はじめに
OneLogin はIDaaS(クラウドID管理)の製品で、「アカウント管理機能」や「セキュリティ機能」を付加できます。
今回はcybozu.comのSAML認証とOneLoginのシングルサインオン機能を使ってcybozu.comにシングルサインオンする手順をご案内します。
本記事の手順を行うことで、cybozu.com上のサービスのkintone/Garoon/Office/メールワイズにシングルサインオンができます。
OneLoginは 30日間の無料お試し があります。ぜひトライしてください。
注意事項
セキュアアクセスなど、cybozu.comへのアクセス方法によってはSAML認証が行われないものもあります。
詳細は「
SAML認証の設定
」を確認してください。
設定方法
設定1. OneLoginとcybozu.comにユーザー追加
今回はOneLogin、cybozu.comともに共通のログイン名を設定します。
本記事ではログイン名「testuser」を追加しました。
補足
OneLoginとcybozu.comのログイン名が異なる場合、設定で対応可能です。
OneLoginでは「USERS > All Users」からユーザーを追加できます。
[SAVE USER]をクリックするとユーザーが追加されます。その後、「MORE ACTIONS」からパスワードを設定します。
cybozu.com側のユーザー追加は省略します。
手順がわからない方は「
cybozu.comヘルプ - ユーザーを追加する
」を参考にしてください。
設定2. OneLoginの接続先にcybozu.comを追加
「APPS > Company Apps」、「ADD APP」から接続先を追加します。
cybozuで検索すると2つHitするので上の「Cybozu」を選択します。
「https://(サブドメイン名).cybozu.com」に接続できます。
「Display Name」を任意の内容に変更して、[SAVE]をクリックします。
「Configuration」タブを選択し、サブドメインを入力します。
「.cybozu.com」以下は入力しないでください。
「Parameters」タブを選択し、「Email(SAML NameID)」をクリックして「Username」に変更します。
SAML NameIDの値がcybozu.comのログイン名として利用されます。
今回の例ではOneLoginとcybozu.comのログイン名をそろえたので「Username」に変更します。
この段階で[SAVE]をクリックし設定を保存しましょう。
「SSO」タブを選択し、「SAML 2.0 Endpoint(HTTP)」と「SLO Endpoint(HTTP)」の値をコピーします。
コピーした内容はcybozu.com側の設定で利用するのでメモ帳などに貼り付けておきましょう。
コピーできたら画面中央あたりにある[View Details]をクリックします。
[DOWNLOAD]をクリックして、「onelogin.pem」ファイルをダウンロードします。
このファイルもcybozu.com側の設定で利用します。
設定3. cybozu.comでSAMLを設定
cybozu.com共通管理にアクセスします。
「システム管理 > セキュリティ > ログイン」を開き、以下を設定します。
- 「SAML認証を有効にする」をチェック
- 「Identity ProviderのSSOエンドポイントURL」には「SAML 2.0 Endpoint(HTTP)」を貼り付け
- 「cybozu.comからのログアウト後に遷移するURL」には「SLO Endpoint(HTTP)」を貼り付け
- 「Identity Providerが署名に使用する公開鍵の証明書」には「onelogin.pem」をアップロード
設定できたら[保存]をクリックします。
設定4. OneLoginのユーザーに対してcybozu.comへのシングルサインオンを有効化
「USERS > All Users」から追加したユーザーを選択します。
「Applications」タブを選択し、「+」アイコンからcybozu.comへのシングルサインオン機能を追加します。
設定2でSAML NameIDを「Username」にした場合は以下の画像のように「Email(SAML NameID)」の値が「testuser」になっているはずです。
[SAVE]をクリックします。
動作確認
OneLoginにログインしていない状態でcybozu.comにアクセス
OneLoginの認証画面が表示されます。
設定1で追加したユーザーを使ってログインに成功すると、cybozu.comのログイン後の画面が表示されます。
OneLoginにログインしている状態でcybozu.comにアクセス
cybozu.comのログイン後の画面が表示されます。
動作確認(セキュアアクセス)
SAML認証が利用されないセキュアアクセスでcybozu.comにアクセスしました。
IPアドレス制限を有効にし、クライアント証明書はインストール済の状態です。
OneLoginにログインしていない状態でcybozu.comにアクセス
「https://(サブドメイン名).s.cybozu.com」にリダイレクトされ、cybozu.comのログイン画面が表示されます。
cybozu.com側のパスワードを入力すればログインできます。
OneLoginにログインしている状態でcybozu.comにアクセス
「https://(サブドメイン名).s.cybozu.com」にリダイレクトされ、cybozu.comのログイン画面が表示されます。
cybozu.com側のパスワードを入力すればログインできます。
以上のとおり、SAML認証が利用されない環境からcybozu.comを利用することがある場合はcybozu.com側のパスワード設定も必要になります。
ご注意ください。
このTipsは、2019年4月版cybozu.comで動作を確認しています。