インフラ担当向け。

Enterprise 機能: カスタム SSO（SAML / OIDC / LDAP）と SCIM は Enterprise ライセンスが必要です。Google SSO 等はエディションにより異なります（No.2.8）。

こんなときに読む

IdP（Okta、Azure AD、Google Workspace 等）と連携したい
LDAP で既存ディレクトリ認証を使いたい
SCIM でユーザー・グループを自動同期したい

設定画面

Settings > Security（/settings/security）— WS Admin / Owner のみ

主なセクション:

セクション	内容
SSO Providers	SAML / OIDC / LDAP プロバイダーの追加・編集
Enforce SSO	パスワードログインの無効化（SSO 強制）
Allowed domains	SSO 経由サインアップを許可するメールドメイン
MFA	多要素認証のワークスペース設定
SCIM	プロビジョニング API の有効化とトークン管理

SSO プロバイダー種別

種別	用途	設定の要点
SAML 2.0	エンタープライズ IdP	Entity ID、ACS URL、証明書、NameID 形式
OIDC	OAuth 系 IdP	Issuer、Client ID、Client Secret、リダイレクト URI
LDAP	オンプレ AD / OpenLDAP	URL、Bind DN、Base DN、検索フィルタ、TLS
Google（クラウド等）	Google アカウント	管理者画面のウィザードに従う

各プロバイダーで Enable、Allow signup（初回 WS 参加）を個別に設定できます。

ログインフロー（利用者視点）

ログイン画面で SSO ボタンを選択
IdP で認証
既存ユーザーは WS へ、未登録かつ許可されていればサインアップ

→ 利用者向け: 「ログイン導線のすべて」（No.2.6）

LDAP の概要

LDAP URL … ldap:// または ldaps://
Bind DN / Password … 検索用サービスアカウント
Base DN … ユーザー検索の起点
User search filter … 例: (uid={{username}}) や (mail={{email}})
TLS … 本番では LDAPS または StartTLS を推奨

LDAP は SSO プロバイダーとして追加し、メールアドレス等の属性マッピングを確認してください。

SCIM プロビジョニング

SCIM 2.0 で IdP からユーザー・グループを同期します。

有効化手順（概要）

Security 画面で Enable SCIM を ON
SCIM base URL を IdP に登録（画面に表示）
SCIM トークン を作成（最大 5 件）
IdP 側でマッピング・同期スケジュールを設定

運用上の注意

トークンはパスワード同様に保管。漏洩時は Revoke して再発行
削除されたユーザーは WS からの扱いを IdP ポリシーと合わせて設計
scimExternalId で IdP と Docmost ユーザーを対応付け

SSO 強制（Enforce SSO）

全メンバーに SSO ログインのみを許可する場合に有効化します。

有効化前に ブレークグラウンド管理者（ローカルパスワード）の確保を推奨
MFA 設定と併用可能（No.8.1）

チェックリスト（導入時）

APP_URL が IdP のリダイレクト URI と一致（セルフホスト: No.10.2）
SAML 証明書の有効期限をカレンダー管理
テストユーザーでログイン・サインアップの両方を検証
SCIM のグループマッピングと WS / Space ロール方針を決定
403・権限エラー時のエスカレーション先を決める（No.11.4）

関連ナレッジ

ログイン: 「ログイン導線のすべて」（No.2.6）
セキュリティ設定: 「セキュリティ設定の概要」（No.8.4）
権限: 「用語と権限」（No.2.2）
EE 機能差: 「OSS と Enterprise の機能差早見表」（No.2.8）