コンテンツまでスキップ
日本語
  • 検索フィールドが空なので、候補はありません。

サインイン方法を OIDC から SAML SSO に正しく変更する方法 (組織管理者向け)

サインイン方法を OIDC から SAML SSO に変更する場合、設定が正しく行われていないと、新たな組織の作成を求められる場合があります。

なぜこのような現象が起きるのでしょうか?

ユーザーがSAML SSOを使用してGoodnotesにサインインすると、GoodnotesはこれをOIDC(Microsoft、Google、またはApple)で作成した既存のアカウントとは別のIDとして扱います。メールアドレスが同一であっても、SSOサインインは既存のアカウントに連携されるのではなく、新しいGoodnotesアカウントを作成します。

この新しいSSOアカウントが組織に追加されるためには、サインイン時に次のいずれかの条件を満たしている必要があります。

  • ドメインに対してオートキャプチャが有効になっており、Goodnotesが自動的にアカウントを組織に追加する、または
  • ユーザーがAdmin Consoleからの招待を既に受け取り、承認している

どちらの条件も満たされていない場合、Goodnotesは新しいSSOアカウントをルーティングする組織を持ちません。組織に参加する代わりに、アカウントは独自の空の組織を持つ無料アカウントとして作成されます。これが「新しい組織」画面が表示される原因です。

これは、以下のシナリオで最もよく発生します。

シナリオ1 - 管理者がセットアップ直後にSSOをテストする場合: 管理者がSAML SSOを設定したが、テスト前にオートキャプチャの有効化や招待の設定をしていない場合。SSOでサインインすると、既存の組織に参加する代わりに新しいフローティングアカウントが作成されます。

シナリオ2 - ユーザーが招待を受ける前にSSOでサインインする場合: オートキャプチャがオフになっており、ユーザーが招待を受け取らずにSSOでサインインしようとした場合。各ユーザーに対して、組織への参加ではなく新しい空のアカウントが作成されます。

シナリオ3 - OIDCからSAMLへの移行時にユーザーへの準備が不十分な場合: 組織が以前にMicrosoft、Google、またはApple(OIDC)サインインを使用していた場合。SSOが適用されると、既存ユーザーが初めてSSOでサインインします。OIDCとSSOのアカウントは別のIDとして扱われるため、各ユーザーは既存のアカウントではなく新しい空のアカウントに移動します。ドキュメントと設定は元のOIDCアカウントに残ります。


手順

SSO を使用して正常にサインインを完了するため、以下の手順に従ってください。

  1. 元のOIDC方法(Apple、Google、またはMicrosoft)を使用して管理コンソールにサインインし、オンボーディング方法(オートキャプチャまたはメール招待のいずれか)が設定されていることを確認してください。どちらも設定されていない場合、SSOでサインインすると、組織に参加する代わりに新しい空のアカウントが作成されます。

  2. サインアウトします。

  3. Web アプリ(https://web.goodnotes.com) SAML SSO を使用してサインインします。

  4. 右上の 歯車アイコン をクリックして設定メニューを開き、Manage Account → Delete Account を選択します。

  5. 画面下部に表示される 「Want to permanently delete your account immediately?」 を含む手順に従い、アカウント削除を完了します。
    image_full delete.png

  6. 管理コンソールhttps://org-admin.goodnotes.com)に戻り、SAML SSO でサインインします。今回はアカウントが自動的に組織へ参加します。新しい SAML SSO ユーザーのロールは 「メンバー」 のため、「No access」 画面が表示されます。

  7. 新しい SAML SSO ユーザーを 「組織管理者」 に昇格させるには、管理コンソール からサインアウトし、元のサインイン方法(Google/Apple/Microsoft)で再度サインインします。ユーザ に移動し、新しい SAML SSO アカウントの行を見つけ、役割を 「組織管理者」 に変更します。

  8. 最後に 管理コンソール から再度サインアウトし、SAML SSO でサインインします。

これで、SAML SSO を使用して 管理コンソール にアクセスできるようになります。必要に応じて、最初のサインイン(Google/Apple/Microsoft)で作成された元のアカウントを Admin Console から削除できます。

重要:
アカウント削除の最後に表示される 「permanently delete your account」 の手順を必ず完了してください。このステップは見落とされやすいためご注意ください。