メインコンテンツへスキップ
シングルサインオン(SSO)は Business プランと Enterprise プランで利用でき、組織全体で安全で一元化された認証を可能にします。SSO を利用すると、ユーザーは 1 組の認証情報で Lovable にアクセスでき、アクセス管理が簡素化されると同時にセキュリティも向上します。
サービスプロバイダー(SP)起点のサインインのみ対応: ユーザーは Lovable(SP)からサインインを開始する必要があります。アイデンティティプロバイダー(IdP)起点の SSO(IdP のダッシュボードのタイルから開始する方法)には 対応していません

対応している SSO プロトコル

Lovable は OIDCSAML 2.0 の両方のプロトコルに対応しており、Okta、Auth0、Microsoft Entra ID (Azure AD) など、主要な アイデンティティ プロバイダー (IdP) と連携できます。
  • OpenID Connect (OIDC): 推奨される方式で、OAuth 2.0 の上に構築されたモダンなアイデンティティレイヤーとして、ユーザーの認証を提供します。
  • SAML (Security Assertion Markup Language) 2.0: 認証および認可データをやり取りするための XML ベースのプロトコルで、エンタープライズ環境で広く利用されています。

前提条件

Lovable に OIDC または SAML を使ってアイデンティティプロバイダーを接続するには、次のものが必要です:
  • IdP 管理者アクセス権(Okta、Auth0、Microsoft Entra ID、または利用中のその他のプロバイダー)
  • Lovable のワークスペースのオーナーまたは管理者ロール
  • Lovable での 確認済みドメイン

Lovable で SSO のセットアップを開始する

SSO の構成は、Lovable とあなたのアイデンティティプロバイダー間で行う双方向の設定です:
  • Lovable → IdP: Lovable の URL と設定を IdP アプリにコピーします。
  • IdP → Lovable: IdP の issuer、メタデータ、証明書を Lovable にコピーします。
ワークスペースのオーナーまたは管理者が SSO を設定できます。開始するには、Settings → Workspace → Identity → Add SSO provider に移動し、OIDC または SAML を選択します。

IdP 設定リファレンス

Lovable で SSO プロバイダーのセットアップを開始すると、次の内容が表示されます:
  • IdP 側で設定する項目(アプリケーションタイプ、スコープ、属性マッピングなど)
  • IdP に入力する必要がある Lovable の URL と識別子
IdP で OIDC または SAML を設定する際は、以下のリファレンスを参照してください。
  • アプリケーションタイプ: Web Application
  • グラントタイプ: Authorization Code
  • トークンメソッド: POST(設定可能な場合)
  • コピーして IdP に追加するリダイレクト URI: https://auth.lovable.dev/__/auth/handler
  • OAuth スコープ:
    • 必須: openid, email
    • 推奨: profile

プロバイダー別セットアップガイド

Okta、Auth0、または Microsoft Entra を使用している場合は、SSO を設定するためのプロバイダー別ドキュメントを参照できます。別のプロバイダーを使用している場合は、その他のプロバイダーを設定するを参照してください。 始める前に、IdP で使用する設定値を取得するために、Lovable で SSO セットアップを開始するを完了してください。

Okta を SSO プロバイダーとして設定する

1

Okta 管理コンソールでアプリケーションを作成する

  • ApplicationsCreate App Integration をクリックし、OIDC を選択します。その後、アプリケーションタイプとして Web Application を選択します。
  • アプリに名前を付けます(例: Lovable OIDC SSO)。
2

OIDC 連携を設定する

  • Grant typeAuthorization Code に設定します。
  • デフォルトのリダイレクト URI を削除します。
  • Lovable のリダイレクト URL を Okta の Sign-in redirect URIs に追加します: https://auth.lovable.dev/__/auth/handler
  • Assignments を選択し、Lovable にアクセスさせたいユーザー/グループにこのアプリケーションを割り当てます。
3

アプリケーションを保存する

Save をクリックします。これで Okta 上でアプリケーションが作成されます。
4

Okta Issuer URL を設定する

Okta で Sign On → OpenID Connect ID Token に移動し、Issuer のドロップダウンから Okta URL を選択して Save します。
5

IdP 情報を Lovable に提供する

Okta の Sign On タブで、次の値をコピーし、Lovable に入力します。
  • Okta Issuer URL → Lovable OIDC Issuer URL/Discovery Endpoint
続いて、Okta の General タブで次の値をコピーし、Lovable に入力します。
  • Okta Client ID → Lovable OAuth Client ID/Application ID
  • Okta Client Secret → Lovable OAuth Client Secret
6

(任意)Lovable で設定をテストする

Lovable で Test configuration をクリックします。すべてが正しく設定されていれば、検証は成功します。
7

Lovable で OIDC プロバイダー設定を完了する

Lovable で Configure provider をクリックし、Okta を OIDC SSO プロバイダーとして設定する作業を完了します。

Auth0 を SSO プロバイダーとして設定する

1

Auth0 Admin Dashboard でアプリケーションを作成する

  • ApplicationsCreate application をクリックし、アプリケーションタイプとして Regular Web Applications を選択します。
  • 例えば Lovable OIDC SSO など、アプリに名前を付けます。
  • Create をクリックします。
2

Allowed Callback URLs を設定する

Auth0 でアプリケーション設定画面に移動し、Allowed Callback URLshttps://auth.lovable.dev/__/auth/handler を追加して、Save をクリックします。
3

Lovable に IdP 情報を提供する

Auth0 の Settings タブから次の値をコピーし、Lovable に入力します。
  • Auth0 Domain → Lovable OIDC Issuer URL/Discovery Endpointhttps:// を含める)
  • Auth0 Client ID → Lovable OAuth Client ID/Application ID
  • Auth0 Client Secret → Lovable OAuth Client Secret
4

(オプション)Lovable で設定をテストする

Lovable で Test configuration をクリックします。すべて正しく設定されていれば、検証が成功します。
5

Lovable で OIDC プロバイダーの設定を完了する

Lovable で Configure provider をクリックし、Auth0 を OIDC SSO プロバイダーとして設定する作業を完了します。

Microsoft Entra ID を SSO プロバイダーとして設定する

1

Microsoft Entra 管理センターでエンタープライズ アプリを作成する

  • Enterprise applicationsNew application を選択します。
  • Create your own application を選択し、Integrate any other application you don’t find in the gallery (Non-gallery) を選びます。
  • アプリに名前を付けます(例: Lovable SAML SSO)。
  • Create をクリックします。これでアプリケーションが作成されます。
2

SAML SSO を設定する

Microsoft Entra で Single sign-on のセットアップページに移動し、SAML を選択します。Basic SAML Configuration の項目で、次を入力します:
  • Identifier (Entity ID): https://auth.lovable.dev/__/auth/handler
  • Reply URL (Assertion Consumer Service URL): https://auth.lovable.dev/__/auth/handler
他の値は空欄のままにして、Save を選択します。
3

Lovable に IdP 情報を提供する

アプリケーションのセットアップが完了したら、次の値をコピーして Lovable に入力します。
  • Microsoft Entra Login URL → Lovable SAML SSO Sign-on URL from your IdP
  • Microsoft Entra Microsoft Entra Identifier → Lovable Identity Provider Entity ID / Issuer
  • Microsoft Entra X509Certificate → Lovable X.509 Signing Certificate (public key)
    証明書 (Base 64) をダウンロードするか、App Federation Metadata URL を新しいタブで開いて X509Certificate の値をコピーできます。証明書の値を -----BEGIN CERTIFICATE----------END CERTIFICATE----- の行の間に貼り付けてください。
4

Lovable で SAML プロバイダーの設定を完了する

Lovable で Configure SAML Provider → Confirm & Enable SSO をクリックし、Microsoft Entra ID を SAML SSO プロバイダーとしての設定を完了します。

他のプロバイダーを設定する

Lovable SSO では、任意の OIDC または SAML 準拠プロバイダーを設定できます。 始める前に、IdP で使用するために必要な設定値を取得するため、Start SSO setup in Lovable を完了してください。
プロバイダーの対応関係各プロバイダーでよく使われるフィールド名:
  • Redirect URI: Callback URL, Sign-in redirect URI
  • Issuer/Domain: Issuer URL, Authority, Okta domain, Auth0 domain, Tenant domain
  • Client credentials: Client IDClient Secret
手順
1

OIDC 機密クライアントアプリを作成する

IdP(アイデンティティプロバイダー)で、新しい OIDC Web アプリケーションを作成します。
2

Redirect URI を設定する

Redirect/Callback URLs に https://auth.lovable.dev/__/auth/handler を追加します。
3

必要なスコープを有効にする

openidemail のスコープが有効になっており、必要に応じて同意が取得されていることを確認します。
4

Lovable に IdP 情報を提供する

IdP で次の値をコピーし、Lovable に入力します:
  • Domain または Issuer URL → Lovable の OIDC Issuer URL/Discovery Endpoint
  • Client ID → Lovable の OAuth Client ID/Application ID
  • Client Secret → Lovable の OAuth Client Secret

トラブルシューティング

IdP 側で、リダイレクト/コールバック URL が https://auth.lovable.dev/__/auth/handler と完全に一致していることを確認してください。
プロバイダーの OIDC Issuer URL(単なるドメインではなく)を使用してください。
  • Okta の場合は Sign-on タブからコピーしてください。
  • Auth0 の場合はテナントドメインを使用してください。
email スコープを付与し、ユーザーアカウントにプライマリメールアドレスが設定されていることを確認してください。
機密クライアントとクライアントシークレットを使用した Authorization Code フローを利用してください。Implicit フローや PKCE のみのアプリタイプは避けてください。

FAQ

すでに別のログイン方法(メールアドレス/パスワード、Google、または GitHub など)でアカウントを作成している場合は、まずその方法でログインしてください。ログインしたら、Settings → Your account → Link SSO に移動します。ここで既存のアカウントを会社の SSO とリンクできます。
重要: 既存アカウントと SSO をリンクする前に SSO でログインしようとすると、エラーが表示されます。これは不正アクセスを防ぐためのセキュリティ対策です。まず元のログイン方法でログインしてから、リンク処理を完了してください。
Lovable は業界標準の OIDC と SAML プロトコルをサポートしているため、それらに対応した任意の SSO プロバイダーと連携できます。
いいえ。1 つのワークスペースには、同時に設定できる 有効な SSO プロバイダーは 1 つだけです。
はい。ワークスペースの owner または admin が、Settings → Workspace → IdentityEnforce SSO を有効にし、session duration を選択することで、再認証が必要になるまでユーザーがサインイン状態を維持する時間(24 時間、48 時間、7 日間)を設定できます。これにより、ワークスペースメンバーは認証に必ず SSO を使用する必要があります。外部コラボレーターと招待リンクは無効になります。
いいえ。IdP 起点の SSO(IdP のダッシュボード上のタイルからサインインを開始する方式)はサポートしていません。Lovable がサポートしているのは、サービスプロバイダー(SP)起点のサインインのみです。ユーザーは Lovable からサインインを開始する必要があります。
Lovable は JIT(ジャストインタイム)プロビジョニングをサポートしています。ユーザーが SSO 経由で初めてサインインしたタイミングで、自動的にユーザーアカウントが作成され、あなたの会社のワークスペースに追加されます。また、JIT で作成されたユーザーのデフォルトロール(admin、editor、viewer)を設定でき、ユーザーが SSO を通じて初めて参加したときにそのロールが適用されます。
tenant ID は、SSO ログイン URL 内で使用される {tenantId} の値です。
https://lovable.dev/sso-login/{tenantId} の部分で、Lovable で SSO プロバイダーを設定する際に指定した SSO login identifier と一致します。プロバイダーの設定が完了した後は、Settings → Workspace → Identity からも確認できます。