OneLogin を使って cybozu.com にシングルサインオン
はじめに
OneLogin
は IDaaS(クラウド ID 管理)の製品で、「アカウント管理機能」や「セキュリティ機能」を付加できます。
今回は cybozu.com の SAML 認証と OneLogin のシングルサインオン機能を使って cybozu.com にシングルサインオンする手順をご案内します。
本記事の手順を行うことで、cybozu.com 上のサービスの kintone/Garoon/Office/メールワイズにシングルサインオンができます。
OneLogin は
30日間の無料お試し
があります。ぜひトライしてください。
注意事項
セキュアアクセスなど、cybozu.com へのアクセス方法によっては SAML 認証が行われないものもあります。
詳細は「
SAML認証の設定
」を確認してください。
設定方法
設定 1. OneLogin と cybozu.com にユーザー追加
今回は OneLogin、cybozu.com ともに共通のログイン名を設定します。
本記事ではログイン名「testuser」を追加しました。
補足
OneLogin と cybozu.com のログイン名が異なる場合、設定で対応可能です。
OneLogin では「USERS > All Users」からユーザーを追加できます。
[SAVE USER]をクリックするとユーザーが追加されます。その後、「MORE ACTIONS」からパスワードを設定します。
cybozu.com 側のユーザー追加は省略します。
手順がわからない方は「
cybozu.com ヘルプ - ユーザーを追加する
」を参考にしてください。
設定 2. OneLogin の接続先に cybozu.com を追加
「APPS > Company Apps」、「ADD APP」から接続先を追加します。
cybozu で検索すると 2 つ Hit するので上の「Cybozu」を選択します。
「https://(サブドメイン名).cybozu.com」に接続できます。
「Display Name」を任意の内容に変更して、[SAVE]をクリックします。
「Configuration」タブを選択し、サブドメインを入力します。
「.cybozu.com」以下は入力しないでください。
「Parameters」タブを選択し、「Email(SAML NameID)」をクリックして「Username」に変更します。
SAML NameID の値が cybozu.com のログイン名として利用されます。
今回の例では OneLogin と cybozu.com のログイン名をそろえたので「Username」に変更します。
この段階で[SAVE]をクリックし設定を保存しましょう。
「SSO」タブを選択し、「SAML 2.0 Endpoint(HTTP)」と「SLO Endpoint(HTTP)」の値をコピーします。
コピーした内容は cybozu.com 側の設定で利用するのでメモ帳などに貼り付けておきましょう。
コピーできたら画面中央あたりにある[View Details]をクリックします。
[DOWNLOAD]をクリックして、「onelogin.pem」ファイルをダウンロードします。
このファイルも cybozu.com 側の設定で利用します。
設定3. cybozu.com でSAMLを設定
cybozu.com 共通管理にアクセスします。
「システム管理 > セキュリティ > ログイン」を開き、以下を設定します。
- 「SAML 認証を有効にする」をチェック
- 「Identity Provider の SSO エンドポイント URL」には「SAML 2.0 Endpoint(HTTP)」を貼り付け
- 「cybozu.com からのログアウト後に遷移する URL」には「SLO Endpoint(HTTP)」を貼り付け
- 「Identity Provider が署名に使用する公開鍵の証明書」には「onelogin.pem」をアップロード
設定できたら[保存]をクリックします。
設定4. OneLogin のユーザーに対して cybozu.com へのシングルサインオンを有効化
「USERS > All Users」から追加したユーザーを選択します。
「Applications」タブを選択し、「+」アイコンから cybozu.com へのシングルサインオン機能を追加します。
設定 2 で SAML NameID を「Username」にした場合は以下の画像のように「Email(SAML NameID)」の値が「testuser」になっているはずです。
[SAVE]をクリックします。
動作確認
OneLogin にログインしていない状態で cybozu.com にアクセス
OneLogin の認証画面が表示されます。
設定 1 で追加したユーザーでログインに成功すると cybozu.com のログイン後の画面が表示されます。
OneLogin にログインしている状態で cybozu.com にアクセス
cybozu.com のログイン後の画面が表示されます。
動作確認(セキュアアクセス)
SAML 認証が利用されないセキュアアクセスで cybozu.com にアクセスしました。
IP アドレス制限を有効にし、クライアント証明書はインストール済の状態です。
OneLogin にログインしていない状態で cybozu.com にアクセス
「https://(サブドメイン名).s.cybozu.com」にリダイレクトされ、cybozu.com のログイン画面が表示されます。
cybozu.com 側のパスワードを入力すればログインできます。
OneLogin にログインしている状態で cybozu.com にアクセス
「https://(サブドメイン名).s.cybozu.com」にリダイレクトされ、cybozu.com のログイン画面が表示されます。
cybozu.com 側のパスワードを入力すればログインできます。
以上のとおり、SAML 認証が利用されない環境から cybozu.com を利用することがある場合は cybozu.com 側のパスワード設定も必要になります。
ご注意ください。
この Tips は、2019 年 4 月版 cybozu.com で動作を確認しています。