Enterprise SSO(SAML)でログインする
Enterprise SSO(SAML)でログインする
対象: オンプレミス導入 向けです。iknow.dev クラウド(SaaS)では SAML SSO は提供していません。SaaS のログインは Qiita / GitHub / Google の OAuth のみです(No.2.3)。
オンプレミス環境で組織の IdP(Microsoft Entra ID / Google Workspace 等)と連携している場合、SAML 2.0 によるシングルサインオン(SSO) で iknow にログインできます。サーバー側で SSO が有効化されているときだけ、ログイン画面に 「SSO」ボタン が表示されます。
iknow.dev(SaaS)では SSO ボタンは常に表示されません。オンプレミスで
SSO_SAML_ENABLED等が有効な場合のみ表示されます。SaaS では Qiita / GitHub / Google の OAuth を使ってください(No.2.3)。
SSO ログインの流れ
- トップページまたはゲストログインモーダルで 「SSO」 をクリック
- 組織の IdP ログイン画面にリダイレクトされる
- IdP で認証に成功すると iknow.dev に戻り、自動的にログイン状態 になる
- 元の画面に戻りたい場合は、OAuth と同様に
return_urlが引き継がれる(No.2.6)
flowchart LR
A["iknow.dev\nSSOボタン"] --> B["組織の IdP\n(Entra ID 等)"]
B --> C["iknow.dev\nログイン完了"]
C --> D["エージェント一覧 or\nreturn_url 先"]
OAuth ログインとの関係
| 項目 | SSO(SAML) | OAuth(Qiita 等) |
|---|---|---|
| パスワード登録 | 不要(IdP 側で認証) | 不要(各サービスで認証) |
| 表示条件 | サーバーで SSO 有効時のみ | 常に利用可(有効化されているプロバイダ) |
| アカウント統合 | メールアドレスが一致 すれば既存アカウントと自動リンク | 同様(No.2.6) |
| 外部サービス連携 | SSO ログイン後も OAuth 連携は別途可能(No.3.3) | ログインと同時に連携 |
SSO でログインしたあとでも、ナレッジインポート用に GitHub や Google をアカウント設定から連携できます。
初回ログイン時のアカウント作成(JIT)
管理者の設定によって、初めて SSO ログインするユーザーに Expert アカウントが自動作成 される場合があります(Just-In-Time プロビジョニング)。
| 状況 | 挙動 |
|---|---|
| JIT が有効で、未登録のユーザーが SSO 成功 | アカウントが自動作成され、そのままログイン |
| JIT が無効で、未登録のユーザーが SSO 成功 | 「このアカウントは登録されていません」エラー |
| SCIM で事前プロビジョニング済み | 登録済みとしてログイン(JIT 不要) |
JIT が有効な場合でも、メール許可リスト に含まれないアドレスは登録できません。
よくあるエラーメッセージ
| メッセージ | 意味・対処 |
|---|---|
| このアカウントは登録されていません | JIT 無効で未登録。組織の IT 管理者にユーザー追加を依頼(No.7.5 SCIM) |
| このアカウントは無効化されています | IdP または SCIM で無効化済み。管理者に連絡 |
| このメールアドレスはアカウント登録を許可されていません | 許可リスト外のメール。管理者に連絡 |
| SAMLログインに失敗しました | 技術的な検証エラー。管理者に連絡 |
→ その他のログイン全般: No.8.1 FAQ・No.2.6 ログイン導線