​

パート 1: Microsoft Entra ID で Enterprise アプリケーションを作成する

1. Microsoft Entra ID で Add をクリックし、次に Enterprise Application をクリックします。

2. Create your own application をクリックします。

3. アプリケーション名を Windsurf にし、ギャラリーにない他のアプリケーションを統合する を選択して、Create をクリックします。

​

パート 2: Microsoft Entra ID で SAML とユーザー属性を構成する

4. 作成した Windsurf アプリケーションで、Set up single sign on をクリックし、SAML をクリックします。
5. Basic SAML Configuration の Edit をクリックします。
6. この Entra ID のタブは開いたままにして、新しいタブで https://windsurf.com/team/settings の Windsurf Teams SSO 設定 に移動します。
7. Microsoft Entra ID の SAML 構成フォームで次を設定します:
   • Identifier (Entity ID): Windsurf SSO 設定ページの SP Entity ID の値をコピー
   • Reply URL (Assertion Consumer Service URL): Windsurf SSO 設定ページの Callback URL の値をコピー
   • 画面上部の Save をクリック
8. 表示名が正しくなるようユーザー属性を構成します。Microsoft Entra ID の Attributes & Claims で Edit をクリックします。
9. Add new claim をクリックして新しいクレームを 2 件作成します:
   • 1 件目のクレーム: Name = firstName, Source attribute = user.givenname
   • 2 件目のクレーム: Name = lastName, Source attribute = user.surname

​

パート 3: Windsurf ポータルで SSO 設定を構成する

10. Windsurf SSO 設定ページで次を行います:
    • Pick your SSO ID: チームのログインポータル用に一意の識別子を選択します（後から変更できません）
    • IdP Entity ID: Microsoft Entra ID の Set up Windsurf → Microsoft Entra Identifier の値をコピー
    • SSO URL: Microsoft Entra ID の Login URL の値をコピー
    • X509 Certificate: Microsoft Entra ID から SAML certificate (Base64) をダウンロードし、ファイルを開いてテキスト内容をここに貼り付けます
11. Windsurf ポータルで Enable Login with SAML をクリックし、Save をクリックします。
12. 設定のテスト: Test Login をクリックして、SSO 構成が期待どおりに動作することを確認します。

​

IdP アプリケーションを設定する

• Single sign-on URL を https://auth.windsurf.com/__/auth/handler に設定
• Audience URI（SP Entity ID）を www.codeium.com に設定
• NameID format を EmailAddress に設定
• Application username を Email に設定

​

Okta を SAML プロバイダとして登録する

• https://windsurf.com/team/settings を開き、Configure SAML をクリック
• Okta のアプリページの ‘Issuer’ の値をコピーし、Idp Entity ID に貼り付け
• Okta のアプリページの ‘Sign on URL’ の値をコピーし、SSO URL に貼り付け
• Signing Certificate をダウンロードし、X509 certificate に貼り付け
• Enable Login with SAML にチェックを入れて Save をクリック
• Test Login ボタンでログインをテストします。成功メッセージが表示されます:

​

注意事項

​

トラブルシューティング

​

Login with SAML config failed: Firebase: Error (auth/operation-not-allowed)

​

Login with SAML config failed: Firebase: SAML Response <Issuer> mismatch. (auth/invalid-credential)

​

Failed to verify the signature in samlresponse

-----BEGIN CERTIFICATE-----
値
------END CERTIFICATE------

• Microsoft Entra ID / Azure AD の管理者権限アクセス
• Windsurf の管理者アクセス
• Entra ID 上の既存の Windsurf アプリケーション（通常は既存の SSO（Single Sign-On）アプリケーション由来）

​

ステップ1：SCIM権限を持つロールを作成する

1. Windsurf Team Settings に移動
2. 「Other Settings」で、Role Management の横にある Configure をクリックします
3. 「Add Role」をクリックし、名前を「SCIM（System for Cross-domain Identity Management：クロスドメインのアイデンティティ管理のための標準規格）プロビジョニング」とします
4. 次の権限を追加してください：
   • チームユーザーの閲覧
   • チームユーザーの更新
   • チームユーザーの削除
5. 「Save」をクリックします

​

ステップ2: 既存のWindsurfアプリケーションに移動

​

ステップ3：SCIMプロビジョニングの設定

​

ステップ4：SCIMプロビジョニングの設定

NOT([IsSoftDeleted])

• Oktaの管理者アクセス
• Windsurfの管理者アクセス
• Okta上の既存のWindsurfアプリケーション（通常は既存のSSOアプリケーションから作成されたもの）

​

ステップ 1: 既存のWindsurfアプリケーションへ移動

​

ステップ 2: SCIMプロビジョニングを有効化

• https://windsurf.com/team/settings にアクセスし、Service Key Configurationへ移動
• Configureをクリックし、Add Service Keyを選択してAPIキーに名前を付ける
• APIキーをコピーし、Oktaに戻ってHTTP Header - Authorizationに貼り付ける

​

ステップ 3: プロビジョニングの設定

​

ステップ 4: グループプロビジョニングの設定（任意）

​

グループの作成

curl -k -X POST https://server.codeium.com/scim/v2/Groups -d '{
"displayName": "<グループ名>",
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:Group"]
}' -H "Authorization: Bearer <APIシークレットキー>" -H "Content-Type: application/scim+json"

​

グループメンバーを追加

curl -X PATCH https://server.codeium.com/scim/v2/Groups/<グループ名> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[
{
"op": "add",
"path":"members",
"value": [{"value": "<メールアドレス1>"}, {"value": "<メールアドレス2>"}]
}]}' -H "Authorization: Bearer <APIシークレットキー>" -H "Content-Type: application/scim+json"

​

グループメンバーの置き換え

curl -X PATCH https://server.codeium.com/scim/v2/Groups/<グループ名> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[
{
"op": "replace",
"path":"members",
"value": [{"value": "<メール1>"}, {"value": "<メール2>"}]
}]}' -H "Authorization: Bearer <APIシークレットキー>" -H "Content-Type: application/scim+json"

​

グループの削除

curl -X DELETE https://server.codeium.com/scim/v2/Groups/<グループ名> -H "Authorization: Bearer <APIシークレットキー>" -H "Content-Type: application/scim+json"

​

リストグループ

curl -X GET -H "Authorization: Bearer <api secret key>" "https://server.codeium.com/scim/v2/Groups"

​

グループ内のユーザーを一覧表示

curl -X GET -H "Authorization: Bearer <api secret key>" "https://server.codeium.com/scim/v2/Groups/<group_id>"

​

ユーザーAPI

curl -X PATCH \
  https://server.codeium.com/scim/v2/Users/<ユーザーAPIキー> \
  -H 'Content-Type: application/scim+json' \
  -H 'Authorization: Bearer <APIシークレットキー>' \
  -d '{
    "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
    "Operations": [
      {
        "op": "replace",
        "path": "active",
        "value": false
      }
    ]
  }'

curl -X POST \
  https://server.codeium.com/scim/v2/Users \
  -H 'Content-Type: application/scim+json' \
  -H 'Authorization: Bearer <APIシークレットキー>' \
  -d '{
    "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
    "userName": "<メールアドレス>",
    "displayName": "<氏名>",
    "active": true,
}'

curl -X PATCH \
  'https://<enterprise portal url>/_route/api_server/scim/v2/Users/<ユーザー API キー>' \
    -H 'Authorization: Bearer <サービス キー>' \
    -H 'Content-Type: application/scim+json' \
    -d '{
      "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
      "Operations": [
        {
          "op": "Replace",
          "path": "displayName",
          "value": "<新しい名前>"
        }
      ]
   }'

​

APIシークレットキーの作成

​

前提条件

​

Windsurf 用に Duo を設定する

1. Applications に移動し、Generic SAML service provider を追加します

2. Team Settings の SSO に移動します

3. 初めて SAML を有効化する場合、SSO ID の設定が求められます。後から変更することはできません。 英数字のみを用いて、組織名またはチーム名に設定することを推奨します。
4. Duo ポータルの Entity ID の値をコピーし、Windsurf ポータルの IdP Entity ID フィールドに貼り付けます。
5. Duo ポータルの Single Sign-On URL の値をコピーし、Windsurf ポータルの SSO URL フィールドに貼り付けます。
6. Duo ポータルの証明書の値をコピーし、Windsurf ポータルの X509 Certificate フィールドに貼り付けます

7. Windsurf ポータルの SP Identity ID の値をコピーし、Duo ポータルの Entity ID フィールドに貼り付けます。
8. Windsurf ポータルの Callback URL (Assertion Consumer Service URL) をコピーし、Duo ポータルの Assertion Consumer Service (ACS) URL フィールドに貼り付けます。
9. Duo ポータルで、次のとおり属性ステートメントを構成します:

10. Windsurf ポータルで SAML ログインを有効化し、テストできるようにします。

11. テストが正常に完了したら、ログアウトして構いません。これで、ステップ 3 で設定した SSO ID を使い、チーム／組織ページにアクセスする際に SSO でサインインできます。

​

前提条件

​

Windsurf 用に PingID を構成する

1. Applications に移動し、Windsurf を SAML Application として追加します

2. Team Settings の SSO に移動します

3. 初めて SAML を有効化する場合、SSO ID の設定が必要です。後から変更できません。

4. PingID で「手動で構成を入力」を選択し、以下の値で各フィールドを入力します:

• ACS URLs - Windsurf ポータルの Callback URL (Assertion Consumer Service URL)。
• Entity ID - Windsurf ポータルの SP Entity ID。

5. PingID の Issuer ID を Windsurf ポータルの IdP Entity ID にコピーします。
6. PingID の Single Signon Service の値を Windsurf ポータルの SSO URL にコピーします。
7. PingID から Signing Certificate を X509 PEM (.crt) 形式でダウンロードし、ファイルを開いて内容を Windsurf ポータルの X509 Certificate に貼り付けます。

8. 属性マッピングでは、以下を確実にマッピングしてください:

• saml_subject - Email Address
• firstName - Given Name
• lastName - Family Name

9. セットアップ／組織の要件に応じて、その他のポリシーやアクセスを追加／編集します。
10. Windsurf ポータルで SAML ログインを有効化し、テストできるようにします。

11. テストが正常に完了したらログアウトできます。これで、手順 3 で設定した SSO ID を使い、チーム／組織ページにアクセスする際に SSO サインインを利用できます。