Mappingsでやらかした
OneLoginにはMappingsといって、条件指定に合ったユーザーに対してユーザー情報のマッピングができる機能があります。
これでaccount ownerユーザーのAuthentication DirectoryをOneLogin以外のものにしてしまい、account ownerユーザーでログインできなくなってしまいました。
どんなMappingsを設定したのか
OneLoginとLDAPを連携させていて、LDAPユーザーのユーザー情報をMappingsで設定しようとしていました。
LDAPにいるユーザーはすべてメールアドレスのドメイン部が gmail.com だから、全部この指定でいいやと設定しました。
このときは気づかなかったんですが、account ownerユーザーのメールアドレスも gmail.com なので、しっかり変更対象になっていました。。。
翌日、account ownerのセッションも切れてログインもできずという感じです。
他にSuper userのアカウントがいれば最悪なんとかなりますが、このときはSuper userがひとりもいない状態でした。
対処方法
対処法1: LDAPにaccount ownerユーザーのdnを追加する
幸運にも dn は同じMappingsで設定していたので、LDAP側にaccount ownerの cn や email attributeを持ったユーザーを追加して認証が通るようにしました。
とりあえずAuthentication Directoryだけ変更して、また明日としていなくて本当によかった。
対処法2: OneLoginサポートで状況を説明したあと送付状を添付し別アカウントに権限を付けてもらう
対処法1が失敗した時の保険で、OneLoginにログインできるLDAPユーザーはいたので(しかしSuper userではない)、そのユーザーでサポートに連絡を取っていました。
- account ownerのユーザーのAuthentication Directoryを変更できないか
- このユーザーにSuper user権限の付与とaccount ownerの移譲ができないか
この2つを質問したところ、サポートからは以下のような提案をされました。
(Freeプランなのに30分程度で返答が来ました、ありがたや)
We will need to have a letter of authorization form you so that we can re-eanle your access.
Print a letter on your company stationery (with letterhead etc) and then include the request as follows:
"Could you please assign super-user privilege to user XXXX and set them as the account owner"Have the letter signed by a manager / HR etc
Scan the printed letter back in and then attach it to this ticket.
We should be able to accept this as authorisation for us to carry out the task.
Make sure you specify a name of someone who is able to log in and is not an LDAP user.
レターヘッド付きの送付状をマネージャーのサイン入りで作って、それをスキャンして添付してくれれば、(たぶんCompany infoと照合して確認が取れれば)account ownerの付け直しをしてくれるそうです。
日本では印鑑文化なのでサインのみでいいのかとか、レターヘッドのみでどうやってその会社だと判別するのかとか不明な部分はありますが、これでいけるそうです。
詰みそうになっている方がもしいたらサポートに連絡してみましょう。
この応答は私の場合はこうだっただけで、必ずしも同じ提案をされるとは限らないので、そこはご注意ください。