manage（マネージ） - SAML認証

本記事では、OneLoginからmanageへのSAML シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

SAML連携の設定手順

1. OneLogin側の設定（前半）

2. manage側の設定

3. OneLogin側の設定（後半）

シングルサインオンの動作確認

SAML連携の解除手順

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• manageの 管理者権限 をお持ちであること

SAML連携の設定手順

1. OneLogin側の操作

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
   
   
4. manage と検索し、 該当の SAML2.0 コネクタを選択します
   
   
   
   
5. ［Save］をクリックします
   
   
    
6. SSO タブに移動し、SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
   
   
    
7. View Details をクリックします
   
   
    
8. X.509 Certificate の内容をクリップボードへコピーします
   
   
    
9. Certificates/ をクリックします
   

2. manage側の設定

1. 管理者アカウントでmanageにログインし、ログインしているユーザーの名前にマウスオーバーし、［システム運用設定］を選択します
   
   
    
2. アクセス権管理 >［アプリケーション］をクリックします
   
   
    
3. ページを下にスクロールし、［SSO設定］をクリックします
   
   
    
4. 管理者に管理・登録・閲覧権限が付与されていることを確認します。付与されていなければ、対象のユーザー名の右にあるチェックボックスをクリックし、［全アクセス権適用］をクリックします
   
   
    
5. 左上のmanageのロゴをクリックし、トップ画面に戻ります
   
   
    
6. manageのロゴの右のタイルをクリックします
   
   
    
7. 管理アプリ >［SSO設定］をクリックします
   
   
    
8. ［管理］をクリックします
   
   
    
9. ［有効］のラジオボタンをクリックし、［更新］をクリックします
   
   
    
10. 右上の［管理設定終了］をクリックします
    
    
     

11. 認証設定画面の各欄に下記の表のように サインオンURL と ポータルURL、メタデータ を入力します
     

    manageの項目	OneLoginの値
    サインオンURL	OneLogin側の設定（前半）の手順8でコピーした SAML 2.0 Endpoint(HTTP)
    ポータルURL	https://{*subdomain}.onelogin.com/portal
    メタデータ	OneLogin側の設定（前半）の手順10でコピーした X.509 Certificate

    *subdomainはOneLoginのURLから確認できます。
    例）jp.onelogin.comの jp の部分
    
    
    
     

12. アプリケーションID / URI と 応答URL をコピーします
    
    
     
13. 上のタブから 認証連携ID一覧 を選択します
    
    
     
14. 所属欄内のプルダウンから表示したいSSOを適用したいグループを選択し、検索をクリックします
    
    
     
15. 名簿が間違っていないことを確認し、［CSV出力］をクリックしてCSVファイルをダウンロードします
    
    
     
16. ダウンロードしたCSVファイルを開き、SSOさせたいユーザーの連携ID欄にEmailアドレスを記入します
    
    
     
17. 連携IDに入力のない行を削除します
    *削除しない場合、エラーとなりCSVデータをアップロードすることが出来ません
    
    
     
18. manage画面内上のタブから CSVデータ取込 を選択します
    
    
     
19. ［ファイルを選択］から完成したCSVファイルを選択し、［CSVアップロード］クリックします
    
    
     
20. 取込結果の件数が、Emailアドレスと紐づけた連携IDの数と一致していれば［更新］をクリックします
    

3. OneLogin側の設定（後半）

1. Configuration タブに移動し、下記の表のように ヘルプセンターのSAMLレスポンスのURL と 初期設定のリレー状態、エンティティID を入力します
    

   OneLoginの項目	manageの値
   Audience (EntityID)	manage側の設定 の手順12でコピーした アプリケーションID / URI
   Recipient	manage側の設定の手順12でコピーした応答URL
   ACS (Consumer)URL Validator*	manage側の設定の手順12でコピーした 応答URLの正規表現*1
   ACS (Consumer) URL*	manage側の設定の手順12でコピーした応答URL

   *1 応答URLが https://manage-demo.japaneast.cloudapp.azure.com/demo/sso/saml2-acs.cfm の場合、^https:\/\/manage-demo\.japaneast\.cloudapp\.azure\.com\/demo\/sso\/saml2-acs\.cfm$ となります。正規表現について詳しくはこちらのドキュメントをご参照ください。
   
   
   
   

2. SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
   
   
    
3. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
   

SAML連携の設定は以上です。

SAML SSOの動作確認

ブラウザのシークレットモードやプライベートブラウジングなどを利用し、上記設定を行ったmanage管理者としてのログイン済みセッションがないブラウザ環境でご確認ください。

1. OneLoginに対象ユーザーでログインし、設定した manage を選択します
   
   
    
2. SSOが完了し、manageに遷移することを確認します
   

SAML SSOの動作確認は以上です。

SAML SSOの無効化

1. 管理者アカウントでmanageにログインし、manageのロゴの右のタイルをクリックします
   
   
    
2. 管理アプリ >［SSO設定］をクリックします
   
   
    
3. ［管理］をクリックします
   
   
    
4. 無効の左の○をクリックし、［更新］をクリックします
   

SAML SSOの無効化は以上です。