本記事では、OneLoginからKurocoへのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- OneLoginにおいて署名アルゴリズムがSHA-256またはSHA-512のSAML証明書を作成済みであること
- Kurocoにおいて SAML SP 更新権限 を所有していること
注意事項
- OneLoginからKurocoへのSAML認証を利用するためには、NameIDというSAML認証の識別子をOneLoginとKurocoのユーザーで一致させる必要がございます。SAML識別子としてKuroco上のメールアドレス、ログインIDのどちらを使用するかによって手順が異なる部分がございますので、事前にご確認ください。OneLogin上の Email と Kuroco上の メールアドレス が等しい場合は、【SAML識別子としてメールアドレスを使用する場合】、メールアドレスを設定していない場合などは【SAML識別子としてログインIDを使用する場合】の手順をそれぞれご確認ください。
- KurocoでSAML認証を利用するためには、SAML証明書の署名に使用されるアルゴリズムがSHA-256, SHA-512のいずれかである必要がございます。署名アルゴリズムがSHA-256, SHA-512のSAML証明書がない場合は、下記の手順にてKuroco用のSAML証明書をご準備ください。既存のSAML証明書の署名アルゴリズムが分からない場合は、新しくKuroco用のSAML証明書を作成することを推奨いたします。
1. OneLogin側の操作
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Kuroco と検索し、 該当コネクタを選択します
- [Save]をクリックします
-
SSO タブに移動し、Issuer URL と SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
-
View Details をクリックします
- [Download]をクリックします
2. Kuroco側の設定
- Kurocoの管理画面にログインします
- 外部システム連携 > SAML SP に移動します
-
IDP用XML設定ファイル の こちら をクリックします
-
下記表に従い、各項目を入力します
【SAML識別子としてメールアドレスを使用する場合】Kurocoの項目 入力するOneLoginの値 ログインSAML SP Name 任意の値を入力 例)Kuroco - SAML SP ターゲットドメイン [管理画面]を選択 エンティティID 任意の値を入力 例)pentio* 証明書 1. OneLogin側の操作 の手順8でダウンロードした
X.509 Certificate のファイルIDP URL 1. OneLogin側の操作 の手順6でコピーした
SAML 2.0 Endpoint (HTTP) の値IDPエンティティID 1. OneLogin側の操作 の手順6でコピーした
Issuer URL の値有効期限 任意の日付を選択 IDP起点フローを許可 トグルボタンを有効にする *エンティティIDの値にハイフン(−)等の記号を含めるとエラーが発生する可能性がございます。
【SAML識別子としてログインIDを使用する場合】
上記表の設定に加え、ログインIDを使用 を 有効にする に切り替えます
- [+ 追加する]をクリックします
- 追加した ログインSAML SP Name を選択します
-
ログインSAML SP ACS URI をクリップボードへコピーします
3. OneLogin側の設定
-
Configuration タブに移動します
-
下記表に従い、各項目を入力します
OneLoginの項目 入力するKurocoの項目 エンティティID 2. Kuroco側の設定 の手順4で入力した
エンティティIDの値ログインSAML SP ACS URL 2. Kuroco側の設定 の手順6でコピーした
ログインSAML SP ACS URL の値 -
Parametersの追加設定を行います
- SAML識別子としてメールアドレスを使用する場合: SAML識別子でメールアドレスを使う場合は追加の設定は必要ございませんので、手順15 までお進みください
- SAML識別子としてログインIDを使用する場合: 以降の手順をすべてご実施ください
-
Parameters タブに移動し、NameID value フィールドを選択します
-
Value からKuroco上のログインIDと等しいユーザー属性を選択します
-
ログインIDと等しい属性がない場合 は、カスタムユーザーフィールドを利用して作成することができます。Users > Custom User Field を選択します
- [New User Field]をクリックします
-
Name と Shortname* に任意の値を入力し、[Save]をクリックします
*Shortnameは英数字記号のみが使用可能で、全角文字や空白は使用できません。
-
Users メニューから[Users]を選択します
- Kurocoコネクタを割り当てる任意のユーザーを選択します
-
Custom Fields の欄内にて、手順8 で作成したカスタムユーザーフィールドにKuroco上のログインIDの値を入力し、[Save User]をクリックします
- Kuroco用コネクタの管理画面に戻り、Parameters タブを選択します
-
NameID value フィールドを選択します
-
Value のドロップダウンより、手順8 にて作成したカスタムユーザーフィールドを選択し、[Save]をクリックします
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブを選択します
-
アプリケーションを割り当てるRoleを選択し、[Save]をクリックします
SAML連携の設定は以上です。
4. SAML SSOの動作確認
動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、上記設定を行ったKuroco管理者としてのログイン済みセッションが残っていないブラウザ環境でご確認ください。
- コネクタを割り当てたユーザーにログインし、Kurocoのコネクタをクリックします
- Kurocoの管理画面にシングルサインオンできることを確認します
5. JITプロビジョニングの設定
本セクションでは、JITプロビジョニングによりOneLoginからKurocoへのSSO時に、Kuroco上に新規ユーザーを自動作成するための設定手順をご紹介します。
- Kuroco管理画面にログインし、外部システム連携 > SAML SP より、 2. Kuroco側の設定 内で作成した ログインSAML SP Name をクリックします
-
自動ユーザ登録 を 有効にする に切り替え、登録時にセットされるグループ: のドロップダウンから、新規作成されたユーザーに割り当てられるグループを選択します
例)Administratorを設定
- [更新する]をクリックします
JITプロビジョニングの設定は以上です。
6. SAML SSOの無効化
- 外部システム連携 > SAML SP に移動します
- 無効化する ログインSAML SP Name を選択します
-
有効 を無効に切り替えます
- [更新する]をクリックします
- OneLoginからSSOを試み、以下のような画面に遷移することを確認します
SAML SSOの無効化は以上です。