AzureADでシングルサインオン設定をする手順についてご紹介します。
【目次】
1.設定前準備
「シングルサインオン」の設定を行うには、Qastでビジネスプラン以上のお申し込みが必要です。
チャットサポート、もしくはメールで support@qast.jp 宛に以下を記載の上、ご連絡ください。
会社名
担当者名
チームURL
※利用されているQastのURLです。
2.AzureADでシングルサインオン設定をする
(1)Qastで「entity_id」「acs_url」をコピーします。
※Qast[マイページ]>[セキュリティ]>「シングルサインオン」内に記載されているため、それぞれコピーの上、メモしておいてください。
(2)AzureADで「Qast」を追加して各種設定します。
1.Azureにログインし、[AzureAppDirectory]をクリックします。
2.[エンタープライズアプリケーションの登録]をクリックします。
3.[新しいアプリケーション]をクリックします。
4.[ギャラリー以外のアプリケーション]をクリックします。
5.「名前」の入力欄にアプリケーション名を入力して[追加]をクリックします。
6.左メニュー「管理」内にある[シングルサインオン]をクリックします。
7.[SAML]をクリックします。
8.「基本的なSAML構成」画面内の「識別子」「応答URL」に、(1)でコピーした以下をそれぞれ貼り付けて[保存]をクリックします。
識別子:entity_id
応答URL:acs_url
9.「ユーザー属性とクレーム」内の[編集ボタン]をクリックします。
10.「クレーム名」内の[一意のユーザー識別子]をクリックします。
11.「ソース属性」のプルダウンをクリックして[user.userprincipalname]を選択した後、[保存]をクリックします。
12.「SAML署名証明書」内にある「フェデレーションメタデータXML」の[ダウンロード]をクリックします。
(2)QastにXMLをインポートします。
Qast[マイページ]>「セキュリティ」>「シングルサインオン」内にある[XMLファイルを選択]ボタンをクリックして、先程ダウンロードした「フェデレーションメタデータXML」を選択してください。
(3)[テストする]ボタンをクリックして、正常に連携されているか確認します。
「テストする」ボタンをクリックして、連携がうまくいっているかテストしてください。
設定が問題なければ、ポップアップ画面が表示されるので「OK」を押して次のステップに進みます。
エラー画面が表示される場合、どこかに問題があるため、3.テストしてエラーになる場合を確認してください。
(4)Qastで「有効」のチェックボックスにチェックします。
この時点でQastにログイン中の全メンバーが自動的にログアウトされ、SSO経由でのログインを求められます。
SSOのサービス側から「Qast」を選択、もしくはQastのログイン画面からSSOに一度遷移してログインすることができるようになります。
3.テストしてエラーになる場合
エラーになる場合の考えられる要因は下記の通りです。
Qast側の設定:nameIDの不一致
Qastで利用しているメールアドレスと、SSO側で利用しているメールアドレスが異なる場合、メンバーごとに紐付けを行う必要があります。Qastの「セキュリティ」タブから、各ユーザーのメールアドレスをご確認ください。
SSO側の設定:「entity_id」と「acs_url」
それぞれが正しく貼り付けられているか、再度ご確認ください。
SSO側の設定:マッピング要素が「メール」になっているか
各サービスによって呼称は異なりますが、QastとSSOの紐付け要素が「メールアドレス」になっているかご確認ください。
G Suiteの場合「属性のマッピング」、OneLoginの場合「Parameters」、AzureADの場合「ソース属性」です。
AzureADの設定:メールアドレスが正しく設定されているか
Azure上の登録メールアドレスがデフォルト(@◯◯.onmicrsoft.com)のままになっていないか、ご確認ください。
4.備考
シングルサインオン連携後、AD連携を行う場合は以下をご確認ください。