AzureADでシングルサインオン設定をする手順についてご紹介します。
【目次】
1.設定前準備
シングルサインオンの設定を行うには、Qastでエンタープライズプランのお申し込みが必要です。
チャットサポート、もしくはメールで support@qast.jp 宛に以下を記載の上、ご連絡ください。
会社名
担当者名
チームURL
※利用されているQastのURLです。
2.AzureADでシングルサインオン設定をする
手順
(1)Qastで「entity_id」「acs_url」をコピー
※Qast[マイページ]>[セキュリティ]>「シングルサインオン」内に記載されているため、それぞれコピーの上、メモしておいてください。
(2)AzureADで「Qast」を追加して各種設定
1.Azureにログインし、[AzureAppDirectory]をクリック
2.[エンタープライズアプリケーションの登録]をクリック
3.[新しいアプリケーション]をクリック
4.[ギャラリー以外のアプリケーション]をクリック
5.「名前」の入力欄にアプリケーション名を入力して[追加]をクリック
6.左メニュー「管理」内にある[シングルサインオン]をクリック
7.[SAML]をクリック
8.「基本的なSAML構成」画面内の「識別子」「応答URL」に、(1)でコピーした以下をそれぞれ貼り付けて[保存]をクリック
識別子:entity_id
応答URL:acs_url
9.「ユーザー属性とクレーム」内の編集ボタンをクリック
10.「クレーム名」内の[一意のユーザー識別子]をクリック
11.「ソース属性」のプルダウンをクリックして[user.userprincipalname]を選択した後、[保存]をクリック
12.「SAML署名証明書」内にある「フェデレーションメタデータXML」の[ダウンロード]をクリック
(2)QastにXMLをインポート
Qast[マイページ]>「セキュリティ」>「シングルサインオン」内にある[XMLファイルを選択]ボタンをクリックして、先程ダウンロードした「フェデレーションメタデータXML」を選択してください。
(3)[テストする]ボタンをクリックして、正常に連携されているか確認
「テストする」ボタンをクリックして、連携がうまくいっているかテストしてください。
設定が問題なければ、ポップアップ画面が表示されるので「OK」を押して次のステップに進みます。
エラー画面が表示される場合、どこかに問題があるため、3.テストしてエラーになる場合を確認してください。
(4)Qastで「有効」のチェックボックスにチェック
この時点でQastにログイン中の全メンバーが自動的にログアウトされ、SSO経由でのログインを求められます。
SSOのサービス側から「Qast」を選択、もしくはQastのログイン画面からSSOに一度遷移してログインすることができるようになります。
3.テストしてエラーになる場合
エラーになる場合の考えられる要因は下記の通りです。
Qast側の設定:nameIDの不一致
Qastで利用しているメールアドレスと、SSO側で利用しているメールアドレスが異なる場合、メンバーごとに紐付けを行う必要があります。Qastの「セキュリティ」タブから、各ユーザーのメールアドレスをご確認ください。
SSO側の設定:「entity_id」と「acs_url」
それぞれが正しく貼り付けられているか、再度ご確認ください。
SSO側の設定:マッピング要素が「メール」になっているか
各サービスによって呼称は異なりますが、QastとSSOの紐付け要素が「メールアドレス」になっているかご確認ください。
G Suiteの場合「属性のマッピング」、OneLoginの場合「Parameters」、AzureADの場合「ソース属性」です。
AzureADの設定:メールアドレスが正しく設定されているか
Azure上の登録メールアドレスがデフォルト(@◯◯.onmicrsoft.com)のままになっていないか、ご確認ください。
4.備考
シングルサインオン連携後、AD連携を行う場合は以下をご確認ください。