ここでは、シングルサインオンの ID プロバイダーとして OneLogin を利用する場合の設定方法を紹介します。
以下の設定は、OneLogin、Qiita Team 共に、管理者権限のあるユーザーで行う必要があります。
OneLogin 側でアプリを作成する
まず OneLogin にログインし、アプリ一覧画面から NEW APP を選び、新しいアプリの作成を開始します。
アプリ一覧から「Qiita」で絞り込み、Qiita Team を選択します。
次の画面で、そのまま SAVE します。
アプリの設定画面に遷移後、Configuration を選択し、Team Subdomain に Qiita Team のご利用中チームのサブドメイン(https://increments.qiita.com/ の increments 部)を入力し、SAVE ボタンを押してください。
保存が完了したら、MORE ACTIONS から SAML Metadata を選択し、メタデータファイルをダウンロードします。このメタデータはこの後 Qiita Team 側での設定時に利用します。
Qiita Team に OneLogin のメタデータを登録する
Qiita Team のシングルサインオン設定を開きます。
ID プロバイダーのファイルを選択をクリックし、先ほど OneLogin からダウンロードしたメタデータを選択後、アップロードするをクリックしてメタデータをアップロードします。
正常にアップロードが完了すると、「ID プロバイダー登録済み」と表示されます。
シングルサインオンの有効化
Qiita Team のシングルサインオン設定を開くと、シングルサインオンのモード切り替えが可能になっています。
シングルサインオンにおいて、各チームメンバーの Qiita Team アカウントと OneLogin アカウント間の対応付けは、メールアドレスの一致で行われます。 各メンバーは、ログイン設定から OneLogin アカウントと同一のメールアドレスを設定する必要があります。これをチーム全体でスムーズに行う上で、以下の二つのモードを利用することができます。
移行モード
シングルサインオンでのログインが可能かつ、従来の Qiita Team のユーザー名とパスワードや、GitHub・Twitter・Google アカウントを使ったログインも可能なモードです。このモードはシングルサインオン導入時向けのものであり、チームメンバー全員がシングルサインオンによるログインができたことを確認し次第、後述する「シングルサインオンのみ有効」モードに切り替えることをおすすめします。
シングルサインオンのみ有効
シングルサインオンのみでのログインが可能な状態です。チーム管理者のみ例外的に、Qiita Team のユーザー名とパスワードや、GitHub・Twitter・Google アカウントを使ったログインも可能です。シングルサインオンのためのメールアドレスを適切に設定できていないチームメンバーは、このチームへのログインが不可能となります。あらかじめ「移行モード」を利用し、全メンバーがシングルサインオンが可能になったことを確認してからこのモードに切り替えることをおすすめします。このモードへ切り替える際、一度チームメンバー全員が強制的にログアウトされ、シングルサインオンによる再ログインが必要となりますのでご注意ください。
ログイン画面
シングルサインオンを有効にすると、ログイン画面が以下のように変更されます。
OneLogin でログインをクリックすると、OneLogin に遷移し、OneLogin ログイン画面が表示されます。すでに OneLogin にログイン済みだった場合は表示されません。
OneLogin へのログインが成功すると、再び Qiita Team に遷移し、Qiita Team へのログインが完了します。
以上でシングルサインオンの設定は完了となります。
即時プロビジョニングを有効にする場合、組織内のポリシーに合わせて設定をしてください。