Security Assertion Markup Language（SAML）は、アイデンティティープロバイダー（IDP）とClickUpなどのサービスプロバイダー（SP）間の通信の標準です。

SAML2.0をサポートする任意のIDPを使ってカスタムシングルサインオン（SSO）を設定できます。 以下のプラットフォームではSSO統合もご利用いただけます。

• Googleワークスペース
• Microsoft
• Okta

必要条件

• Enterpriseプランでのみ利用できます。
• カスタム権限を持つ所有者または管理者である必要があります。

カスタムSAMLを有効にする

SAMLを構成するには、SSOを使う必要があります。ワークスペース内の各ユーザーは、SSOを使ってログインするために、ClickUpアカウントをIDPのアカウントにリンクする必要があります。

ステップ1

SAMLを有効にすると、以前のSSO設定が上書きされます。

SAMLを有効にするには：

1. ワークスペースのアバターをクリックし、［Settings］をクリックしてから、［Security & Permissions］をクリックします。
2. Single sign-on（SSO）セクションで、SAMLを選びます。

   

   Image of the security and permissions page indicating the SAML option

ステップ2

組織のソリューションを構成するには、ITチームにIDPのドキュメントを参照するように依頼してください。

アサーション要件

IDPからClickUpに送信されるアサーションには、任意の形式の一意のNameIDが必要です。他の属性は必要ありません。

NameIDとしてはeメールを使わないことをお勧めします。eメールアドレスを変更するには、ユーザーの再リンクが必要です。

IDPソリューションを構成する

1. SAML Single sign-onの設定セクションで、ITチームに次の情報を提供します。
   • オーディエンスURI（SPエンティティID）
   • シングルサインオンURL（ACS URL）
   • SP証明書は、Windows Active Directoryフェデレーションサービス（AD FS）オンプレミス証明書信頼展開モデルを使う場合にのみ必要です。

この情報は、IDPソリューションにClickUpと安全に通信する方法を伝えます。

次に、IDPソリューションと安全に通信する方法をClickUpに指示します。

ステップ3

ITチームがIDPを設定したら、次の情報を尋ねます。

• ログインURL（SSO用URL）
• IDP公開証明書

ITチームに次のことを伝えることができます：

• 発行者URI（IDPエンティティID）は必須ではありません。
• 証明書は署名され、暗号化されている必要があります。

1. SAML Single sign-onの設定セクションで、次の情報を入力します。
   • ログインURL（SSO用URL）
   • IDP公開証明書 IDP公開証明書全体をコピーする必要があります。証明書にこれらが含まれている場合は、BEGIN CERTIFICATEヘッダーとEND CERTIFICATEフッターを含める必要はありません。 証明書をテキストエディターに貼り付けることができます。例えば、Visual Studio CodeやText Editなどに貼り付けられます。
2. ［Save Metadata］をクリックします。

保存すると、新しいSSO設定を使ってログインするように求められます。

初回ログイン時に、当該ClickUpアカウントとログインに使うIDPユーザーアカウントの間にリンクが作成されます。

次に、アカウントが正常にリンクされたことを確認します。

ステップ4

アカウントが正常にリンクされたことを確認するには：

1. 右上隅にあるアカウントのアバターをクリックします。
2. ［My Settings］を選びます。
3. ページの一番下までスクロールします。
4. リンクが成功すると、プロバイダーとClickUpワークスペースを示すSingle sign-onセクションが表示されます。

［Re-link］ボタンをクリックすると、IDPのどのアカウントをClickUpアカウントに関連付けるかを変更できます。

［Unlink］ボタンもあります。SAMLが有効になっている場合は、ワークスペースでSSOが必要になります。アカウントのリンクを解除できるのは、所有者またはワークスペースのカスタム権限を持つ管理者のみです。

IDP公開証明書をダウンロードして使う

IDP公開証明書を使うには：

1. 現在の証明書を生成したら、ダウンロードします。
2. Downloadsフォルダーを開き、ファイルを右クリックします。
3. ［Open with］を選びます。
4. リストにないアプリを選択するには、「その他」または「別のアプリ」をクリックします。
5. ファイルをプレーンテキストとして開くアプリを見つけます。例えば、Visual Studio CodeやText Editなどでで開けます。
6. 上記の手順3と4の指示に従います。

ClickUp SP証明書を更新する

証明書の有効期限が切れる前に、ワークスペースの所有者は証明書を更新するように通知するeメールを受け取ります。

ClickUp SP証明書を更新するには：

1. 左上隅にあるワークスペースのアバターをクリックします。
2. ［Settings］を選び、［Security & Permissions］を選びます。
3. SAMLシングルサインオンの構成セクションで、［Regenerate］をクリックします。

SSOを要求する

ワークスペース内の各ユーザーは、SSOを使ってログインするためにClickUpアカウントをIDPのアカウントにリンクする必要があります。SAMLを構成するには、SSOを使う必要があります。 この要件は次のように適用されます。

• SAMLを有効にすると、次回ワークスペースメンバーとゲストがログインするときに、SAMLでサインインするためのリンクが表示されます。

  

Screenshot showing the 'Sign in with SAML' popup.

• 誰かがワークスペースに参加するよう招待されると、ワークスペースの招待を承諾する前に、ClickUpアカウントのパスワードを設定することになります。SAMLによるサインインが完了すると、ClickUpアカウントがIDPのユーザーアカウントにリンクされます。

SCIMとカスタムSAML

• Azure ADSSO（現在はMicrosoft Entra IDと呼ばれています）には、ユーザーの作成と削除を含む自動プロビジョニングが制限されています。ロール、カスタム ロール、およびチームを割り当てることはできません。
• Okta SCIMSSOには完全な自動プロビジョニング機能があります。
• サポートされているIDPに対してSCIMを構成するには、SSOとカスタムSAMLを正常に統合した後、SCIMベースURLとSCIMAPIトークンが表示されます。ベースURLとAPIトークンをIDPに入力する手順はプロバイダーによって異なります。