WordPressでシングルサインオン（SSO）を設定するための簡単なガイド 

複数のツールでユーザー名とパスワードを管理するのは、本当に面倒な作業です。 会員制サイト、チームイントラネット、大規模なWordPressネットワークなど、どのようなサイトを運営している場合でも、ログイン情報の管理は煩雑さを生み、同時にセキュリティリスクも高めます。WordPressのシングルサインオン（SSO）は、これらの問題を一度に解決します。このガイドでは、SSOの仕組み、重要性、そしてサイトへの設定方法をステップバイステップで詳しく解説します。

要約：WordPressでSSOを設定する

• WordPressのSSO（シングルサインオン）機能を使えば、ユーザーは一度ログインするだけで、パスワードを再入力することなく複数のツールにアクセスできます。.

• SAML 2.0は、WordPress向けの最も安全で広くサポートされているSSOプロトコルであり、チームや企業環境での利用に最適です。.

• SSOはパスワードの使い回しを減らし、ユーザー管理を一元化し、コンプライアンス監査を大幅に容易にします。.

• SSOを設定するには、HTTPSが有効になっている自己ホスト型のWordPress.orgサイトが必要です。.

• miniOrange SAML SSOプラグインは、WordPressをGoogle Workspace、Okta、Microsoft Azure ADなどのプロバイダーに接続する最も簡単な方法です。.

• WordPressのマルチサイトネットワークでは、メインサイトで一度だけSSOを設定するだけで済みます。.

• 本番環境にデプロイする前に、必ずステージング環境で設定をテストしてください。.

• デフォルトのユーザーロールを「購読者」に設定し、「編集者」や「管理者」には設定しないでください。.

WordPressにおけるシングルサインオン（SSO）とは何ですか？

シングルサインオンとは、ユーザーが一度ログインするだけで、認証情報を再入力することなく、複数のツール、アプリ、ウェブサイトにアクセスできる認証方法です。.

代わりに WordPressは 、すべてのパスワードを独自に保存および検証する

マスターキーカードのようなものだと考えてください。ドアごとに別々の鍵を使うのではなく、1枚のカードですべてのドアが開きます。Google Workspace、Microsoft Azure AD、またはOktaを使用しているチームの場合、従業員はメール、プロジェクトツール、その他すべてのサービスで使用しているアカウントと同じアカウントでWordPressにアクセスできます。.

SSOは、組織、会員制プラットフォーム、 eラーニングサイト、および複数のユーザーが複数のシステムにアクセスする必要があるWordPress環境などにおいて、特に価値があります。

WordPressでSAML SSOはどのように機能するのですか？

SAMLはSecurity Assertion Markup Languageの略です。これは、IDプロバイダー（IdP）とサービスプロバイダー（SP）という2者間で認証データを安全に交換するためのオープンスタンダードです。.

WordPressのSSO設定では、WordPressサイトがサービスプロバイダーとして機能します。実際の流れは以下のとおりです。

• ユーザーがあなたのWordPressサイトにアクセスしようとしています。.
• WordPressは ユーザーをIdPログインページにリダイレクトします。
• ユーザーはそこに認証情報を入力します。.
• IdPは本人確認を行い、署名付きのSAMLアサーションをWordPressに送り返します。.
• WordPressはそのアサーションを読み取り、ユーザーを自動的にログインさせます。.

WordPressはパスワードを直接保存したり検証したりすることは一切ありません。そのため、SAML SSOは標準的なWordPressログインよりもはるかに安全です。.

SAML、OAuth、OpenID Connectの比較

これら3つのプロトコルはいずれもシングルサインオン（SSO）を可能にするが、それぞれ異なる用途に対応する。.

• SAML 2.0は、企業環境、社内イントラネット、B2Bポータルにおいて最も推奨される選択肢です。堅牢でセキュリティが高く、ほぼすべての主要なIDプロバイダー（IdP）でサポートされています。.

• OAuth 2.0は 、ソーシャルログイン機能を必要とする消費者向けアプリに適しています。

• OpenID ConnectはOAuthの上に構築されており、ユーザー数の多い会員制サイトやSaaS製品にとって、堅実な中間的な選択肢となる。.

チームアクセス、企業顧客、または社内ツールを使用するほとんどのWordPressサイトにとって、SAMLは最適な選択肢です。.

WordPressサイトにSSO（シングルサインオン）を設定するべき理由とは？

設定に取りかかる前に、実際に何が得られるのかを理解しておくことが重要です。SSOは単なる便利な機能ではありません。組織全体のアクセス管理の仕組みを根本的に変えるものです。.

セキュリティ強化、パスワード削減

ユーザーが複数のパスワードではなく、強力なパスワードを1つだけ使用することで、複数のプラットフォームで脆弱な認証情報を使い回すことがなくなります。パスワードの使い回しは、認証情報盗難の最も一般的な原因の1つです。SSOは、WordPressのパスワードを完全に排除することで、この脆弱性を解消します。.

簡素化されたユーザー管理

管理者として、IDプロバイダー（IdP）を通じてアクセス権を付与または取り消すことができ、変更は接続されているすべてのプラットフォームに即座に反映されます。従業員が退職する場合、1つのアカウントを無効にするだけで、その従業員はすべてのアクセス権を失います。複数のシステムにまたがるアカウントを手動で探し出して無効化する必要はありません。.

チームの負担を軽減

ツールへのアクセスが速くなると、チームの生産性が向上します。パスワードを忘れる回数が減れば、サポートチケットの件数も減ります。 複数のクライアントサイトを管理する代理店や、大規模なWordPressネットワークを運用する企業にとって 、これはすぐに大きなメリットとなります。ユーザーは一度ログインするだけで、すぐに作業を開始できます。

コンプライアンスと監査の準備

SSOは認証ログを1か所に集約します。これにより、 GDPR および HIPAAへの準拠管理 が大幅に容易になります。すべてのログインイベントはIdPに紐付けられるため、各プラットフォームで個別のログ設定を行うことなく、明確な監査証跡が得られます。

Seahawk Mediaは、WordPressのSSO設定をどのようにサポートできるのでしょうか？

SSOの設定は、プラグインウィザードの手順に従うだけではありません。適切なIdP構成、属性マッピング、ロール管理、そして本番環境でのテストなど、すべてに細心の注意が必要です。いずれかの段階で設定ミスがあると、ログイン失敗や意図しないアクセスにつながる可能性があります。.

では Seahawk Media、代理店、企業、成長中のWordPressビジネスと協力し、チームの実際の働き方に合った、安全で信頼性の高いSSO（シングルサインオン）環境を構築します。

既存サイトをSSOに移行する場合でも、認証機能を備えた新しいポータルをゼロから構築する場合でも、当社のチームが技術的な詳細をすべて担当しますので、お客様はビジネスに集中できます。.

WordPressのセキュリティとアクセス管理に関するニーズについて、ぜひご相談ください。.

始める前に必要なものは？

作業を始める前にこのチェックリストを確認しておくと、後々の時間を節約できます。.

• WordPress.orgをセルフホスティングでインストールする必要があります。WordPress.comはカスタムSAMLプラグインをサポートしていないため、この設定は自分でホスティングするサイトでのみ機能します。.

• サイトではHTTPSを有効にする必要があります。SAMLは暗号化された通信を必要とするため、有効な SSL証明書は 必須です。

• WordPressと選択したIDプロバイダーの両方に対する管理者権限も必要です。.

このガイドでは 例として Google Workspaceを使用していますが、同じ原則はOkta、Microsoft Azure AD、OneLogin、その他のIDプロバイダーにも適用されます。

WordPressでシングルサインオン（SSO）を設定する手順

WordPressのシングルサインオンを有効にする最も簡単な方法は、miniOrange SAML SSOプラグインを使用することです。50種類以上のIDプロバイダーをサポートし、WordPressマルチサイトネットワークにも対応しており、ほとんどの標準的な設定をカバーする無料プランも用意されています。.

ステップ1：WordPressにSAML SSOプラグインをインストールする

WordPressダッシュボードにログインし、「プラグイン」→「新規追加」に進みます。「miniOrange SAML Single Sign On」を検索してインストールします。有効化したら、サイドバーの「miniOrange SAML 2.0 SSO」に移動します。ここで全ての設定を行います。

このプラグインは、WordPressサイトをSAML準拠のサービスプロバイダーに変換します。つまり、接続した互換性のあるIDプロバイダーからSAMLアサーションを受信し、検証できるようになります。.

ステップ2：サービスプロバイダーのメタデータを見つける

プラグイン内で、「プラグイン設定」タブをクリックし、次に「サービスプロバイダーメタデータ」タブを開きます。ここには、ACS URL（アサーションコンシューマーサービスURL）とエンティティIDという2つの重要な値が表示されます。.

このページは開いたままにしておいてください。次のステップで、これらの値をIDプロバイダーにコピーする必要があります。ACS URLは、ログイン成功後にIDプロバイダーがSAMLアサーションを送信する場所を指定します。エンティティIDは、WordPressサイトをIDプロバイダーに一意に識別するものです。.

ステップ3：IDプロバイダーを接続する（Google Workspaceの例）

admin.google.com にアクセスして、Google 管理コンソールにログインします。サイドバーで「アプリ」を選択し、「ウェブとモバイルアプリ」をクリックします。「アプリを追加」ドロップダウンを開き、「カスタム SAML アプリを追加」を選択します。.

• アプリに「WordPress SSO」のような分かりやすい名前を付けて、「続行」をクリックします。次の画面で、「メタデータのダウンロード」をクリックします。これにより、IDプロバイダーの詳細を含むXMLファイルがダウンロードされます。このファイルは後ほど必要になるので、保存しておいてください。.

• 下にスクロールして「続行」をクリックすると、サービスプロバイダーの詳細フォームが表示されます。WordPressダッシュボードに戻り、miniOrangeプラグインからACS URLとエンティティIDをコピーします。それらをGoogle管理コンソールの対応するフィールドに貼り付けます。「署名付きレスポンス」のチェックボックスも必ずオンにしてください。.

• 名前IDの形式として「メール」を選択し、名前IDを「基本情報」に設定してから「プライマリメール」を選択します。「続行」をクリックし、名や姓など必要な属性マッピングを追加してから、「完了」をクリックします。.

• Google管理コンソールでの最後のステップは、アプリの有効化です。「全員に対してオフ」と表示されているトグルスイッチを見つけて、「全員に対してオン」に切り替えてください。変更を保存します。.

Okta、Azure AD、OneLoginは非常に似たフローに従っていることに注意してください。Google Workspace以外のIDプロバイダーを使用している場合は、プラグインのドキュメントに各IDプロバイダーの具体的な手順が記載されています。.

ステップ4：IdPメタデータをWordPressにアップロードする

WordPressのminiOrangeプラグインに戻ってください。.

• サービスプロバイダー設定に移動し、IDプロバイダーとしてGoogle Appsを選択します。「IDPメタデータのアップロード」タブに移動します。.

• IDプロバイダーの名前を入力し、Google管理コンソールからダウンロードしたXMLファイルをアップロードします。「アップロード」をクリックします。.

プラグインはメタデータを解析し、IdPの詳細を自動的に入力します。他の操作を行う前に、「構成テスト」ボタンを使用して接続が正常に機能していることを確認してください。先に進む前に、ここで検出されたエラーをすべて修正してください。.

ステップ5：ユーザー属性をマッピングし、役割を割り当てる

プラグイン内の「属性/役割マッピング」タブに切り替えてください。ここで、IdP（アイデンティティプロバイダー）からのユーザー情報をWordPressのユーザーフィールドにマッピングする方法をWordPressに指示します。.

• 名、姓、メールアドレスの各フィールドを、対応するWordPress属性にマッピングします。.

• ロールマッピングのセクションまでスクロールダウンし、SSO経由でサインインする新規ユーザーのデフォルトロールを選択してください。この設定は慎重に行ってください。.

• ほとんどの設定において、「購読者」は最も安全なデフォルト設定です。個々のユーザーをより高い役割に手動で昇格させることも可能です。.

• 編集者または管理者を既定の役割として割り当てることは、重大なセキュリティリスクとなります。設定を保存するには、「更新」をクリックしてください。.

今後は、ログインページにアクセスしたユーザーには、「ログイン」ボタンが表示され、それをクリックすると認証のためにIDプロバイダー（IdP）にリダイレクトされます。.

WordPressマルチサイトでSSOを設定する

管理している場合 WordPressのマルチサイト 、設定は想像以上に簡単です。メインネットワークサイトで一度SSOを設定すれば、認証はネットワーク内のすべてのサブサイトに自動的に適用されます。各サイトで設定を繰り返す必要はありません。

このため、SSOは、単一ネットワーク上で複数のクライアントサイトを管理する代理店や、部門ごとにサブサイトを運営する大規模組織にとって特に有用です。ユーザーはメインサイトにログインすると、アクセス権のあるすべてのサブサイトでセッションが継続されます。.

SSO設定でよくある間違いとその回避方法

SSOに関する問題のほとんどは、回避可能なエラーが原因となっています。注意すべき点を把握しておけば、トラブルシューティングにかかる​​時間を大幅に節約できます。.

メールアドレスのドメインが一致していません

WordPressユーザーに関連付けられたメールアドレスは、IDプロバイダー（IdP）に登録されているメールアドレスと完全に一致している必要があります。チームメンバーがWordPressで個人のGmailアドレスを使用しているにもかかわらず、会社のGoogle Workspaceアカウントでログインした場合、SSOはアカウントを正しくリンクしません。既存ユーザーに対してSSOを有効にする前に、必ずメールアドレスを一致させてください。.

本番稼働前のテストをスキップする

プラグインの「テスト構成」ボタンは、理由があって設けられています。本番環境でSSOを有効にする前に、ステージング環境で必ずテストを行ってください。アサーションの設定ミスやACS URLの誤りは、あなたとユーザーをサイトから完全に締め出す可能性があります。常にテストを優先してください。.

間違ったデフォルトロールを割り当てる

SSO経由で作成された新規ユーザーには、プラグインで設定したデフォルトのロールが自動的に付与されます。このロールを「エディター」または「管理者」に設定したままにしておくと、IdP経由でサイトにアクセスするすべてのユーザーに自動的に高い権限が付与されます。まずは「サブスクライバー」から始め、特定のユーザーには手動でより高いロールを割り当ててください。.

WordPressにおけるSSOとソーシャルログインの違いとは？

ソーシャルログインとSSOは関連しているが、対象とするユーザー層が異なる。.

ソーシャルログインを利用すると、訪問者はGoogleやFacebookなどのプラットフォーム上の既存のアカウントでログインできます。これは、登録の手間を減らすことが主な目的である、消費者向けウェブサイト、ブログ、ECサイトなどに最適です。.

SAML SSOは、集中型のアクセス制御とセキュリティポリシーを必要とする組織向けに設計されています。.

Azure ADやOktaなどのエンタープライズ向けIDプロバイダーと統合し、ロールベースのアクセス管理をサポートし、規制対象業界で必要とされる監査証跡を提供します。.

公開会員サイトを運営している場合は、ソーシャルログインで十分かもしれません。しかし、社内チームのアクセス管理や企業顧客ポータルサイトの場合は、SAML SSOが最適な選択肢です。.

まとめ

WordPressのシングルサインオンは、関係者全員の作業を簡素化します。ユーザーはパスワードの管理に煩わされることなく、管理者は一元的にアクセスを管理でき、サイトのセキュリティも大幅に向上します。.

SAML SSOプラグインから始め、IDプロバイダーを接続し、設定を徹底的にテストし、 2要素 より強力な保護のために

最初から完璧に仕上げたいなら、Seahawk Mediaにお任せください。当社は、WordPressのセキュリティ、パフォーマンス、そして失敗が許されない企業や代理店向けのカスタム設定を専門としています。.

WordPressのSSOに関するよくある質問