# SSO システムを統合する

複数のアカウントのシングルサインオン (SSO) 設定を統合します。

Stripe Organizations を使用して、複数の Stripe アカウントを管理して運営するための一元化された組織を作成します。ユーザー認証にシングルサインオン (SSO) を設定している場合は、組織へのアカウント登録の前に、すべての Stripe アカウントが同じ SSO システムを共有していることを確認してください。Organizations を使用するかどうかにかかわらず、SSO システムの統合をお勧めします。

このガイドでは、Okta を例として使用し、複数のアカウントにまたがる SSO 連携を統合するプロセスの概要を説明します。複数の Okta アプリ (それぞれが別々の Stripe アカウントに対してユーザーを認証する) を、複数の Stripe アカウントに対してユーザーを認証する 1 つの Okta アプリに統合する必要があります。別のアイデンティティプロバイダーを使用している場合は、IdP の同等の設定を使用して同じ原則を適用してください。すでに SSO 連携を統合している場合、または最初に複数のアカウントを持つ単一の連携として Okta を設定した場合は、追加の手順を実行する必要はありません。

この統合には、Stripe にログインするユーザーのグループの割り当てやダウンタイムの変更は必要ありません。

> #### ID プロバイダーアプリケーションごとに 1 つの組織を構成する
> 
> 複数の組織に SSO を設定する場合は、それぞれに同じ ID プロバイダーアプリケーションを再利用しないでください。代わりに、組織ごとに 1 つの ID プロバイダーアプリケーションを構成します。

## 統合前の SSO 設定の例

このガイドに従い、Acme Inc. という架空の会社に属する複数の Stripe アカウントの [SSO 設定](https://dashboard.stripe.com/settings/security/sso)を統合する方法を説明します。Acme Inc には 4 つの Stripe アカウントがあり、それぞれに個別の Okta アプリと SSO システムが使用されています。

- Acme Financial
- Acme Travel
- Acme Insurance
- Acme Consulting

Okta では、Acme は各 Stripe アカウントでユーザーが必要とする役割ごとに個別のグループを設定します。以下に例を示します。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_1.4807fe1fd5aa6076345f14684bbfec35.png)

Acme は、各アプリの**プロフィールエディター**で、各 Stripe アカウントの役割のマッピングを作成しました。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_2.b77058f777752b3d4311a57259e588d5.png)
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_3.11913135275d1b024da286ebce99892c.png)

次に、Acme は各 Stripe アカウント用に別々の Okta アプリを作成しました。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_4.8a1503c0f8134150062d31fe13ab67ac.png)

各アカウントには、その 1 つの Stripe アカウントに対するユーザーの役割を定義する 1 つの**属性ステートメント**が含まれます。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_5.cce233b18ee635a70bba13c88fb477f4.png)

Organizations にアカウントを登録するために、各 Stripe アカウントに個別の Okta アプリと SSO システムを使用することはできません。これらの Okta アプリを、すべてのアカウントに対して 1 つの Okta アプリに統合し、また、細かい役割の割り当てを維持して、ユーザーが Stripe の特定のアカウントにアクセスできるようにする必要があります。

## プライマリー Okta アプリを指定する

既存の Okta アプリの 1 つを新しいプライマリー Okta アプリとして選択します。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_6_step_1.caa2ffd1108c25d2830f433614bd9220.png)

## 各 Stripe アカウントの役割の新しいプロフィールマッピングを追加する

各 Stripe アカウントに新しい属性マッピングを作成します。これにより、アプリに各グループを割り当てる際に、ユーザーがアクセスできる Stripe アカウントを選択できます。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_7_step_2.90c817e66e9f7685ff24cf483ca0cfca.png)

各プロフィールマッピングで、割り当てが可能な役割を設定できます。役割と値の一覧は、[ユーザーの役割](https://docs.stripe.com/get-started/account/teams/roles.md)ページで確認できます。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_8_step_2a.97e9f86e50f551ce8cff806cd394c6fb.png)

## 新しいプライマリーアプリで役割を割り当てる

Okta の各グループについて、そのグループをプライマリーアプリに割り当て、そのグループのユーザーがアクセスできる役割とアカウントを選択します。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_9_step_3.6b1eac7b697622131b60cee107c32fb5.png)
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_10_step_3a.feb9eb9d8246add074b413e7f44aad4f.png)

## 各 Stripe アカウントでユーザーの役割の属性ステートメントを追加する

プライマリー Okta アプリの SAML 設定で、各属性ステートメントに `Stripe-Role-acct_id` または `Stripe-Role-org_id` のいずれかの名前を指定します。Stripe アカウントまたは組織のユーザーの役割を含む、プロフィールマッピングとして値を設定します。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_11_step_4.4f91427615b58334ccda52efa1b558a5.png)

## 認証時にユーザーをリダイレクトするために、すべての Stripe アカウントの SSO を設定する

次に、各アカウントの Stripe の SSO 設定が、同じプライマリー Okta アプリにリダイレクトされることを確認します。これを行うには、各アカウントの SSO 設定を更新します。

Okta で Stripe が必要とする、プライマリーアプリに関連付けられた 3 つのメタデータを見つけるには、Okta でプライマリーアプリの**サインオン**タブに移動します。ページの右下隅にある、**SAML 設定手順を見る**をクリックして、メタデータをコピーします。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_12_step_5.59a88c49f5f6fabbb621940d92dd3dec.png)
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_13_step_5a.053718fdc281776ab21caaa003eb4d8c.png)

各 Stripe アカウントの SSO 設定にアクセスするには、 **設定 > チームとセキュリティ > シングルサインオン (SSO)** をクリックします。ドメインに関連付けられたメニューを開き、 **設定の編集** をクリックします。Okta のプライマリーアプリからのメタデータを貼り付けます。
![](https://b.stripecdn.com/docs-statics-srv/assets/consolidation_14_step_5b.55bdaf38c0633a132039a5ac16137b09.png)

メタデータを貼り付けて、変更を確定すると、ユーザーは Okta のプライマリーアプリをクリックして Stripe にサインインできます。アカウント選択機能を使用して Stripe のアカウントを切り替えます。

## Optional: Okta でユーザーを各 Stripe アカウントにリダイレクトするブックマークを設定する

ユーザーがプライマリー Okta アプリを使用してサインインした後に Stripe アカウントを切り替える必要がないようにする場合、各 Stripe アカウント用に Okta でブックマークタイルを設定できます。これにより、URL に基づいて特定の Stripe アカウントに自動的にログインできるようになります。

以下の URL の形式を確認してください。`{YOUR_DOMAIN_NAME}` を実際のドメインに置き換え、`{acct_id}` を目的のアカウント ID に置き換える必要があります。

`https://dashboard.stripe.com/login/saml_direct/domain/{YOUR_DOMAIN_NAME}/merchant/{acct_id}`