シングル サインオンのトラブルシューティング

ヘルプシングル サインオン(SS0)が有効になっているが、設定が間違っていて、ログインし直すことができない

操作中のエラー、インフラストラクチャの変更、または単なる証明書の期限切れが原因で、Shotgun サイトからロック アウトされることがあります。

Shotgun 管理者は、従来のユーザ名/パスワードのメカニズムを使用するログイン フローで代用することができます。このフローを使用できるのは管理者のみです。使用目的は設定問題を解決することに限定し、プロダクション用サイトを操作する目的には使用しないでください。

Shotgun のサイン イン
Shotgun のサイン イン

ページの下部に、従来のログインのグラフィカル ユーザ インタフェース(GUI)に表示される[サイト管理](Site Administration)リンクが表示されます。SSO が有効な場合にユーザを作成したときは、ユーザにパスワードが関連付けられていません。この場合は、[ログイン名またはパスワードを忘れた場合](Forgot login or password)リンクをクリックして、パスワードを設定することができます。

それでもサイトに接続できない場合は、Shotgun サポートに問い合わせてください

組織の外部に Shotgun ユーザがいる

物理的に会社の外で作業しているユーザがいる場合は、イントラネットの外部から ID プロバイダ(IdP)サーバにアクセスできる必要がありますIP のホワイトリスト登録を行うことで IdP へのアクセスを制限できますが、Shotgun サーバにもアクセスしにくくなります。

作業の一部をアウトソーシングしている場合、または外部ベンダーを利用している場合は、これらの協力者を IdP システムに追加する必要があります。SSO が有効な場合は、すべてのユーザが SSO を使用して認証する必要があります。

これらの協力者を IdP に追加すると、協力者は、元の電子メール アドレスと、組織のドメインを使用する別の電子メール アドレスという、複数の電子メール アドレスを持つ可能性があります。通常、IdP は組織のドメインに関する情報のみを認識するため、Shotgun に対して外部アドレスを使用するよう設定したい場合があります。

Shotgun 管理者によって作成されたユーザがいて、そのユーザの外部電子メール アドレスがユーザ通知にアクティブに使用されている場合は、IdP から提供された電子メール アドレスを使用して電子メール アドレスを更新しないように Shotgun を設定する必要があります。そのためには、外部トークンと一緒に[更新で一部のフィールドを無視](Ignore some fields in update)オプションを使用する必要があります。

ユーザによってはたまに Shotgun に接続できないことがある

Shotgun へのアクセスが断続的に行われるという不満がユーザから寄せられている場合は、最初にサーバおよびクライアント マシンのクロック設定を調べてください。SAML 要求は 2 つの UTC タイムスタンプ間の期間だけ有効であると定義されるため、クロックがずれていると問題が生じることがあります。

サーバまたはユーザのマシンでブラウザが実行されている場合は、https://time.is を使用して、クロックがずれていないか確認してください。

ユーザが誤って別のアカウントを作成した

Shotgun サイトへの初回接続時に、ユーザが既存アカウントをリンクしないで、新しいアカウントを作成することがあります。

この操作の直後に通知を受け取っていて、新しいユーザが処理を行っていない場合は、問題をすばやく修正することができます。

  1. ユーザに Shotgun からログアウトするように求めます。
  2. サイトの[ユーザ](People)ページで新しい重複ユーザを検索し、その [ログイン](login)フィールドの値を書き留めます。
  3. リンクされている元の Shotgun アカウントを検索します。
  4. 手順 2 の値を使用して、アカウントの[シングル サインオン ログイン](Single Sign-On Login)フィールドを編集します。
  5. 新しいユーザをごみ箱に送ります。
  6. ユーザに再度ログインするよう求めます。これで元のユーザが使用されるようになりました。

それでも問題を解決できない場合は、Shotgun サポートに問い合わせてください。

問題がすぐに発生しなくて、新しいユーザが一定期間アクティブになり、プロジェクトへのアクセス権を付与された:

この問題を解決するには、古いアカウントと新しいアカウントを古いアカウントに結合します。こうすると、すべてのリンク、履歴、およびその他の重要なメタデータが保持されます。Shotgun 管理者はアカウントを結合できません。お客様側で以下の操作を行う必要があります。

  1. Shotgun サポートに問い合わせます。Shotgun サポートには、アカウントを結合するためのツールが用意されています。
  2. Shotgun にアクティブにアクセスしている他のユーザがいない期間の中から結合を行う時期を選んで、サポートに知らせます。アカウントの結合中は、他のユーザに対してデータベースがブロックされるためです。

IdP の設定中に問題発生した、またはユーザが Shotgun に接続できない

最初に、必要なすべての情報が IdP から Shotgun に適切に送信されていることを確認します。Chrome および Firefox には、Shotgun に送信されている SAML ペイロードを表示するプラグインやアドオンが用意されています。これらのツールを使用して、すべての要求(login_idfirstnamelastnameemailaccess、および必要に応じて groups)が提供されていることを確認します。

次に、オートデスクで使用していたプラグインの一部を示します(完全なリストではありません)。

  • SAML Tracer (Firefox)
  • SAML Message Decoder (Chrome)
  • SAML DevTools extension (Chrome)

SAML フロントに問題がないようであれば、IdP の設定を二重にチェックします。URL は入力しないで、コピーして貼り付けます。手動で入力した値は二重にチェックしてください。

オートデスクと連携してサポート チケットを開き、Shotgun サーバ ログを詳細に調べて、役に立つ情報を特定することもできます。

詳細については、「Shotgun の SSO: 管理者ガイド」および「シングル サインオンの設定」を参照してください。

フォローする

0 コメント

ログインしてコメントを残してください。