カテゴリー内の他の記事

OneLogin を使って cybozu.com にシングルサインオン

フォローする

(著者:サイボウズ 竹内 能彦)

 

はじめに

OneLogin はIDaaS(クラウドID管理)の製品で、「アカウント管理機能」や「セキュリティ機能」を付加できます。

今回は cybozu.com のSAML認証と OneLogin のシングルサインオン機能を使って cybozu.com にシングルサインオンする手順をご案内します。
※つまり cybozu.com 上のサービスである kintone、Garoon、Office、メールワイズにシングルサインオンできます

OneLogin は30日間の無料お試しがあります。是非トライしてください。

 

注意事項

cybozu.com へのアクセス方法によってはSAML認証が行われないものがあります。(セキュアアクセスなど)
詳細は「SAML認証を使用したシングルサインオンを設定する」をご確認ください。

 

設定方法

設定1. OneLogin と cybozu.com にユーザー追加

今回は OneLogin、cybozu.com ともに共通のログイン名を設定します。(異なる場合も設定で対応できます)
本記事ではログイン名「testuser」を追加しました。

OneLogin では「USERS > All Users」からユーザーを追加できます。

OneLogin1.png

「SAVE USER」をクリックするとユーザーが追加されます。その後、「MORE ACTIONS」からパスワードを設定します。

 

cybozu.com 側のユーザー追加は省略します。
手順がわからない方は「cybozu.com ヘルプ - ユーザーを追加する」を参考にしてください。

 

設定2. OneLogin の接続先に cybozu.com を追加

「APPS > Company Apps」、「ADD APP」から接続先を追加します。
cybozuで検索すると2つHitするので上の「Cybozu」を選択します。({subdomain}cybozu.comに接続できます)

OneLogin2.png

※2つ目の「Kintone for cybozu.com」を選択すると{subdomain}.kintone.comに接続できそうな気がしますが、こちらも{subdomain}.cybozu.comでした・・・
こちらは確認中です。

 

「Display Name」を任意の内容に変更して、「SAVE」をクリックします。

OneLogin3.png

 

「Configuration」タブを選択し、サブドメインを入力します。(.cybozu.comは入力しないでください)

OneLogin4.png

 

「Parameters」タブを選択し、「Email(SAML NameID)」をクリックしてUsernameに変更します。
※SAML NameIDの値が cybozu.com のログイン名として利用されます。
今回の例では OneLogin と cybozu.com のログイン名を揃えたのでUsernameに変更します。

OneLogin5.png

この段階で「SAVE」をクリックし設定を保存しましょう。 

 

「SSO」タブを選択し、「SAML 2.0 Endpoint (HTTP)」と「SLO Endpoint (HTTP)」の値をコピーします。
コピーした内容は cybozu.com 側の設定で利用するのでメモ帳などに貼り付けておきましょう。

OneLogin6.png

コピーできたら画面中央辺りにある「View Details」をクリックします。

 

「DOWNLOAD」をクリックして、「onelogin.pem」ファイルをダウンロードします。
このファイルも cybozu.com 側の設定で利用します。

OneLogin7.png

 

設定3. cybozu.com でSAMLを設定

cybozu.com 共通管理にアクセスします。
「システム管理 > セキュリティ > ログイン」を開き、以下を設定します。

  • 「SAML認証を有効にする」をチェック
  • 「Identity ProviderのSSOエンドポイントURL」には「SAML 2.0 Endpoint (HTTP)」を貼り付け
  • 「cybozu.comからのログアウト後に遷移するURL」には「SLO Endpoint (HTTP)」を貼り付け
  • 「Identity Providerが署名に使用する公開鍵の証明書」には「onelogin.pem」をアップロード

設定できたら「保存」をクリックします。

OneLogin8.png

 

設定4. OneLogin のユーザーに対して cybozu.com へのシングルサインオンを有効化

「USERS > All Users」から追加したユーザーを選択します。
「Applications」タブを選択し、「+」アイコンから cybozu.com へのシングルサインオン機能を追加します。

OneLogin9.png

 

設定2でSAML NameIDをUsernameにした場合は以下の画像のように「Email (SAML NameID)」の値がtestuserになっているはずです。
「SAVE」をクリックします。

OneLogin11.png

 

動作確認

OneLogin にログインしていない状態で cybozu.com にアクセス

OneLogin の認証画面が表示されます。
設定1で追加したユーザーでログインに成功すると cybozu.com のログイン後の画面が表示されます。

OneLogin にログインしている状態で cybozu.com にアクセス

cybozu.com のログイン後の画面が表示されます。

 

動作確認(セキュアアクセス)

SAML認証が利用されないセキュアアクセスで cybozu.com にアクセスしました。
(IPアドレス制限を有効にし、クライアント証明書はインストール済)

OneLogin にログインしていない状態で cybozu.com にアクセス

https://{subdomain}.s.cybozu.com/にリダイレクトされ、cybozu.com のログイン画面が表示されます。
(cybozu.com 側のパスワードを入力すればログインできます)

OneLogin にログインしている状態で cybozu.com にアクセス

https://{subdomain}.s.cybozu.com/にリダイレクトされ、cybozu.com のログイン画面が表示されます。
(cybozu.com 側のパスワードを入力すればログインできます)

以上の通り、SAML認証が利用されない環境から cybozu.com を利用することがある場合は cybozu.com 側のパスワード設定も必要になります。
ご注意ください。

 

このTipsは、2019年4月版 cybozu.com で確認したものになります。

記事に関するフィードバック

直接的に記事と関連がないご質問はcybozu developer コミュニティをご活用ください。

ログインしてコメントを残してください。