SAML 2.0認証によるシングルサインオン(SAML2 SSO)は、エンタープライズプランでのみ利用できる機能です。
設定方法
オーナーまたは管理者が、「設定」の「シングルサインオン」からSAML2 SSOを有効にできます。SAML2 SSOを有効にすると一度すべてのユーザのセッションが無効化されて再認証が必要になります。
-
IDプロバイダの設定
まず、IDプロバイダ((IdP)の設定が必要です。
IdPから提供される識別子(Entity ID, Issuer)、ログインURL (Login URL、Sign-in URL)、証明書(Certificate)を入力してください。その途中サービスプロバイダ(SP)の情報が必要であれば、設定画面の「サービスプロバイダ」を参照してください。
IdPは、SAML 2.0に準拠したサービスを利用できます。
Kibelaで動作確認済みのIdPは以下のとおりです。 -
接続テスト
IdPの設定を保存したら、「保存」ボタンの隣の「テスト」ボタンで接続テストを行ってください。接続テストに成功すると、SAML2 SSOを有効にできるようになります。 - SAML2 SSOの有効化
SAML2 SSOを有効にするにあたっては、「移行モード」と「SAML2によるSSOのみ有効」の2つのモードがあります。
「移行モード」はそれまで利用していた認証方法とSAML2 SSOの両方で認証できるモードです。接続確認やIdPの障害時に「移行モード」での運用をする想定ですが、運用時は「SAML2によるSSOのみ有効」にすることを奨励いたします。但し、「SAML2 SSOのみ有効」時にも管理者(admin, owner)は非常用にパスワード認証が可能です。
設定は以上となります。
SAML2 SSO利用時のIdPとのアカウント情報の同期
SAML2 SSO利用時に、KibelaからはIdP側でアカウントが無効にされたことをを検出できません。
このため、IdP側でアカウントを無効にしたときは、Kibelaチームのオーナーまたは管理者が対応するKibelaアカウントを無効にしてください。
なお、SAML2 SSOを有効にすると、IdPとのアカウント情報同期のためセッションの持続時間が最大で24時間になります。このときIdPのアカウントが無効であれば、Kibelaへのログインはできません。
したがって、IdPのアカウントを無効にしたあとKibelaアカウントを無効にしなかったとしても、最大で24時間後にはKibelaへアクセスできなくなります。
カスタムアトリビュートによる「役割」の設定
SAML2のカスタムアトリビュート (<saml2:Attribute/>
) を設定することで、Kibelaユーザーの「役割」をIdPで管理できます。
IdPでアトリビュート名を kibela.user.role
、値を次のいずれかに設定してください。
owner
- オーナーadmin
- 管理者full_member
- フルメンバーguest
- ゲスト
アトリビュートを設定すると、メンバーがSSOするたびにIdPの情報で役割が上書きされます。設定しない場合はなにも起こりません。
それぞれの役割については ユーザーの役割 を参照してください。