サイボウズ - SAML認証（Cybozu.com向け）

本記事では、OneLoginからCybozu.comへのSAML シングルサインオン（SSO）の設定手順をご案内します。

目次

はじめに

前提条件

SAML連携の設定

1. OneLogin側の設定

2. Cybozu.com側の設定

SAML SSOの動作確認

SAML連携の設定後にCybozu.comの他サービスへSSOする

具体的な運用例

1. 一般ユーザーの設定

2. 管理者ユーザーの設定

SAML SSOの無効化

SAML認証が正しく行われない場合

はじめに

必ずご一読ください

Cybozu.comのSAML連携をする方法は以下の2通りございます。SAML2.0シングルサインオンのみをご利用のお客様はどちらをご利用頂いても違いはございませんが、Unlimited または Professional Pack をご契約中のお客様で、今後OneLoginとCybozuをユーザープロビジョニング連携する可能性があるお客様は、ユーザープロビジョニング機能を内包した (1) Cybozu SCIM Provisionerコネクタ のご利用を推奨しております。

(1) Cybozu.com - SAML認証（Cybozu SCIM Provisioner コネクタ利用）

(2) Cybozu.com - SAML認証（Cybozu.com コネクタ利用）（本記事）

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Cybozu.comの cybozu.com共通管理者権限 を持つアカウントを所有していること
• OneLoginとCybozu.comのSAML連携のキーはメールアドレスを使用します。Cybozu.com側のユーザーのログイン名はメールアドレスをご設定ください。
  ※Cybozu.com側でのユーザー情報の一括方法に関しては、サイボウズ社のドキュメント（ユーザーを一括で登録、編集する）をご参照ください。
  

SAML連携の設定

1. OneLogin側の設定

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. Cybozu.com と検索し、SAML2.0 のコネクタを選択します
   
   
    
5. ［Save］をクリックします
   
   
    
6. Configuration タブに移動し、Cybozu.comの サブドメイン名 を入力します
   例）URLが https://7rqsiwowe8p4.cybozu.com/  の場合、7rqsiwowe8p4 と入力
   
   
    
7. サービス から、SSO先のサービス名を選択します
   
   
    
8. SSO タブへ移動し、SAML Signature Algorithm を SHA-256 へ変更します
   
   
    
9. Access タブへ移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
   
   
    
10. SSO タブへ移動し、SAML2.0 Endpoint (HTTP) をクリップボードへコピーします
    
    
     
11. View Details をクリックします 
    
    
     
12. ［Download］ をクリックします
    

2. Cybozu.com側の設定

1. Cybozu.comに管理者権限でログインし共通管理画面をクリックします
   
   
    
2. システム管理 > ログイン をクリックします
   
   
    
3. SAML認証を有効にする と SAML認証の使用を必須する にチェックを入れます
   
   
    

4.  Identity ProviderのSSOエンドポイントURL（HTTP-Redirect）と cybozu.comからのログアウト後に遷移するURL を以下の通りに設定します

   Cybozu.comの項目	OneLoginの値
   Identity ProviderのSSOエンドポイントURL（HTTP-Redirect）	手順9のSAML 2.0 Endpoint (HTTP)
   Cybozu.comからのログアウト後に遷移するURL	https://{subdomain}.onelogin.com/portal

   
   
    

5. ［参照］をクリックし、1. OneLogin側の設定 でダウンロードした onelogin.pem をアップロード後、［保存］をクリックします
   

SAML連携の設定は以上です。

SAML SSOの動作確認

1. OneLoginに対象ユーザーでログインし、設定した Cybozu.com を選択します
   
   
    
2. SAML認証が完了し、サイボウズにSSOされることを確認します
   

SAML SSOの動作確認は以上です。

SAML連携の設定後にCybozu.comの他サービスへSSOする

本セクションでは、1. の手順のとおりSAML2.0 認証連携が完了していることを前提として、1. の手順で設定したコネクタに加えて、別のCybozu.comページへ着地するブックマークコネクタを追加する方法をご紹介します。認証自体は1. で設定したコネクタが行いますので、必ず1. で設定したコネクタに追加する形で他のサービスに着地するコネクタを追加してください。

ここでは1. で設定したコネクタに加えて、OneLoginポータル画面にGaroonのコネクタを追加したいケースを例とします。KintoneなどのCybozu.comの他ページを希望される方も同様の手順となります。

1. OneLoginに管理者としてログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. アプリケーションを検索 の検索欄に Cybozu.com と入力しSAML2.0コネクタを選択します
   
   
    
5. Add Cybozu.com ページの Display Name で、OneLoginポータルでの表示名を設定し［Save］します
   例：Garoon
   
   
    
6. InfoタブのRectangular Icon と Square Icon を Upload し［Save］します
   Cybozu.comの製品のロゴは https://cybozu.co.jp/logotypes/ より取得可能です
   
   
    
7. Configuration > Application details > サブドメイン にドメインを入力します
   例：ポータルページのURLが https://7rqsiwowe8p4.cybozu.com/ のときは 7rqsiwowe8p4 を記入して下さい
   
    
8. サービス のプルダウンから1.のコネクタとは異なる着地したいサービスを選択し［Save］します
   例：Garoon にログインしたい場合は、Garoon をご選択ください
   
   
    
9. Access タブを開き割り当てるロールを選択し［Save］します
   
   
    
10. Garoonに正常にSSOできるかを検証します
    
    
     
11. ログインに成功すれば完了です
    
    
    
    以上の手順を各サービスに行うことでCybozu.comの全てのサービスに直接SSOすることが可能になります

具体的な運用例

今回はエンドユーザーのOneLoginのポータル画面にGaroonへのSSOを設定し、管理者のOneLoginのポータルページにはGaroonと共通管理へのSSOを設定する手順をご案内します。

• エンドユーザーのユーザーポータル
  
  
   
• 管理者のユーザーポータル
  

1. 一般ユーザーの設定

1. 1. SAML連携の設定 を参考にCybozu.comのSAML連携の設定を完了します
   手順7の サービス はGaroonに設定します
    
2. ［Users］>［Roles］を選択します
   
   
    
3.  右上の［New Role］をクリックします
   
   
    
4. Roleの名前を入力し手順1で作成したApplicationを選択し［Save］します
   
   
    
5. 作成したRoleをユーザーに割り当て正常にSSOできるかを検証します
   
   
    
6. SAML認証が完了し、GaroonにSSOされることを確認します

2. 管理者ユーザーの設定

続いて管理者にGaroonと共通管理へのSSOを設定します。

1. 2. SAML連携設定後にCybozu.comの他サービスへSSOする方法の手順1~8を参考に共通管理のApplicationを作成します
    
2. ［Users］>［Roles］を選択します
   
   
    
3.  右上の［New Role］をクリックします
   
   
    
4. Roleの名前を入力し追加するApplicationを選択し［Save］します
   
   
    
5. 作成したRoleを管理者に割り当て各サービスに正常にSSOできるかを検証します
   
   
    
6. SAML認証が完了し、Cybozu.comにSSOされることを確認します
   

SAML SSOの無効化

1. Cybozu.comに管理者権限でログインし共通管理画面をクリックします
   
   
    
2. システム管理 > ログイン > SAML認証 > SAML認証を有効にする のチェックを外します
   
   
    
3. 下にスクロールし、［保存］をクリックします
   

SAML SSOの無効化は以上です。

SAML認証が正しく行われない場合

https://（サブドメイン名）.cybozu.com/login?saml=off にアクセスすると、SAML認証が無効の状態になります。

上記URLはSAML認証を回避することが出来るため、安易に利用してしまいますとOneLoginによるセキュリティポリシーのコントロール、MFAの適用などが形骸化してしまうため、あくまでCybozu.com共通管理者の方だけが限られた用途において利用されるよう十分にご注意ください。

管理者の方が上記URLを利用される主な用途は次の2つとなります。

1. SAML認証設定を誤ってしまいOneLoginからシングルサインオンできなくなったとき
2. OneLoginのシステム障害やお客様の設定ミスによりエンドユーザーがOneLoginにログインできなくなってしまったとき

Cybozu.com 共有アカウントへのシングルサインオンについては、OneLogin側にCybozu.comと対応するログインIDでユーザーを追加することで、シングルサインオンが可能です。エンドユーザーさんがログインされるCybozu.comの共有アカウントがある場合には、共有アカウントについてもOneLoginへユーザー作成をお願いいたします。

＊共有アカウントで安易に上述のURLを利用許可してしまいますと、Cybozu.com の仕様上どうしてもOneLoginからのシングルサインオンに限定することができなくなってしまいます。