cybozu.com 共通管理 開発 Tips

OneLogin を使って cybozu.com にシングルサインオン

目次

はじめに

OneLogin (External link) は IDaaS(クラウド ID 管理)の製品で、「アカウント管理機能」や「セキュリティ機能」を付加できます。

今回は cybozu.com の SAML 認証と OneLogin のシングルサインオン機能を使って cybozu.com にシングルサインオンする手順をご案内します。
本記事の手順を行うことで、cybozu.com 上のサービスの kintone/Garoon/Office/メールワイズにシングルサインオンができます。

OneLogin は 30日間の無料お試し (External link) があります。ぜひトライしてください。

注意事項

セキュアアクセスなど、cybozu.com へのアクセス方法によっては SAML 認証が行われないものもあります。
詳細は「 SAML認証の設定 (External link)」を確認してください。

設定方法

設定 1. OneLogin と cybozu.com にユーザー追加

今回は OneLogin、cybozu.com ともに共通のログイン名を設定します。
本記事ではログイン名「testuser」を追加しました。

tips
補足

OneLogin と cybozu.com のログイン名が異なる場合、設定で対応可能です。

OneLogin では「USERS > All Users」からユーザーを追加できます。

[SAVE USER]をクリックするとユーザーが追加されます。その後、「MORE ACTIONS」からパスワードを設定します。

cybozu.com 側のユーザー追加は省略します。
手順がわからない方は「 cybozu.com ヘルプ - ユーザーを追加する (External link)」を参考にしてください。

設定 2. OneLogin の接続先に cybozu.com を追加

「APPS > Company Apps」、「ADD APP」から接続先を追加します。
cybozu で検索すると 2 つ Hit するので上の「Cybozu」を選択します。
「https://(サブドメイン名).cybozu.com」に接続できます。

「Display Name」を任意の内容に変更して、[SAVE]をクリックします。

「Configuration」タブを選択し、サブドメインを入力します。
「.cybozu.com」以下は入力しないでください。

「Parameters」タブを選択し、「Email(SAML NameID)」をクリックして「Username」に変更します。
SAML NameID の値が cybozu.com のログイン名として利用されます。
今回の例では OneLogin と cybozu.com のログイン名をそろえたので「Username」に変更します。

この段階で[SAVE]をクリックし設定を保存しましょう。

「SSO」タブを選択し、「SAML 2.0 Endpoint(HTTP)」と「SLO Endpoint(HTTP)」の値をコピーします。
コピーした内容は cybozu.com 側の設定で利用するのでメモ帳などに貼り付けておきましょう。

コピーできたら画面中央あたりにある[View Details]をクリックします。

[DOWNLOAD]をクリックして、「onelogin.pem」ファイルをダウンロードします。
このファイルも cybozu.com 側の設定で利用します。

設定3. cybozu.com でSAMLを設定

cybozu.com 共通管理にアクセスします。
「システム管理 > セキュリティ > ログイン」を開き、以下を設定します。

  • 「SAML 認証を有効にする」をチェック
  • 「Identity Provider の SSO エンドポイント URL」には「SAML 2.0 Endpoint(HTTP)」を貼り付け
  • 「cybozu.com からのログアウト後に遷移する URL」には「SLO Endpoint(HTTP)」を貼り付け
  • 「Identity Provider が署名に使用する公開鍵の証明書」には「onelogin.pem」をアップロード

設定できたら[保存]をクリックします。

設定4. OneLogin のユーザーに対して cybozu.com へのシングルサインオンを有効化

「USERS > All Users」から追加したユーザーを選択します。
「Applications」タブを選択し、「+」アイコンから cybozu.com へのシングルサインオン機能を追加します。

設定 2 で SAML NameID を「Username」にした場合は以下の画像のように「Email(SAML NameID)」の値が「testuser」になっているはずです。
[SAVE]をクリックします。

動作確認

OneLogin にログインしていない状態で cybozu.com にアクセス

OneLogin の認証画面が表示されます。
設定 1 で追加したユーザーでログインに成功すると cybozu.com のログイン後の画面が表示されます。

OneLogin にログインしている状態で cybozu.com にアクセス

cybozu.com のログイン後の画面が表示されます。

動作確認(セキュアアクセス)

SAML 認証が利用されないセキュアアクセスで cybozu.com にアクセスしました。
IP アドレス制限を有効にし、クライアント証明書はインストール済の状態です。

OneLogin にログインしていない状態で cybozu.com にアクセス

「https://(サブドメイン名).s.cybozu.com」にリダイレクトされ、cybozu.com のログイン画面が表示されます。
cybozu.com 側のパスワードを入力すればログインできます。

OneLogin にログインしている状態で cybozu.com にアクセス

「https://(サブドメイン名).s.cybozu.com」にリダイレクトされ、cybozu.com のログイン画面が表示されます。
cybozu.com 側のパスワードを入力すればログインできます。

以上のとおり、SAML 認証が利用されない環境から cybozu.com を利用することがある場合は cybozu.com 側のパスワード設定も必要になります。
ご注意ください。

information

この Tips は、2019 年 4 月版 cybozu.com で動作を確認しています。