シングルサインオン（SAMLおよびOIDC）の設定

CalendarBridgeでは、組織管理者がシングルサインオンを有効にすることで、ユーザーは他のすべてのサービスですでに使用しているのと同じIDプロバイダーでCalendarBridgeにサインインできます。このガイドでは、サポートされている両方のプロトコル、IDプロバイダーに渡す正確なサービスプロバイダー値、属性マッピング、テスト、トラブルシューティングについて説明します。

C Chad 2026年6月16日更新 8分で読めます

シングルサインオンの概要

シングルサインオン（SSO）を使うと、チームは別途のCalendarBridgeパスワードではなく、組織のIDプロバイダー（IdP）を通じてCalendarBridgeに認証できます。SSOが強制されると、検証済みドメインのすべてのユーザーがサインインのためにIdPにリダイレクトされ、アクセスを一元的に付与または取り消しできます。

サポートされるプロトコル： SAML 2.0（SP起点）およびOpenID Connect（OIDC） / OAuth 2.0 認可コードフロー。
CalendarBridgeのエディション： SSOとSCIMは、CalendarBridgeのGroup（組織）プランで利用できます。これらは組織管理者が組織管理ポータルから設定します。下記のグループアカウントのライセンスタイプとライセンスを参照してください。
アーキテクチャ： CalendarBridgeはマルチテナント型のSaaSアプリケーションです。SSOは検証済みドメインごとに設定されるため、各顧客が自社のIDプロバイダー接続を所有・管理します。CalendarBridgeは、あなたがドメイン用に提供したIdPメタデータ/証明書のみを取得して信頼します。

サポートされるIDプロバイダー

CalendarBridgeは、標準準拠のSAML 2.0またはOIDC IDプロバイダーすべてに対応しています。組織管理ポータルには、以下のプロバイダー向けの組み込みのステップバイステップ設定ガイドが含まれています。

IDプロバイダー	SAML 2.0	OpenID Connect	プロバイダーのドキュメント
Microsoft Entra ID（Azure AD）	対応	対応	Entra IDでSSOを設定する
Okta	対応	対応	OktaでSAML/OIDCアプリを作成する
Google Workspace	対応	—	カスタムSAMLアプリを設定する
JumpCloud	対応	—	カスタムSAMLアプリでのSSO
その他のSAML 2.0 / OIDC IdP	対応	対応	この記事の汎用的な値を使用してください。

info

Microsoft Entra IDギャラリーへの掲載 CalendarBridgeはSP起点およびIdP起点のSAML 2.0をサポートし、SAMLアサーションの署名証明書、有効期間、発行者、対象者を検証します。推奨されるEntra IDのセットアップでは、証明書のローテーションが自動的に処理されるよう、CalendarBridgeをApp Federation Metadata URLに向けてください。

ライセンス

SSOおよびSCIMプロビジョニングは、CalendarBridgeのGroup（組織）サブスクリプションに含まれています。CalendarBridge側でSSOを有効にするための別途のアドオン料金はありません。なお、一部のIDプロバイダーは、プロビジョニング/SCIM機能を特定のエディションに限定しています。たとえば、Google Workspaceの自動プロビジョニングにはEnterprise Standard、Enterprise Plus、またはEducation Plusが必要です。Microsoft Entra IDの自動ユーザープロビジョニングには、テナント内にMicrosoft Entra ID P1またはP2ライセンスが必要です。

SSOを設定できるユーザー（ロールベースのアクセス）

CalendarBridgeの組織管理者のみが、SSOおよびSCIM設定を閲覧または変更できます。一般メンバーにはこれらの設定項目は表示されません。SSOを管理するには、次の条件を満たす必要があります。

グループアカウントの管理者であること（グループ管理ポータルの概要を参照）、かつ
アカウントに少なくとも1つの検証済みドメインがあること。SSOは検証済みドメインに紐づけられます。認証済みドメインの接続を参照してください。

lightbulb

緊急用（break-glass）管理者を確保する SSOを強制する際は、IdPが利用できない場合でも少なくとも1人の組織管理者がアカウントにアクセスできるようにしてください。CalendarBridgeの管理者にはバイパス経路が残されているため、IdPの停止中にロックアウトされることはありません。

シングルサインオンタブを開く

組織管理ポータルを開く

CalendarBridgeダッシュボードから組織を管理をクリックするか、calendarbridge.com/dashboard/organizationに直接アクセスします。
シングルサインオンタブを選択する

シングルサインオンタブを選択します。まだSSOを設定していない場合は、SSOを設定ボタンが表示されます。
SSOを設定をクリックする

プロトコル（SAMLまたはOIDC）を選択し、この設定を適用する検証済みドメインを割り当て、IDプロバイダーを選択すると、プロバイダー固有のインライン設定ガイドが表示されます。

SAML 2.0の設定

SAMLのセットアップは双方向のやり取りです。CalendarBridgeのサービスプロバイダー（SP）値をIdPに渡し、見返りにIdPのメタデータをCalendarBridgeに渡します。

IdPに入力するサービスプロバイダー値

これらは、CalendarBridgeアプリケーションを作成する際にIDプロバイダーに貼り付ける値です。アカウント用の正確なコピー可能な値は、シングルサインオンタブのコピーボタンとともに表示されます。手入力せず、必ずポータルからコピーしてください。

フィールド（ラベルはIdPにより異なります）	値
Entity ID / Audience URI / SP Entity ID	`urn:amazon:cognito:sp:<your-pool-id>` — SSOタブから正確な値をコピーしてください。
ACS URL / Reply URL / Single sign-on URL	`https://<your-CalendarBridge-auth-domain>/saml2/idpresponse` — SSOタブから正確な値をコピーしてください。
Name ID format	`EmailAddress`（永続的なメールアドレス）
Binding	アサーションにはHTTP-POST、リクエストにはHTTP-Redirect。

必須の属性マッピング

IdPでこれらのクレームをマッピングします。アプリ属性名は、表示されているとおり正確に入力してください。これらもポータルにコピーボタンとともに一覧表示されています。

アプリ属性（正確に入力）	マッピング元（IdP内）
`email`	プライマリメール / Email / `user.mail`
`name`	名 / given name / `user.givenname`

Microsoft Entra ID（Azure AD）— SAML

アプリケーションを作成する

Microsoft Entra管理センターで、エンタープライズアプリケーション → 新しいアプリケーション → 独自のアプリケーションの作成 →「ギャラリーに見つからないその他のアプリケーションを統合します」に移動します。
シングルサインオン → SAMLを開く
基本的なSAML構成で、次を入力します。
- 識別子（Entity ID）： CalendarBridge SSOタブのEntity ID。
- 応答URL（ACS）： CalendarBridge SSOタブのACS URL。
属性とクレームを構成する

上記の属性マッピングからemailとnameのクレームを追加し、Name IDをユーザーのメールに設定します。
App Federation Metadata URLをコピーする

SAML署名証明書の下で、App Federation Metadata URLをコピーします（末尾は/federationmetadata/2007-06/federationmetadata.xmlです）。静的なXMLファイルをアップロードする代わりにこのURLを使うと、CalendarBridgeが証明書のローテーションを自動的に取得できます。
ユーザーを割り当て、CalendarBridgeで完了する

アクセスを持つべきユーザーまたはグループを割り当ててから、CalendarBridge SSOタブに戻り、メタデータURLを貼り付けて保存します。

Okta、Google Workspace、JumpCloudなど — SAML

どのIdPでも流れは同じです。カスタムSAMLアプリを作成し、サービスプロバイダー値を貼り付け、属性マッピングを追加してから、IdPメタデータをCalendarBridgeに渡します。Okta、Google Workspace、JumpCloudのいずれかを選択すると、ポータルにそのプロバイダーの正確なメニューパスが表示されます。IdPメタデータは、CalendarBridge SSOタブで2つの方法で提供できます。

メタデータURL（推奨）— IdPのフェデレーションメタデータURLを貼り付けます。CalendarBridgeが再取得するため、証明書のローテーションが自動的に取得されます。
メタデータXML — プロバイダーがURLを公開していない場合は、IdPメタデータの.xmlファイルをアップロードします。

OpenID Connect（OIDC）の設定

OIDC/OAuth 2.0で接続したいIdPの場合、CalendarBridgeは認可コードフローを使用します。IdPでWebアプリケーションを作成し、CalendarBridgeに3つの値を渡します。

IdPに入力するリダイレクトURI

フィールド	値
リダイレクトURI / サインインリダイレクトURI（プラットフォーム：Web）	`https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse` — SSOタブから正確な値をコピーしてください。

CalendarBridgeに入力する値

CalendarBridgeのフィールド	IdP内での見つけ方
Discovery URL	IdPのOpenID構成ドキュメント。例：`https://<your-idp>/.well-known/openid-configuration`。
Client ID	作成したアプリ登録から取得します。
Client Secret	アプリ登録で生成するシークレットです。

要求される権限（スコープ）とその理由

CalendarBridgeは、サインインするユーザーを識別するために必要な、最小限の標準OIDCスコープのみを要求します。SSO接続を通じてメール、ファイル、カレンダーデータへのアクセスを要求することはありません。

スコープ	要求する理由（業務上の正当性）
`openid`	OpenID Connect認証を実行し、IDトークンを受け取るために必要です。
`email`	ユーザーをCalendarBridge組織および検証済みドメインに照合するための一意の識別子として使用します。
`profile`	基本プロフィール（名）を読み取り、初回サインイン時にユーザーの表示名を設定します。

info

最小権限での同意 これらは委任された、サインインのみのスコープです。管理者（またはテナントの同意ポリシーに応じてユーザー自身）が初回サインイン時に一度同意します。CalendarBridgeはSSOの一部としてアプリケーション権限やMicrosoft Graphのメール/カレンダー権限を一切要求しません。

Microsoft Entra ID — OIDC

アプリケーションを登録する

Microsoft Entra管理センターで、アプリの登録 → 新規登録に移動します。
リダイレクトURIを追加する

SSOタブに表示されているCalendarBridge OIDCリダイレクトURIに設定したWebプラットフォームのリダイレクトURIを追加します。
クライアントシークレットを作成する

証明書とシークレット → 新しいクライアントシークレットでシークレットを作成し、その値をすぐにコピーします。
ディスカバリー（メタデータ）URLをコピーする

概要 → エンドポイントから、OpenID ConnectメタデータドキュメントのURLをコピーします。ディスカバリーURL、クライアントID、クライアントシークレットをCalendarBridge SSOタブに貼り付けて保存します。

ドメインに対してSSOを強制する

デフォルトでは、SSOを有効にすると、そのドメインのユーザーがSSOを利用できる状態になります。設定フォームでSSOを強制にチェックを入れると、SSOが必須になります。その検証済みドメインのすべてのユーザーはIdPを通じてサインインしなければならなくなり、そのユーザーに対する直接のパスワードサインインは無効になります。

warning

強制する前にテストする メタデータや属性マッピングのミスでユーザーをロックアウトしないよう、強制を有効にする前に、パイロットユーザーがSSOでサインインできることを確認してください（次のセクション）。CalendarBridgeの管理者は緊急アクセス用のバイパス経路を保持しています。

パイロットユーザーでのテスト

設定がActiveであることを確認する

保存後、設定カードにステータスバッジが表示されます。Activeと表示されるまで待ちます。Pendingバッジは、CalendarBridgeがまだIdPメタデータを検証していないことを意味します。Errorバッジはその理由をインラインで表示します。
IdPでパイロットユーザーを割り当てる

IdPでCalendarBridgeアプリに1〜2人のテストユーザーを割り当てますが、当面は強制はオフのままにします。
SSO経由でサインインする

パイロットユーザーに、組織のメール/ドメインを使ってCalendarBridgeにサインインしてもらいます。IdPにリダイレクトされ、サインインした状態でCalendarBridgeに戻ってくるはずです。名前とメールが正しく設定されたことを確認します。
展開する

パイロットが成功したら、残りのユーザーを割り当て、必要に応じてSSOを強制をオンにします。

トラブルシューティング

設定カードにErrorステータスが表示された場合、カードに表示されるメッセージが具体的な失敗の原因を説明します。よくあるケース：

症状 / メッセージ	考えられる原因と対処
ステータスがPendingのまま、または「メタデータを取得できませんでした」	メタデータURLに到達できないか、XML以外を返しています。URLがブラウザで読み込めることを確認するか、メタデータXMLファイルのアップロードに切り替えてください。
「無効な署名」/「証明書」エラー	IdPの署名証明書がローテーションされ、保存されているメタデータが古くなっています。ローテーションが自動的に取得されるよう、IdPのメタデータURLを使って再保存する（推奨）か、現在のXMLを再アップロードしてください。
「Audience」/「Issuer」の不一致	IdPのEntity ID / Audience URIが、SSOタブの値と正確に一致していません。ポータルから再コピーしてください。
ユーザーはサインインするが、名前/メールが空白または拒否される	`email`と`name`の属性マッピングが欠落しているか、名前が誤っています。必須の属性マッピングを再確認してください。名前は大文字小文字を区別します。
「AADSTS50105」/ ユーザーが未割り当て（Entra ID）	ユーザーがEntra IDのCalendarBridgeエンタープライズアプリに割り当てられていません。ユーザーまたはそのグループを割り当ててください。
リダイレクト/応答URLの不一致	IdPのACS URL（SAML）またはリダイレクトURI（OIDC）が、SSOタブの値と一致していません。正確な値を再コピーしてください。

サポートを受ける

設定カードのエラーメッセージと上記のトラブルシューティング表を確認しても解決しない場合は、CalendarBridgeサポートにお問い合わせください。組織のドメイン、プロトコル（SAML/OIDC）、IDプロバイダー、カードに表示されている正確なステータスメッセージを含めてください。

CalendarBridgeサポートに問い合わせる
SCIMディレクトリ同期（プロビジョニング）の設定 — SSOが有効になった後、ユーザーの作成と無効化を自動化します。