本記事では、OneLoginからPagerDutyへのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- PagerDutyにおける 管理者権限 をお持ちであること
SAML連携の設定手順
1. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
PagerDuty と検索し、SAML2.0 のコネクタを選択します
- [Save]をクリックします
-
Configuration タブに移動し、各項目を以下のように設定します
-
Subdomain: PagerDutyのサブドメイン
サブドメインはPagerDutyの管理コンソールのURLから確認可能です(例:https://pentio-dev.pagerduty.comの場合、pentio-devと入力) -
Domain:
pagerduty.com
-
Subdomain: PagerDutyのサブドメイン
-
SSO タブに移動し、SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
-
View Details をクリックします
-
X.509 Certificate の内容をクリップボードへコピーします
2. PagerDuty側の設定
- PagerDutyに管理者でログインし、右上のアイコン > Account Settings を選択します
-
Single Sign-on タブを開き、SAML を選択します
-
X509 Certificate に 1. OneLogin側の設定 手順9でコピーした内容を貼り付けます
-
Login URL に 1. OneLogin側の設定 手順7でコピーした値を貼り付けます
例)https://<subdomain>.onelogin.com/trust/saml2/http-post/sso/******
-
Logout URL (optional) に、
https://app.onelogin.com/client/appsと入力します
-
Allow username/password login にチェックを入れます。
チェックをいれない場合、SAML強制化が行われ、SAML構築に失敗した場合に二度とPagerDutyにログインできなくなってしまいます。SAMLの強制化を行う場合はSAML設定の動作確認後にこの項目のチェックを外すことを推奨します
- JITプロビジョニングを使用する場合は、Auto-provision users on first login にチェックを入れます。OneLoginからSSOすることで、PagerDutyにManager権限でユーザーが作成されます。
SSOの段階で新しいユーザーが作成されるため、意図しないロールの割り当てにはご注意ください
- [Save Change]をクリックします
SAML SSOの動作確認
動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、上記設定を行ったPagerDuty管理者としてのログイン済みセッションがないブラウザ環境でご確認ください。
-
コネクタを割り当てたユーザーにログインし、PagerDuty のコネクタをクリックします
-
PagerDutyの管理画面にシングルサインオンできることを確認します
SAML SSOの無効化
本章では設定したSAML連携を解除する方法をご紹介します。SAML連携が解除されても連携した設定の情報は保たれたままですので、連携を再開する場合再度SAML連携を行う必要はありません。
- PagerDutyに管理者でログインし、右上のアイコン >[Account Settings]をクリックします
-
Single Sign-on タブから PagerDuty を選択し、[Save Change]をクリックします
SAML SSOの無効化は以上です。