OneLoginでシングルサインオン設定をする手順についてご紹介します。
【目次】
1.設定前準備
シングルサインオンの設定を行うには、Qastでビジネスプラン以上のお申し込みが必要です。
チャットサポート、もしくはメールで support@qast.jp 宛に以下を記載の上、ご連絡ください。
会社名
担当者名
チームURL
※利用されているQastのURLです。
2.OneLoginでシングルサインオン設定をする
(1)Qastで「entity_id」「acs_url」「logout_url」をコピーします。
※Qast[マイページ]>[セキュリティ]>「シングルサインオン」内に記載されているため、それぞれコピーの上、メモしておいてください。
(2)OneLoginで「Qast」を追加して各種設定します。
1.OneLoginの管理画面(Administration)を開き、[Applications]タブをクリックして[Applications]を選択します。
2.[Add App]をクリックします。
3.検索窓に「SAML」を入力し、[Pilot Catastrophe SAML (IdP)]を選択します。
4.アプリ名を入力して[Save]をクリックします。
5.「Configration」タブの項目に、(1)でコピーした内容をそれぞれ以下の通りに入力します。
SAML Audience:「entity_id」を入力します。
SAML Recipient:「acs_url」を入力します。
SAML Single Logout URL:「logout_url」を入力します。
ACS URL Validator:「acs_url」を入力を入力します。
6.[more action]ボタンをクリックして[SAML metadate]を選択後、XMLファイルをダウンロードします。
7.[Parameters]タブからパラメータを変更。「SAML ID」をクリックしてValueを「E-mail」に設定して[Save]をクリックします。
(3)QastにXMLをインポートします。
Qast[マイページ]>「セキュリティ」>「シングルサインオン」内にある[XMLファイルを選択]ボタンをクリックして、先程ダウンロードした「SAML metadate」を選択してください。
(4)[テストする]ボタンをクリックして、正常に連携されているか確認します。
「テストする」ボタンをクリックして、連携がうまくいっているかテストしてください。
設定が問題なければ、ポップアップ画面が表示されるので「OK」を押して次のステップに進みます。
エラー画面が表示される場合、どこかに問題があるため、3.テストしてエラーになる場合を確認してください。
(5)Qastで「有効」のチェックボックスにチェックします。
この時点でQastにログイン中の全メンバーが自動的にログアウトされ、SSO経由でのログインを求められます。
SSOのサービス側から「Qast」を選択、もしくはQastのログイン画面からSSOに一度遷移してログインすることができるようになります。
3.テストしてエラーになる場合
エラーになる場合の考えられる要因は下記の通りです。
Qast側の設定:nameIDの不一致
Qastで利用しているメールアドレスと、SSO側で利用しているメールアドレスが異なる場合、メンバーごとに紐付けを行う必要があります。Qastの「セキュリティ」タブから、各ユーザーのメールアドレスをご確認ください。
SSO側の設定:「entity_id」と「acs_url」
それぞれが正しく貼り付けられているか、再度ご確認ください。
SSO側の設定:マッピング要素が「メール」になっているか
各サービスによって呼称は異なりますが、QastとSSOの紐付け要素が「メールアドレス」になっているかご確認ください。
G Suiteの場合「属性のマッピング」、OneLoginの場合「Parameters」、AzureADの場合「ソース属性」です。