シングルサインオン - AI Coding Assistant Lingma - Alibaba Cloud ドキュメントセンター

このガイドでは、QoderWork CN および Qoder CN CLI Enterprise Standard で組織のシングルサインオン (SSO) を設定する方法について説明します。SAML 2.0 と OIDC の両方のプロトコルをサポートしています。

概要

シングルサインオン (SSO) を使用すると、組織のメンバーは、Qoder 専用の認証情報を必要とせずに、企業の ID プロバイダー (IdP) で認証できます。

SAML 2.0：エンタープライズ認証のための成熟した XML ベースの標準であり、Okta、Microsoft Entra ID (旧 Azure AD)、OneLogin、Alibaba Cloud IDaaS などの IdP で広く使用されています。
OIDC (OpenID Connect)：OAuth 2.0 上に構築された最新の ID プロトコルです。ディスカバリー URL を介したエンドポイントの自動検出を提供します。代表的なプロバイダーには、Okta、Microsoft Entra ID、Google Workspace、Auth0、Authing、Alibaba Cloud RAM などがあります。

SSO のメリット

セキュリティの強化：企業の ID プロバイダーを通じて認証を一元化します。
ユーザーエクスペリエンスの向上：単一の認証情報で、すべてのエンタープライズアプリケーションにアクセスできます。
ユーザー管理の簡素化：検証済みドメインからの初回サインイン時に、アカウントを自動的に作成し、ユーザーを組織に追加します。

プロトコルの選択

プロトコル	ユースケース
SAML	お使いの IdP が SAML のみをサポートしている場合、IdP 起点の SSO が必要な場合、または既存の SAML ベースのエンタープライズ認証システムがある場合。
OIDC	お使いの IdP が OIDC または OAuth 2.0 をサポートしている場合、ディスカバリー URL を使用してエンドポイントを自動検出したい場合、または軽量な JSON ベースの統合方法を希望する場合。

組織で一度に有効にできる SSO プロトコルは 1 つだけです。プロトコルを切り替えるには、現在の設定を無効にしてから新しい設定を作成する必要があります。

前提条件

開始する前に、以下の準備ができていることを確認してください：

管理者権限：組織内で管理者権限を持っていること。
ID プロバイダーの権限：組織の IdP でアプリケーションを作成および設定する権限を持っていること。
DNS アクセス：検証のために、組織のメールアドレスドメインに TXT レコードを追加する権限を持っていること。

設定プロセス

SSO の設定プロセスには、SAML と OIDC の両方で以下のステップが含まれます：

ステップ 1：メールアドレスドメインの検証

SSO を設定する前に、会社のメールアドレスドメインの所有権を検証する必要があります。これにより、検証済みドメインのメールアドレスを持つユーザーのみが、組織の SSO を通じてサインインできるようになります。手順については、「ドメインの検証」をご参照ください。

ステップ 2：SSO 設定の作成

管理者として、[Organization Settings] > [Security & Identity] に移動します。
お使いの IdP に応じて、[SAML Settings] または [OIDC Settings] を選択します。

SAML

組織の SAML 設定を作成します。システムは SP 証明書とプライベートキーを自動的に生成します。初期化後、Qoder は ID プロバイダー (IdP) の設定に必要な以下の情報を提供します：

SP エンティティ ID
SP メタデータ URL
SP ACS URL
SP 証明書とプライベートキー

SP 情報の例：

フィールド	値の例
SP エンティティ ID	`https://qoder.com/saml/metadata/{org_id}`
SP メタデータ URL	`https://qoder.com/saml/metadata/{org_id}`
SP ACS URL	`https://qoder.com/sso/callback/saml/{org_id}`

OIDC

組織の OIDC 設定を作成します。システムはリダイレクト URI とログイン URL を自動的に生成します。これらは、IdP で OAuth 2.0/OIDC アプリケーションを登録する際に必要になります。SP 情報の例：

フィールド	値の例
リダイレクト URI	`https://qoder.com.cn/sso/callback/oidc/{org_id}`
ログイン URL	`https://qoder.com.cn/sso/login/oidc/{org_id}`

IdP のコンソールに移動して、OAuth 2.0/OIDC アプリケーションを作成します。アプリケーションの許可されたリダイレクト URI のリストにリダイレクト URI を追加します。アプリケーションを作成すると、IdP はクライアント ID とクライアントシークレットを発行します。これらはステップ 3 で使用します。

ステップ 3：IdP の設定

SAML

SAML IdP は、以下の 2 つの方法のいずれかを使用して設定できます：

方法 A：自動設定 (推奨)

お使いの IdP がメタデータ URL を提供している場合は、この方法で自動設定を行います：

[SAML Settings] ページで、[Identity Provider Metadata Configuration] セクションを見つけます。
[Import from URL] 設定モードを選択します。
IdP のメタデータ URL (例：https://your-idp.example.com/app/metadata) を入力します。
[Save] をクリックします。

システムは以下の情報を自動的に取得して解析します：

IdP Entity ID
SSO URL
署名証明書

方法 B：手動設定

お使いの IdP がメタデータ URL を提供していない場合は、手動で設定します：

[SAML Settings] ページで、[Manual Configuration] モードを選択します。
以下のフィールドに入力します：
- IdP Entity ID：ID プロバイダーのエンティティ識別子。
- IdP SSO URL：SSO サインインエンドポイントの URL。
- IdP 署名証明書：PEM 形式の署名証明書 (任意ですが、推奨します)。
[Save] をクリックします。

OIDC

OIDC IdP は、以下の 2 つの方法のいずれかを使用して設定できます：

方法 A：自動検出 (推奨)

お使いの IdP が OpenID Connect Discovery 仕様に準拠している場合 (つまり、/.well-known/openid-configuration エンドポイントを公開している場合)、この方法を使用します：

[OIDC Settings] ページで、[Issuer URL Auto-Discovery] 設定モードを選択します。
以下のフィールドに入力します：
- 発行者 URL：IdP の発行者アドレス (例：https://login.company.com、https://oauth.aliyun.com、または https://your-tenant.authing.cn/oidc)。
- クライアント ID：IdP によって Qoder アプリケーションに発行されたクライアント ID。
- クライアントシークレット：IdP によって Qoder アプリケーションに発行されたクライアントシークレット。
- スコープ：(任意) リクエストする権限スコープ。デフォルトでは openid が含まれます。openid email profile の使用を推奨します。
[Save] をクリックします。

システムは {発行者 URL}/.well-known/openid-configuration から以下の情報を自動的に取得して解析します：

認可エンドポイント
トークンエンドポイント
UserInfo エンドポイント
JWKS URL (ID トークンの署名を検証するため)
サポートされている署名アルゴリズム

方法 B：手動設定

お使いの IdP がディスカバリーをサポートしていない場合は、以下の詳細を手動で入力します：

発行者 URL、クライアント ID、クライアントシークレット、スコープ
JWKS URL：ID トークンの署名を検証するために使用される JSON Web Key Set の URL。
セッション終了 URL：(任意) ログアウト時にリダイレクトする IdP のセッション終了エンドポイント。

openid スコープは OIDC プロトコルで必須です。指定されていない場合、システムによって自動的に追加されます。

ステップ 4：属性マッピング

SAML

IdP が送信する SAML アサーション内の属性を Qoder のユーザープロファイルにマッピングします。

Attribute mapping

If your IdP provides a metadata URL, use this method for automatic configuration:

On the SAML Settings page, scroll to the Attribute Mapping section.
Configure the mapping between SAML attributes from your IdP and Qoder user fields:
Enter your IDP metadata URL (for example, https://your-idp.example.com/app/metadata).
Click Save.

方法 B: 手動設定

OIDC

[OIDC Settings] ページで、[Attribute Mapping] セクションまでスクロールします。
OIDC UserInfo のクレームとシステムフィールド間のマッピングを設定します：
- Email クレーム：ユーザーのメールアドレスのクレーム名です。通常は email です。(必須)
- Name クレーム：ユーザーの表示名のクレーム名です。通常は name または nickname です。
- OpenID クレーム：ユーザーの一意の識別子のクレームです。通常は sub です。email も使用できます。
[Save] をクリックします。

メールアドレスは必須です：IdP の UserInfo レスポンスに有効なメールアドレスが含まれていないと、認証は失敗します。IdP の設定で Qoder アプリケーションに email スコープが付与されていることを確認してください。

ステップ 5：設定のテスト

SSO を有効化する前に、設定をテストしてすべての設定が正しいことを確認します：

SSO 設定ページで、[Test SSO] をクリックします。
システムは一連の検証チェック (例：証明書/署名、メタデータエンドポイント、ディスカバリー文書、属性マッピング) を実行します。
テスト結果を確認します。

ステップ 6：SSO の有効化

テストに合格したら、SSO を有効化できます：

SSO 設定ページで、すべての検証チェックに合格していることを確認します。
[Enable SSO] トグルをオンにします。
確認ダイアログで、情報を確認して有効化します。

有効化後：

SSO のステータスがアクティブに変わります。
組織のメンバーは、SAML または OIDC SSO を使用してサインインできるようになります。
サインインページでメールアドレスを入力すると、検証済みドメインのユーザーは自動的に組織の SSO にリダイレクトされます。

SSO を有効化した後、設定を行った管理者はサインアウトしないでください。代わりに、検証済みドメインの別のアカウントを使用してサインインプロセスをテストしてください。この予防策により、トラブルシューティングが必要になった場合でも、管理者が設定にアクセスできるようになります。