Kibela - SAML認証

KibelaのSSOを有効にすると、JITプロビジョニングにより、Kibelaに未登録のユーザーが初めてSSOする際に、自動的にユーザー登録と役割（ロール）が割り当てられます。Kibelaへのユーザー登録時、デフォルト設定では、「フルメンバー」のロールが割り当てられます。また本コネクタは、SCIMによるユーザープロビジョニングにも対応しておりますが、Kibela側の仕様上、ロールの割り当てはできません。SCIMによるユーザープロビジョニングの設定手順につきましては、Kibela - ユーザープロビジョニング ご参照ください。

目次

前提条件

1. SAML認証によるSSOの設定

1.1 OneLogin側の設定

1.2 Kibela側の設定

2. JITプロビジョニングによるユーザー登録

2.1 Rulesによる「役割」の設定

2.2 SSOおよびJITプロビジョニングの動作確認

3. SSOの無効化

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Kibelaの料金プランが エンタープライズ であること
• Kibelaにおける役割が オーナー または 管理者 であること

1. SAML認証によるSSOの設定

1.1 OneLogin側の設定

1. OneLogin に管理者でログインし、管理 をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. Kibela と検索し、SAML2.0 のコネクタを選択します
   
   
    
5. ［Save］をクリックします
   
   
    
6. Configuration タブに移動し、Kibelaの チーム名 を入力します
   
   
    
7. SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
   
   
    
8. Access タブに移動し、本アプリケーションを割り当てたいユーザーが所属するロールを選択後、［Save］をクリックします
   
   
    
9. SSO タブへ移動し、Issuer URL をクリップボードへコピーします
   
   
    
10. SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
    
    
     
11. View Details をクリックします
    
    
     
12. X.509 Certificate の内容をクリップボードへコピーします
    

1.2 Kibela側の設定

1. Kibelaのログインページ を開き、チーム名を入力後、［次へ］をクリックします
   
   
    
2. オーナーまたは管理者でチームにログインします
   
   
    
3. ユーザーのドロップダウンから［設定］を選択します
   
   
    
4.  チーム設定の［シングルサインオン］を選択します
   
   
    
5. SAML 2.0認証 タブに移動します
   
   
    
6. 識別子 に 1.1 OneLogin側の設定 手順9 でコピーした Issuer URL を貼り付けます
   
   
    
7. ログインURL に 1.1 OneLogin側の設定 手順10 でコピーした SAML 2.0 Endpoint (HTTP) を貼り付けます
   
   
    
8. 証明書 に 1.1 OneLogin側の設定 手順12 でコピーした X.509 Certificate の内容を貼り付け、［保存］をクリックします
   
   
    
9. ［テスト］をクリックします
   
   
    
10. SAML2 SSOの検証に成功しました。と表示されることを確認し、< 戻る をクリックします
    
    
     
11. 移行モードまたは、SAML2 SSOのみ有効を選択し、［SSOの設定を変更する］をクリックします
    *移行モードを選択した場合、現在の認証方式とSAML認証の両方で認証が可能です。Kibelaでは、「SAML2によるSSOのみ有効」での運用が推奨されています。「SAML2によるSSOのみ有効」を選択した場合でも、役割が「管理者」および「オーナー」であれば、パスワード認証による非常用ログインが可能です。
    
    
     
12. SSOの設定が変更されました と表示されることを確認します
    

以上で、SAML認証によるSSOの設定は完了です。

2. JITプロビジョニングによるユーザー登録

2.1 Rulesによる「役割」の設定

1. Kibelaコネクタの編集画面から Rules タブに移動し、［Add Rule］をクリックします
   
   
    
2. 任意のMapping名を入力し、Conditions の［+］をクリックします
   例）ゲスト割り当て
   
   
    
3. 各ドロップダウンから条件を選択します
   例）Roles include 業務委託
   
   
    
4. Actions のドロップダウンから Set Roles (SAML) in Kibela を選択します
   
   
    

5. Select Item から設定したい「役割」を選択し、［Save］をクリックします
   例）guest
   
   
   *Kibelaにおける各役割の権限につきましては、オーナー・管理者・フルメンバー・ゲスト・閲覧ユーザーそれぞれの権限について をご参照ください。

   Kibelaユーザーの「役割」	権限
   admin - 管理者	請求・契約以外でKibelaチームを管理するユーザー向け
   full_member - フルメンバー	一般ユーザー
   guest  - ゲスト	招待されたグループのみで記事の作成や閲覧が可能
   owner - オーナー	請求・契約を管理するユーザー向け
   read_only - 閲覧ユーザー	記事やグループ情報の閲覧のみ可能

   
    

6. More Actions > Reapply entitlement mappings を選択します
   
   
    
7. 英語で「マッピングが再適用されているため、暫くしてからログインをご確認ください」と表示されるので、［OK］をクリックします
   
   
    
8. ［Save］をクリックします
   
   
    
9. Users タブに移動し、設定したRulesの条件に該当するユーザーを選択します
   
   
    
10. Roles (SAML) にRulesで選択した役割が反映されていることを確認します
    

2.2 SSOおよびJITプロビジョニングの動作確認

1. 対象ユーザーでOneLoginへログインし、Kibela を選択します
   
   
    
2. 利用規約および個人情報の取り扱いに同意するにチェックを入れ、［登録する］をクリックします
   
   
    
3. 任意のプロフィールを入力し、［設定する］をクリックします
   
   
    
4. Kibelaへようこそ！ユーザー登録が完了しました。と表示されることを確認します
   
   
    
5. ユーザーのドロップダウンから［ログアウト］を選択します
   
   
    
6. オーナーまたは管理者で再ログインします
   
   
    
7. ユーザーのドロップダウンから［メンバー管理］を選択します
   
   
    
8. 設定したRules通りの 役割 が適用されていることを確認します
   

以上で、JITプロビジョニングによるユーザー登録は完了です。

3. SSOの無効化

1. オーナーまたは管理者でチームにログインします
   
   
    
2. ユーザーのドロップダウンから［設定］を選択します
   
   
    
3.  チーム設定の［シングルサインオン］を選択します
   
   
    
4. SAML 2.0認証 タブに移動します
   
   
    
5. 無効 を選択し、［SSOの設定を変更する］をクリックします
   
   
    
6. SSOの設定が変更されました と表示されることを確認します
   

SSOの無効化は以上です。