OneLogin を使ったシングルサインオンの設定

ここでは、シングルサインオンの ID プロバイダーとして OneLogin を利用する場合の設定方法を紹介します。

以下の設定は、OneLogin、Qiita:Team 共に、管理者権限のあるユーザーで行う必要があります。

OneLogin 側でアプリを作成する

まず OneLogin にログインし、アプリ一覧画面から NEW APP を選び、新しいアプリの作成を開始します。

OneLoginのアプリ一覧画面

アプリ一覧から「Qiita」で絞り込み、Qiita:Team を選択します。

OneLoginの新規アプリ一覧画面

次の画面で、そのまま SAVE します。

OneLoginの新規アプリ設定画面

アプリの設定画面に遷移後、Configuration を選択し、Team Subdomain に Qiita:Team のご利用中チームのサブドメイン(https://increments.qiita.com/increments 部)を入力し、SAVE ボタンを押してください。

OneLogin の Application Details

保存が完了したら、MORE ACTIONS から SAML Metadata を選択し、メタデータファイルをダウンロードします。このメタデータはこの後 Qiita:Team 側での設定時に利用します。

OneLogin の MORE ACTIONS メニュー

Qiita:Team に OneLogin のメタデータを登録する

Qiita:Team のシングルサインオン設定を開きます。

ID プロバイダーファイルを選択をクリックし、先ほど OneLogin からダウンロードしたメタデータを選択後、アップロードするをクリックしてメタデータをアップロードします。

ID プロバイダー設定

正常にアップロードが完了すると、「ID プロバイダー登録済み」と表示されます。

ID プロバイダー登録済み(OneLogin)

シングルサインオンの有効化

Qiita:Team のシングルサインオン設定を開くと、シングルサインオンのモード切り替えが可能になっています。

シングルサインオンの設定

シングルサインオンにおいて、各チームメンバーの Qiita:Team アカウントと OneLogin アカウント間の対応付けは、メールアドレスの一致で行われます。 各メンバーは、ログイン設定から OneLogin アカウントと同一のメールアドレスを設定する必要があります。これをチーム全体でスムーズに行う上で、以下の二つのモードを利用することができます。

移行モード

シングルサインオンでのログインが可能かつ、従来の Qiita:Team のユーザー名とパスワードや、GitHub・Twitter・Google アカウントを使ったログインも可能なモードです。このモードはシングルサインオン導入時向けのものであり、チームメンバー全員がシングルサインオンによるログインができたことを確認し次第、後述する「シングルサインオンのみ有効」モードに切り替えることをおすすめします。

シングルサインオンのみ有効

シングルサインオンのみでのログインが可能な状態です。チーム管理者のみ例外的に、Qiita:Team のユーザー名とパスワードや、GitHub・Twitter・Google アカウントを使ったログインも可能です。シングルサインオンのためのメールアドレスを適切に設定できていないチームメンバーは、このチームへのログインが不可能となります。あらかじめ「移行モード」を利用し、全メンバーがシングルサインオンが可能になったことを確認してからこのモードに切り替えることをおすすめします。このモードへ切り替える際、一度チームメンバー全員が強制的にログアウトされ、シングルサインオンによる再ログインが必要となりますのでご注意ください。

ログイン画面

シングルサインオンを有効にすると、ログイン画面が以下のように変更されます。

「OneLogin でログイン」ボタンのあるログイン画面

OneLogin でログインをクリックすると、OneLogin に遷移し、OneLogin ログイン画面が表示されます。すでに OneLogin にログイン済みだった場合は表示されません。

OneLogin のログイン画面

OneLogin へのログインが成功すると、再び Qiita:Team に遷移し、Qiita:Team へのログインが完了します。


以上でシングルサインオンの設定は完了となります。

即時プロビジョニングを有効にする場合、組織内のポリシーに合わせて設定をしてください。