Zoho One - SAML認証

本記事では、OneLoginからZoho OneへのSAML シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

SAML連携の設定手順

1. OneLogin側の操作

2. Zoho One側の設定

3. OneLogin側の設定

SAML SSOの動作確認

SAML SSOの無効化

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Zoho Oneの 組織管理者（アプリ管理者ではございません）の権限をお持ちであること

SAML連携の設定

1. OneLogin側の操作

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. Zoho One と検索し、該当コネクタを選択します
   
   
    
5. ［Save］をクリックします
   
    
6. SSO タブに移動し、SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
   
   
    
7. View Details をクリックします
   
   
    
8. ［Download］をクリックします

2. Zoho One の設定

1. Zoho Oneへ組織管理者アカウントでログインし、ホーム右上から設定ページを開きます
   
    
2. セキュリティタブ > カスタム認証 > ［ IDプロバイダーを追加する ］をクリックします
   
    

3. 利用中のユーザーでOneLogin を利用してシングルサインオンさせたいユーザーの範囲を選びます
   a.すべてのメンバー
   b.特定のグループ
   の2種類から範囲を選ぶ事が可能です
   
   a.すべてのメンバーを選ぶ場合
   すべてのメンバーにシングルサインオンを適用させたい場合や、適用させたくないグループが少ない場合には すべてのメンバー を選択します
   表示名がDefaultで固定され、すべてのユーザーにシングルサインオンが適用されます
   
   指定したグループに対してこのIDプロバイダーの適用を除外する にチェックを入れることで、グループを除外するのフォームで選択したZoho Oneのグループに所属しているメンバーにはシングルサインオンが適用されません
   
   
   b.特定のグループを選ぶ場合
   シングルサインオンを適用させるグループが少ない場合や、順次シングルサインオンを適用させていく場合などのときに特定のグループを選択します
   利用中のユーザーで特定のグループを選ぶ場合、表示名を変更する事ができます
   例）OneLogin 従業員
   
   グループを選択する のフォームでシングルサインオンを適用させたいZoho Oneのグループを選択します
   
   
   指定したグループに対してこのIDプロバイダーの適用を除外する にチェックを入れることで、グループを除外するのフォームで選択したZoho Oneのグループに所属しているメンバーにはシングルサインオンが適用されません
   
   例）下記画像の場合

   	情報システム部に所属している	情報システム部に所属していない
   人事部に所属している	SSOが適用されない	SSOが適用されない
   人事部に所属していない	SSOが適用される	SSOが適用されない

   
   
   
    

4. シングルサインオンプロトコルはSAMLを選択します
   
   
    
5. ACS URLをコピーします
   例）https://accounts.zoho.com/signin/samlsp/90001438333
   
   
    
6. サインインURLに、手順1.10でコピーした SAML 2.0 Endpoint(HTTP) を入力します
   
    
7. 証明書の項目の［参照］をクリックし、手順1.9でダウンロードしたPEMファイルを選択します
   
    
8. ［保存する］をクリックします

3. OneLogin側の設定

1. Configuration タブに移動し、各項目を下記の表のように設定します

   項目	入力値
   Recipient	手順2.5でコピーした ACS URL の値
   ACS(Consumer) URL Validator*	手順2.5でコピーした ACS URL の正規表現*1   例）a.手順2.3ですべてのユーザーを選ぶ場合https://accounts.zoho.com/signin/samlsp/90001438333 →^https:\/\/accounts\.zoho\.com\/signin\/samlsp\/90001438333$ b.手順2.3で特定のグループを選ぶ場合 https://accounts.zoho.com/signin/samlsp/90001438333/ca_1721628992086 →^https:\/\/accounts\.zoho\.com\/signin\/samlsp\/90001438333\/ca_1721628992086$
   ACS(Consumer) URL*	手順2.5でコピーした ACS URL の値

   *1正規表現について不明な場合はこちらをご覧ください
   
    

2. SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
   
   
    
3. Access タブに移動し、割り当てたいユーザーが属するロールを選択します
   
   
    
4. ［Save］をクリックします

SAML連携の設定は以上です。

SAML SSOの動作確認

1. シングルサインオンを確認するために、Zoho Oneのログイン画面でシングルサインオンを適用しているユーザー*1のメールアドレスまたは電話番号を入力します
   
   
   
   *1 Zoho Oneの組織管理者（所有者）はログインフォームでもログイン可能なため、SAML連携の動作確認に組織管理者（所有者）アカウントを使用する場合は、メールアドレス入力後に［SAML-Default］をクリックします
   
   
    
2. Zoho Oneに接続中と表示されていることを確認してOneLoginにログインします
   
    
3. SAML認証が完了し、Zoho OneにSSOされたことを確認します
   

SAML SSOの動作確認は以上です。

SAML SSOの無効化

1. Zoho Oneへ組織管理者アカウントでログインし、ホーム右上から設定ページを開きます
   
    
2. セキュリティタブ > カスタム認証 で解除したいシングルサインオンの設定をクリックします
   例）標準
   
    
3. SAML認証 > シングルサインオンを有効にするをオフにします
   
    
4. ［無効にする］をクリックします
   
   
    
5. 「IDプロバイダーを無効にしました」と表示され、表示名の隣に「無効」と表示されたことを確認します

SAML SSOの無効化は以上です。