組織内のSAML SSO

組織のメンバーであれば、ご自身のSAML SSOプロバイダシステムを使ってBitriseへログイン・サインアップすることができます。SAML SSOがあれば、ご自身のBitrise組織へアクセスする際、組織はSAML SSOプロバイダのセキュリティガイドラインを適用することが可能です。

ここでは以下のトピックについて説明いたします：

Bitrise組織のSAML SSOのセットアップ
SAML SSOの有効化
Bitrise上でSAML SSOステータスの確認
SAML SSOの施行について
Bitriseアカウントを使ったSSO経由でのログイン
Bitriseアカウントを使わないSSO経由でのログイン
SAML SSOの無効化

組織にSAML SSOを接続する前に

以下の点についてご留意ください：

Bitriseへ接続が可能なSAML SSOプロバイダ（アイデンティティ・プロバイダ）を持っていること
Bitriseのご自身のアカウントに組織があること。組織がない場合、作成してください。SAML SSOのセットアップはBitrise上のすでに存在する組織や新しい組織と同じになります。
他の組織マネジメントアクションと同じで、組織オーナーだけがBitrise組織へSAML SSOのセットアップが行えます。

Bitrise組織のSAML SSOのセットアップ ⚓

このチュートリアルでは、組織オーナーによるSAML SSOのセットアップ方法とメンバー個人個人の組織内の接続をセットアップするために必要な組織メンバーを招待する方法を説明します。

bitrise.io上にある組織のSingle Sign On タブに進みます。
Single Sign-On URLをコピーします。SAML SSOプロバイダサイトにBitriseを追加するのにこのURLが必要になります。
ご自身のSAML SSOプロバイダにログインします。
コピーしたSingle Sign-On URLを使ってBitriseを追加します。Bitrise上で必要になるSingle Sign-On（SSO）証明書をここで生成します。
Single Sign Onタブより、Identity provider sign-on URL とCertificateの欄に生成されたSSO証明書を追加します。
Configure SSO のボタンをクリックします。

以上のステップをクリアすれば、あなたと組織のメンバーへSAML SSOがそれぞれの組織に接続が完了したことをお知らせする確認メールが送信されます。

SAML SSO の有効化 ⚓

この時点で、組織のオーナーがSAML SSOのセットアップが完了できたら、組織のメンバー全員はSAML SSO経由で組織にログインする前に、SAML SSOを有効化しなければなりません。

全ての組織メンバーへBitriseが確認メールを送ります。このEメールにはSign In via SSO ボタンとURLが含まれています。組織のメンバーはSign In via SSOボタンをクリックするか、URLを使ってBitriseへのサインインを行ってください。

このEメールでは組織オーナーのEメールアドレスも表示されます（オーナーに連絡を取る場合使用してください）。
SAML SSOプロバイダサイトへページが切り替わるので、そこでBitrise組織と連携しているご自身のメールアドレスを入力します。

SAML SSOプロバイダサイトにおいて、Bitriseで使用していない異なる（特定の組織と関係のない）メールアドレスを入力された場合、以下のようにエラーメッセージが表示されます。組織の正確なメールアドレスを使ってログインしてください。
Allow "organization name" to sign you in ページへ遷移されます。

いったんAuthorizeをクリックすると、SAML SSO経由でこのアカウントのみの認証が可能になるのでご注意ください。
Bitriseアカウントのサインイン過程を操作するのにその組織を信頼するのであれば、Authorize をクリックしてください。
招待メールが信頼していないソースから届いた場合は、Don't allow をクリックしてください。

以上のステップが完了すると、Bitrise Dashboardへ進むことができます。

Bitrise上でSAML SSOステータスの確認 ⚓

この時点で組織オーナーは組織のSAML SSOのセットアップが完了しました。全ての組織メンバー（オーナーを含む）がSAML SSOの有効化を完了すると、メンバー全員がSAML SSOステータスの確認ができるようになります。組織オーナーのみがアクセスできる他の機能もありますので、ここでは組織メンバーと組織オーナーそれぞれが何を閲覧できるのか説明していきます。

組織オーナー ⚓

組織のプロフィールページへ進みます。
左側のメニューよりSingle Sign On をクリックします。このSingle Sign On タブは組織オーナーのみが利用可能です。

Review Users と Disable SSO ボタンを確認することができます：

Disable SSO は全ての組織メンバーのSAML SSOを無効化します。いったん無効化されると、組織メンバーはいつもの方法でサインインができるようになります。組織メンバー個人はご自身のSAML SSOプロバイダサイトでのみ無効化されるのでご注意ください！
Single Sign On タブからPeople タブへと進むとReview Usersへ進むことができ、そこでは組織メンバーのSAML SSOステータスを確認することができます。

SAML SSO IS ENABLED：SAML SSO経由のログインが可能です。
SAML SSO IS DISABLED：Sign in via SSO ボタン経由のSSO接続の有効化が完了していません。有効化する場合、組織メンバーはBitriseから送られてくる確認メールの指示に従ってください。

組織メンバー ⚓

組織のプロフィールページへ進みます。
左側のメニューよりPeopleをクリックします。
Membersの下にあるご自身の（もしくは他の組織メンバーの）SAML SSOステータスを確認してください。

SAML SSO IS ENABLED：SAML SSO経由のログインが可能です。
SAML SSO IS DISABLED：Sign in via SSO ボタン経由のSSO接続の有効化が完了していません。有効化する場合、組織メンバーはBitriseから送られてくる確認メールの指示に従ってください。

SAML SSOの施行について ⚓

組織でSAML SSOを施行することによって、セキュリティレベルを上げることができます：Bitrise組織にご自身のセキュリティガイドラインを施行する事が可能です（例：パスワードフォーマットの要件、二要素認証など）。これはSAML SSOを組織へログイン・サインアップができる唯一の方法にすることができます。SAMLが施行された組織へ新たな組織メンバーを招待する際、新メンバーはその組織に加わるためにまずSAML SSOコネクションを有効にしなければなりません。

組織上でのSAML SSOの施行 ⚓

一旦組織メンバー全員が組織に関連するSAML SSOを有効にすると、オーナーはシンプルなトグル操作だけで組織のSAML SSOを施行することができます。

組織のSingle Sign On タブへ進みます。
右側へトグルを動かしSAML SSOを施行します。
Save Changesをクリックします。

組織のSAML SSOの施行ができない場合 ⚓

オーナーが組織のSAML SSOを施行できない場合があります。それは、組織メンバーがまだメンバー自身のSAML SSOを有効化していないと発生します。

メンバー個人のパートにおいてSAML SSO有効化ができない場合：オーナーは組織からそのメンバーを外すことができるので、残りの組織の施行プロセスを完了してください。
メンバーが他の組織においてSAML SSOを有効化しようとした場合：オーナーはそのメンバーにログインURLを送ることができるので、正しい組織にSAML SSOを有効化するよう指示に従ってください。

Bitriseアカウントを使ったSSO経由でのログイン ⚓

SAML SSOコネクションがすでに組織へ追加されていて、Bitriseからログアウトしている場合、簡単にあなたの組織へログインすることができます。

BitriseログインページよりLogin via SSOをクリックします。
Initiate Single Sign-on pageに切り替わります。
組織名を入力します。
Continue to log inをクリックすると、ご自身のSSOプロバイダページに切り替わります。
組織と関連のあるEメールアドレスを入力して、SAML SSOプロバイダの説明に沿ってください。

有効期限の切れたSAML SSO証明書

SAML SSO証明書の有効期限が切れていてSAML SSO経由でBitriseにログインができない場合、Bitriseサポートチームにご一報ください。喜んでお手伝いいたします。

Bitriseアカウントを使わないSSO経由でのログイン ⚓

まだBitriseアカウントを持っておらず、組織オーナーがEメールにて組織への招待をしてきた場合、簡単にBitriseへのサインアップ、そして招待された組織へ入ることができます。BitriseのSign In via SSO Eメールは組織に特化しているので、数回のクリックでBitrise組織にアクセスすることができます！

メールボックスよりBitriseからの招待メール (letsconnect@bitrise.io)を確認します。
（組織オーナーからURLが送られてきた場合、新タブでリンクを開いてください。Almost there...ページへ遷移されるので、指示に従ってください。その後、Bitriseより確認メールが送信されますので、メールに添付されているリンクをクリックしてサインアップを完了してください。）
Sign In via SSO をクリックするか、もしくは新タブにて与えられたURLをコピーして接続を承認します。そうするとご自身のSAML SSOプロバイダサイトにページが切り替えられます。
ご自身のメールアドレスを入力します。（招待メールを受け取った同じメールアドレスにしてください。）
SAML SSOプロバイダの説明に沿ってください。
BitriseのAlmost there... ページに切り替わります。
Bitriseで使用したいユーザーネームを入力します。
Finish Signing Up をクリックし、サインアップを完了します。

以上のステップが完了すると、Bitrise Dashboardへ進むことができます。

SAML SSOの無効化 ⚓

組織オーナーはSingle Sign On タブをクリックすることにより既成のSAML SSOを無効化することができます。IdPから誰かを削除する場合、Bitriseからも同じようにその組織メンバーの削除を行ってください。

組織のSAML SSOの無効化 ⚓

組織のSingle Sign On タブへ進みます。
Disable SSO をクリックします。

確認のポップアップが出現するので、そこからアクションの承認・キャンセルを行います。Disable SSOボタンをクリックすると、全ての組織メンバーのSAML SSOが無効化されますのでご留意ください。完了すると、組織メンバーは普段使いのBitrise証明書を通じてログインすることができます。

Bitriseより組織のSAML SSOが無効化されたことを確認するEメール（letsconnect@bitrise.io）が送信されます。

組織メンバーのSAML SSOの無効化 ⚓

組織メンバーの名前の隣りにあるxをクリックすると、組織からそのメンバーを削除することができます。ただ、そのメンバーのSAML SSOはまだ無効化されていないのでご注意ください。

SAML SSOプロバイダサイトに進みます。
組織メンバーを無効化します。これをし忘れた場合、その組織メンバーはIDP接続を使うことにより再認証できてしまうのでご注意ください。