コンテンツにスキップ
アカウントを作成
または
サインイン
Stripe ドキュメントのロゴ
/
アカウントを作成
サインイン
概要すべての商品を確認するリリースフェーズ
Set up Stripe
決済を受け付ける
Stripe ダッシュボード
モバイルダッシュボード
For developers
Stripe に移行
顧客データを移行サブスクリプションを移行
Manage fraud risk

組織レベルの SSO公開プレビュー

組織内のすべてのアカウントのシングルサインオン (SSO) を管理できます。

ビジネスが複数の Stripe アカウントで運営されていて、ユーザーの認証にシングルサインオン (SSO) を使用している場合は、 Stripe 組織で SSO を一元的に設定できます。すでに SSO が組織に設定されているアカウントを追加することも、組織の作成後にすべてのアカウントに SSO を設定することもできます。

SSO を使用して設定したアカウントを組織に追加する

すでに複数のアカウントで SSO を設定している場合は、組織に追加する前に、アカウントで同じ SSO 設定を共有する必要があります。そのためには、Stripe アカウントごとに別々のアイデンティティープロバイダー (IdP) アプリと SSO システムを、IdP ごとに 1 つのシステムに統合する必要があります。既存の Stripe アカウントの SSO システムを統合する方法をご覧ください。

組織を作成すると、Stripe は、組織のユーザー認証設定にアカウントの SSO 設定を統合します。このアクションにより、個々のアカウントの SSO 設定がリードオンリーに変更されます。アカウントのユーザーは引き続き、SSO を使用せずにアカウントにサインインできます。ただし、編集できるのは、確認済みドメインや実施に関連する設定といった組織レベルの特定の設定に限ります。

SSO を使用して組織を設定した後、SSO を使用しないアカウントと、組織の SSO 設定を共有するアカウントを追加できます。

組織全体で SSO を設定する

各アカウントで個別に SSO を設定するのではなく、組織のすべてのアカウント全体で SSO を一元的に設定できます。組織レベルで確認済みのドメインまたは SSO 設定は、組織内のすべてのアカウントに適用されます。

SSO の初期設定

Stripe で初めて SSO を設定するには、Stripe のシングルサインオンをご覧ください。

各ドメインの SSO 設定

確認済みのドメインごとに個別の SSO 設定を行うことも、同じ SSO 設定を複数のドメインに再利用することもできます。たとえば、同じ組織内で、1 つのドメインで SSO を必須にし、別のドメインでは SSO を任意に設定したり、全体的に無効にしてメールアドレスとパスワードによるログインを有効にしたりすることができます。

複数のアイデンティティープロバイダー

Stripe では、確認済みドメインごとの IdP が 1 つのみである場合に複数の IdP を使用できます。たとえば、rocketrides.com メールアドレスを使用するユーザーが Okta で認証するように設定したり、rocketdelivery.com メールアドレスを使用するユーザーが AzureAD で認証するように設定できます。

アカウントレベルの役割と組織レベルの役割を割り当てる

組織レベルの SSO は、1 つのアカウント内の SSO と同様に動作します。Stripe は IdP から SAML アサーションを受け取ると、その SAML アサーション内で指定されたアカウントと役割を調べます。この情報に基づいて、Stripe はユーザーに役割を割り当てます。単一のアカウントレベルの役割、単一の組織レベルの役割、またはアカウントレベルと組織レベルの両方の役割の組み合わせを割り当てることができます。

これらの役割を割り当てる際は、アカウント ID には Stripe-Role-{accountID}、組織 ID には Stripe-Role-{org-id} のプレフィックスを使用します。アカウントレベルのアカウント ID を含むクレームと、組織レベルの組織 ID を含むクレームを割り当てます。アカウントレベルと組織レベルの役割の詳細をご確認ください。

以下の SAML アサーションのスニペットでは、ユーザーに対して 3 つのクレームが行われています。

  1. acct_ONE では、ユーザーに developer 役割が割り当てられます
  2. acct_TWO では、ユーザーに developer 役割が割り当てられます
  3. org_ALPHA では、ユーザーに view-only 役割が割り当てられます

これらのアサーションの結果として、Stripe はこのユーザーに、acct_ONE アカウントと acct_TWO アカウントで developer の役割のセッションを許可します。さらに、org-ALPHA 組織とその組織内のすべてのアカウントで view-only の役割を割り当ます。

      <saml2:Attribute Name="Stripe-Role-acct_ONE" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">developer</saml2:AttributeValue>
      </saml2:Attribute>
      <saml2:Attribute Name="Stripe-Role-acct_TWO" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">developer</saml2:AttributeValue>
      <saml2:Attribute Name="Stripe-Role-org_ALPHA" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">view_only</saml2:AttributeValue>
このページはお役に立ちましたか。
はいいいえ
お困りのことがございましたら 、サポートにお問い合わせください
早期アクセスプログラムにご参加ください。
Stripe の製品変更ログを確認してください。
ご不明な点がございましたら、お問い合わせください
Powered by Markdoc