SAML 2.0認証によるシングルサインオン(SAML2 SSO)は、エンタープライズプランでのみ利用できる機能です。

設定方法

オーナーまたは管理者が、「設定」の「シングルサインオン」からSAML2 SSOを有効にできます。SAML2 SSOを有効にすると一度すべてのユーザのセッションが無効化されて再認証が必要になります。

1. IDプロバイダの設定

まず、IDプロバイダ((IdP)の設定が必要です。IdPから提供される識別子(Entity ID, Issuer)、ログインURL (Login URL、Sign-in URL)、証明書(Certificate)を入力してください。その途中サービスプロバイダ(SP)の情報が必要であれば、設定画面の「サービスプロバイダ」を参照してください。

IdPは、SAML 2.0に準拠したサービスを利用できます。現在のところ、動作確認済みのIdPは次のとおりです。

2. 接続テスト

IdPの設定を保存したら、「保存」ボタンの隣の「テスト」ボタンで接続テストを行ってください。
接続テストに成功すると、SAML2 SSOを有効にできるようになります。

3. SAML2 SSOの有効化

SAML2 SSOを有効にするにあたっては、「移行モード」と「SAML2によるSSOのみ有効」の2つのモードがあります。

「移行モード」はそれまで利用していた認証方法とSAML2 SSOの両方で認証できるモードです。接続確認やIdPの障害時に「移行モード」での運用をする想定ですが、運用時は「SAML2によるSSOのみ有効」にすることを奨励いたします。

設定に関しては以上となります。

SAML2 SSO利用時のIdPとのアカウント情報の同期

SAML2 SSO利用時に、KibelaからはIdP側でアカウントが無効にされたことをを検出できません。このため、IdP側でアカウントを無効にしたときは、Kibelaチームのオーナーまたは管理者が対応するKibelaアカウントを無効にしてください

なお、SAML2 SSOを有効にすると、IdPとのアカウント情報同期のためセッションの持続時間が最大で24時間になります。このときIdPのアカウントが無効であれば、Kibelaへのログインはできません。したがって、IdPのアカウントを無効にしたあとKibelaアカウントを無効にしなかったとしても、最大で24時間後にはKibelaへアクセスできなくなります。

カスタムアトリビュートによる「役割」の設定

SAML2のカスタムアトリビュート (<saml2:Attribute/> ) を設定することで、Kibelaユーザーの「役割」をIdPで管理できます。
IdPでアトリビュート名を kibela.user.role  、値を次のいずれかに設定してください。

  • owner - オーナー
  • admin - 管理者
  • full_member - フルメンバー
  • guest  - ゲスト

アトリビュートを設定すると、メンバーがSSOするたびにIdPの情報で役割が上書きされます。設定しない場合はなにも起こりません。
それぞれの役割については ユーザーの役割 を参照してください。

Did this answer your question?