SAML 2.0認証によるシングルサインオンの設定方法と注意点について
SAML 2.0認証を利用したSSOの設定方法と注意点を説明します。
SAML 2.0認証によるシングルサインオン(SAML2 SSO)は、エンタープライズプランでのみ利用可能です。
設定方法
オーナーまたは管理者が、「設定」の「シングルサインオン」からSAML2 SSOを有効にできます。SAML2 SSOを有効にすると一度すべてのユーザのセッションが無効化されて再認証が必要になります。
-
IDプロバイダの設定
まず、IDプロバイダ(IdP)の設定が必要です。
IdPから提供される識別子(Entity ID、Issuer)、ログインURL (Login URL、Sign-in URL)、証明書(Certificate)を入力してください。その途中サービスプロバイダ(SP)の情報が必要であれば、設定画面の「サービスプロバイダ」を参照してください。
IdPは、SAML 2.0に準拠したサービスを利用できます。
Kibelaで動作確認済みのIdPは以下のとおりです。 - 接続テスト
IdPの設定を保存したら、「保存」ボタンの隣の「テスト」ボタンで接続テストを行ってください。接続テストに成功すると、SAML2 SSOを有効にできるようになります。 - SAML2 SSOの有効化
SAML2 SSOを有効にするにあたっては、「移行モード」と「SAML2によるSSOのみ有効」の2つのモードがあります。
但し、「SAML2 SSOのみ有効」時にも管理者(役割が「管理者」および「オーナー」)は非常用にパスワード認証が可能です。
「移行モード」はそれまで利用していた認証方法とSAML2 SSOの両方で認証できるモードです。接続確認やIdPの障害時に「移行モード」での運用をする想定ですが、運用時は「SAML2によるSSOのみ有効」にすることを奨励いたします。
SAML2 SSO利用時のIdPとのアカウント情報の同期
SAML2 SSO利用時に、KibelaからはIdP側でアカウントが無効にされたことをを検出できません。
このため、IdP側でアカウントを無効にしたときは、Kibelaチームのオーナーまたは管理者が対応するKibelaアカウントを無効にしてください。
なお、SAML2 SSOを有効にすると、IdPとのアカウント情報同期のためセッションの持続時間が最大で24時間になります。このときIdPのアカウントが無効であれば、Kibelaへのログインはできません。
したがって、IdPのアカウントを無効にしたあとKibelaアカウントを無効にしなかったとしても、最大で24時間後にはKibelaへアクセスできなくなります。
カスタムアトリビュートによる「役割」の設定
SAML2のカスタムアトリビュート(<saml2:Attribute/>)を設定することで、Kibelaユーザーの「役割」をIdPで管理できます。
IdPでアトリビュート名をkibela.user.role、値を次のいずれかに設定してください。
- owner - オーナー
- admin - 管理者
- full_member - フルメンバー
- guest - ゲスト
- read_only - 閲覧ユーザー
アトリビュートを設定すると、メンバーがSSOするたびにIdPの情報で役割が上書きされます。設定しない場合はなにも起こりません。
それぞれの役割についてはユーザーの役割を参照してください。