SAML 2.0認証によるシングルサインオン（SAML2 SSO）は、エンタープライズプランでのみ利用できる機能です。

設定方法

オーナーまたは管理者が、「設定」の「シングルサインオン」からSAML2 SSOを有効にできます。SAML2 SSOを有効にすると一度すべてのユーザのセッションが無効化されて再認証が必要になります。

1.  IDプロバイダの設定

   まず、IDプロバイダ（IdP）の設定が必要です。
   IdPから提供される識別子（Entity ID、Issuer）、ログインURL （Login URL、Sign-in URL）、証明書（Certificate）を入力してください。その途中サービスプロバイダ（SP）の情報が必要であれば、設定画面の「サービスプロバイダ」を参照してください。
   
   IdPは、SAML 2.0に準拠したサービスを利用できます。
   Kibelaで動作確認済みのIdPは以下のとおりです。

   • Google Workspace
   • OneLogin
   • Microsoft Entra ID
   • Okta
   • GMOトラスト・ログイン
     
     
2. 接続テスト
   
   IdPの設定を保存したら、「保存」ボタンの隣の「テスト」ボタンで接続テストを行ってください。接続テストに成功すると、SAML2 SSOを有効にできるようになります。
   
   
3. SAML2 SSOの有効化
   

   SAML2 SSOを有効にするにあたっては、「移行モード」と「SAML2によるSSOのみ有効」の2つのモードがあります。
   
   「移行モード」はそれまで利用していた認証方法とSAML2 SSOの両方で認証できるモードです。接続確認やIdPの障害時に「移行モード」での運用をする想定ですが、運用時は「SAML2によるSSOのみ有効」にすることを奨励いたします。
    

   但し、「SAML2 SSOのみ有効」時にも管理者（役割が「管理者」および「オーナー」）は非常用にパスワード認証が可能です。

設定は以上となります。

SAML2 SSO利用時のIdPとのアカウント情報の同期

SAML2 SSO利用時に、KibelaからはIdP側でアカウントが無効にされたことをを検出できません。
このため、IdP側でアカウントを無効にしたときは、Kibelaチームのオーナーまたは管理者が対応するKibelaアカウントを無効にしてください。

なお、SAML2 SSOを有効にすると、IdPとのアカウント情報同期のためセッションの持続時間が最大で24時間になります。このときIdPのアカウントが無効であれば、Kibelaへのログインはできません。

したがって、IdPのアカウントを無効にしたあとKibelaアカウントを無効にしなかったとしても、最大で24時間後にはKibelaへアクセスできなくなります。

カスタムアトリビュートによる「役割」の設定

SAML2のカスタムアトリビュート（<saml2:Attribute/>）を設定することで、Kibelaユーザーの「役割」をIdPで管理できます。
IdPでアトリビュート名をkibela.user.role、値を次のいずれかに設定してください。

• owner - オーナー
• admin - 管理者
• full_member - フルメンバー
• guest  - ゲスト
• read_only - 閲覧ユーザー

アトリビュートを設定すると、メンバーがSSOするたびにIdPの情報で役割が上書きされます。設定しない場合はなにも起こりません。
それぞれの役割についてはユーザーの役割を参照してください。