本記事では、OneLogin が提供するブラウザ拡張機能を利用した、OneLogin未登録アプリケーション・クラウドサービスへのForm-based シングルサインオン(SSO)連携方法をご紹介します。
1. ブラウザ拡張機能の強化
OneLoginはサービス開始初期より提供しております豊富なカタログアプリに加え、ユーザーがコネクタを作成できるカスタムコネクタ機能を提供しておりました。そのなかでもカタログアプリに掲載されていないサービスでも、数クリックでコネクタを追加できるウィザード登録機能は非常に便利なものでした。
しかしながら、近年のログインページのセキュリティ強化や複雑なサイト構造の増加により残念ながら対応できるサイト数は減ってきており、利用できる機会は少なくなってきておりました。
そのためOneLoginは、2017年春にさらなるコネクタ自動登録の強化のため、ブラウザ拡張機能をリニューアルいたしました。
2017年春以降のバージョンでは
- 新規サイトへのログインを検知するとコネクタ登録を促す
- 自動登録対応サイトの大幅拡大
- 自動登録のフロー簡素化
の3点を実現しました。
本記事ではこのブラウザ拡張機能を利用した新しいコネクタ自動登録についてご紹介します。
2. コネクタ自動登録について
◆自動登録を利用できるユーザー
ポリシーで許可されている全ユーザー(管理者・一般ユーザー)
*ジェネリックコネクタは旧来からのカスタムコネクタとは異なり、追加できるユーザーはOneLoginの管理者権にとどまりません。一般ユーザーであっても追加を行うことが可能です。
◆自動登録の対象アプリ・サイト
- カタログアプリ
- 拡張機能が自動生成可能な構造を持つウェブサービス
カタログアプリに掲載されているサイトにログインしたことを検知した場合は、カタログアプリの追加を促します。掲載されていないサイトの場合は、新規にコネクタを自動生成して登録を促します。
◆自動登録の登録先
- Company Apps
- Personal Apps
どちらに登録できるかはポリシーで制御され、両方登録できる権限者は登録時に選択できます。
◆自動登録を許可する方法
ブラウザ拡張機能によるコネクタ自動登録の可否は、ポリシーにより制御されます。
ユーザーポリシーを開き、Sign Inタブの下記赤枠内をご確認ください。
☑Users can add Company apps
(有効化すると、ブラウザ拡張機能が新規アプリへのログインを検知するとCompany Appsにそのアプリを登録するかポップアップにて確認します。)
☑Users can add Personal apps
(有効化すると、ブラウザ拡張機能が新規アプリへのログインを検知するとPersonal Appsにそのアプリを登録するかポップアップにて確認します。)
という2つのチェック項目が用意されています。
** おすすめ利用方法 **
本機能はポリシーで制御しますので一般ユーザーの方も対象となります。仮に複数の一般ユーザーの方がこの機能を利用できる場合、同じサイトをみなさんが開こうとするたびに1人1コネクタを作成してしまいCompany Appsが同じアプリで埋め尽くされる...という事例が想定されます。
ペンティオでは、
① コネクタ作成用のOneLoginユーザーを作成するなどして当該ユーザーだけに割当られているポリシーでこの機能を有効化する
② 一部の管理者だけに割り当てられているポリシーでこの機能を有効化し、普段は後述の方法でポップアップを非表示にしておく
の2通りを推奨しております。
また一般的にはCompany Appsの利用を前提とされていらっしゃるかと思いますので、☑Users can add Company apps にのみチェックをいれることを推奨しております。
** 補足 **
Company Apps ... 企業全体で利用するアプリとして追加する場合はこちらを選択
Persona Apps ... 登録した本人だけが利用・削除できる個人アプリとして追加する場合はこちらを選択
◆自動登録のポップアップ表示制御
いろいろなサービスを利用する方で、何度もOneLoginによるポップアップ表示がでてきて困ってしまう場合にはプロフィール画面から自動登録のポップアップ表示を無効にすることができます。
プロフィールページ > 設定タブ 画面内の下記赤枠箇所です。
チェックをいれるとポップアップが表示され、はずすと表示されなくなります。コネクタ登録を行いたいときだけチェックを入れると便利です。
コネクタ自動登録の実際の流れ
それでは実際にコネクタ自動登録がどのように出現するのか、フローでご紹介します。
① 2. コネクタ自動登録について にて必要な設定が済んでいるユーザーでOneLoginにログインします
② 同じブラウザでコネクタ追加したいウェブサイトのログインページを開きます
(例)ASKUL (https://www.askul.co.jp/tpc/loginView/)
③ ログインIDやパスワードなど必要な情報を入力していつもどおりにログインします
④ ログインが実行されるとOneLoginの黒いポップアップ表示が割り込んできます
*ログイン結果(成功/失敗)によりポップアップが表示されない場合がございます。ログイン失敗時には画面遷移しないサイトなどでは、必ずログインできるIDとパスワードをご用意ください。
⑤ このままコネクタを追加するには[Save]をクリックします
*今追加したくない場合は[NOT Now]をクリックします。今後確認されたくない場合は[NOT Now]の右側にある▼をクリックし、[Never ask me again]をクリックします。
⑥ カタログアプリに掲載されていないアプリの場合には下記画面のような画面が表示されます。
この画面から、アプリ名の編集及びアプリ使用者の選択ができます。
⑦ 社内ユーザーにわかりやすいアプリ名に訂正し、アプリ使用者を選択したら[ADD]をクリックして追加を完了します
⑧ 追加されたあとはそのままサービスの画面に戻りますので、追加したコネクタを確認するためにはCompany Appsからさきほど登録したアプリ名をもとに検索します
(例)アスクル[ASKUL]
必要に応じて
- ロゴ画像の追加
- タブの割当
- ロールの割当
- ID/PWの登録
などは上記赤枠部分をクリックしてその他のアプリと同様にご設定いただけます。
なお登録したユーザーがログイン画面にて入力していたIDやパスワード情報は保存されていますので、御本人は特段ご設定いただくないまま、SSOをご利用いただけます。
以上でブラウザ拡張機能を利用したコネクタ自動登録は完了です。
カスタムコネクタでの登録に難度があるものでもこの機能で簡単に自動登録できたケースが多々ございます。ぜひご活用ください。