コンテンツにスキップ
アカウントを作成
または
サインイン
Stripe ドキュメントのロゴ
/
アカウントを作成
サインイン
概要すべての商品を確認する
構築を開始する
LLM を使用した構築
Stripe を設定する
モバイルダッシュボード
Stripe に移行
顧客データを移行サブスクリプションを移行
不正利用のリスク管理

組織レベルの SSO公開プレビュー

組織内のすべてのアカウントのシングルサインオン (SSO) を管理できます。

ページをコピー

ビジネスが複数の Stripe アカウントで運営されていて、ユーザーの認証にシングルサインオン (SSO) を使用している場合は、 Stripe 組織で SSO を一元的に設定できます。すでに SSO が組織に設定されているアカウントを追加することも、組織の作成後にすべてのアカウントに SSO を設定することもできます。

SSO を使用して設定したアカウントを組織に追加する

SSO が設定されているアカウントが複数ある場合でも、組織内で個々の SSO 設定を保持することはできません。1 つの認証アプリに複数の認証アプリを統合する必要があります。

組織が作成されると、Stripe はアカウントの SSO 設定を組織のユーザー認証設定に統合します。このアクションにより、個々のアカウントの SSO 設定が読み取り専用に更新されます。個人アカウントに引き続きログインすることはできますが、確認済みドメインや強制適用などの設定は、組織でのみ編集する必要があります。

組織に SSO を設定した後、SSO を使用しないアカウント、または組織の SSO 設定を共有するアカウントを追加できます。SSO 認証を個別に使用しているアカウントを追加することはできません。

組織全体で SSO を設定する

各アカウントで個別に SSO を設定するのではなく、組織のすべてのアカウント全体で SSO を一元的に設定できます。組織レベルで確認済みのドメインまたは SSO 設定は、組織内のすべてのアカウントに適用されます。

SSO の初期設定

Stripe で初めて SSO を設定するには、Stripe のシングルサインオンをご覧ください。

各ドメインの SSO 設定

確認済みのドメインごとに個別の SSO 設定を行うことも、同じ SSO 設定を複数のドメインに再利用することもできます。たとえば、同じ組織内で、1 つのドメインで SSO を必須にし、別のドメインでは SSO を任意に設定したり、全体的に無効にしてメールアドレスとパスワードによるログインを有効にしたりすることができます。

複数のアイデンティティープロバイダー

Stripe では、確認済みドメインごとの IdP が 1 つのみである場合に複数の IdP を使用できます。たとえば、rocketrides.com メールアドレスを使用するユーザーが Okta で認証するように設定したり、rocketdelivery.com メールアドレスを使用するユーザーが AzureAD で認証するように設定できます。

アカウントレベルの役割と組織レベルの役割を割り当てる

組織レベルの SSO は、1 つのアカウント内の SSO と同様に動作します。Stripe は IdP から SAML アサーションを受け取ると、その SAML アサーション内で指定されたアカウントと役割を調べます。この情報に基づいて、Stripe はユーザーに役割を割り当てます。単一のアカウントレベルの役割、単一の組織レベルの役割、またはアカウントレベルと組織レベルの両方の役割の組み合わせを割り当てることができます。

これらの役割を割り当てる際は、アカウント ID には Stripe-Role-{accountID}、組織 ID には Stripe-Role-{org-id} のプレフィックスを使用します。アカウントレベルのアカウント ID を含むクレームと、組織レベルの組織 ID を含むクレームを割り当てます。アカウントレベルと組織レベルの役割の詳細をご確認ください。

以下の SAML アサーションのスニペットでは、ユーザーに対して 3 つのクレームが行われています。

  1. acct_ONE では、ユーザーに developer 役割が割り当てられます
  2. acct_TWO では、ユーザーに developer 役割が割り当てられます
  3. org_ALPHA では、ユーザーに view-only 役割が割り当てられます

これらのアサーションの結果として、Stripe はこのユーザーに、acct_ONE アカウントと acct_TWO アカウントで developer の役割のセッションを許可します。さらに、org-ALPHA 組織とその組織内のすべてのアカウントで view-only の役割を割り当ます。

      <saml2:Attribute Name="Stripe-Role-acct_ONE" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">developer</saml2:AttributeValue>
      </saml2:Attribute>
      <saml2:Attribute Name="Stripe-Role-acct_TWO" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">developer</saml2:AttributeValue>
      <saml2:Attribute Name="Stripe-Role-org_ALPHA" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">view_only</saml2:AttributeValue>
このページはお役に立ちましたか。
はいいいえ
お困りのことがございましたら 、サポートにお問い合わせください
早期アクセスプログラムにご参加ください。
変更ログをご覧ください。
ご不明な点がございましたら、お問い合わせください
LLM ですか?llms.txt を読んでください
Powered by Markdoc