Cloudflare One - OpenID Connect

本記事では、OneLoginからCloudflare OneへのOpenID Connect（OIDC）シングルサインオン（SSO）の設定手順をご案内します。Cloudflare Oneにおける端末管理を目的とし、Cloudflare WARPクライアントを利用した安全な接続を実現するための手順をご紹介します。

目次

前提条件

OIDC連携の設定

1. OneLogin側の設定

2. Cloudflare側の設定

OIDC SSOの動作確認

OIDC連携の解除手順

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Cloudflareの Super Administrator または Administrator 権限をお持ちであること

OIDC連携の設定

1. OneLogin側の設定

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. Cloudflare One と検索し、該当コネクタを選択します
   
   
    
5. Visible in portal を無効化します
   *WARPが主導でSSO（SP-Initiated SSO）されるため、ユーザーポータルではコネクタを非表示にすることを推奨いたします。
   
   
    
6. ［Save］をクリックします
   
   
    
7. Configuration タブに移動し、Cloudflareで設定している Team Name を入力します
   
   
    
8. SSO タブに移動し、Client ID をクリップボードへコピーします
   
   
    
9. Show client secret をクリックします
   
   
    
10. Client Secret をクリップボードへコピーします
    
    
     
11. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
    

2. Cloudflare側の設定

1. Cloudflareに Super Administrator または Administrator でログインします
   
   
    
2. Zero Trust をクリックします
   
   
    
3. インテグレーション > IDプロバイダー をクリックします
   
   
    
4. ［+ 新しい ID プロバイダーを追加する］をクリックします
   
   
    
5. ［OneLogin］を選択します
   
   
    

6. 各項目を以下通りに設定します

   設定項目	内容
   名前	例）OneLogin
   アプリ ID	1. OneLogin側の設定 手順9でコピーした Client ID
   クライアントシークレット	1. OneLogin側の設定 手順11でコピーした Client Secret
   OneLoginアカウントURL	https://{subdomain}.onelogin.com 例）subdomainが jp の場合、https://jp.onelogin.com

   
   
    

7. ［保存］をクリックします
   
   
    
8. お客様の ID プロバイダー に OneLogin が追加されていることを確認し、テスト をクリックします
   
   
    
9. OneLoginへのログインを続行します
   ※ 1. OneLogin側の設定 手順12 で割り当てたロールに属するどのユーザーでもテストを実施できます
   
   
    
10. Your connection works! と表示されることを確認します
    
    
     
11. 元のウィンドウに戻り、Access コントロール > ポリシー をクリックします
    
    
     
12. ［+ ポリシーを追加する］をクリックします
    
    
     

13. 以下の通りに設定します

    設定項目	内容
    ポリシー名	例）WARP_Dev
    アクション	Allow
    セッション時間	任意のセッション時間 例）24 hours

    
    
     

14. セレクター で任意の項目を選択し、値 を設定します
    例）Email末尾がonelogin.jpのユーザーをルールに追加する場合、セレクターに Emails ending in を選択し、値に onelogin.jp を入力します
    
    
     
15. ［保存］をクリックします
    
    
     
16. ポリシーが追加されていることを確認します
    
    
     
17. チームとリソース > デバイス に移動します
    
    
     
18. 管理 タブを開き、デバイス登録権限の［管理］をクリックします
    
    
     
19. ［既存のポリシーを選択］をクリックします
    
    
     
20. 2. Cloudflare側の設定 手順15で作成したポリシーを選択し、［確認］をクリックします
    
    
     
21. ［保存］をクリックします
    

OIDC連携の設定は以上です。

OIDC SSOの動作確認

1. WARPの設定アイコンをクリックします
   
   
    
2. ［Preferences］をクリックします
   
   
    
3. 展開したPreferencesウィンドウの［Account］に移動します
   
    
    
4. ［Login to Cloudflare Zero Trust］をクリックします
   
   
    
5. Enter your Team name にCloudflareのTeam Nameを入力し、［Done］をクリックします
   例）pentio-dev
   
   
    
6. ［Next］をクリックします
    
   
    
7. 注意事項等をご確認の上、［Accept］をクリックします
   
   
    
8. OneLogin と表示されているボタンをクリックします
   
   
    
9. デバイスを登録するユーザーでOneLoginへのログインを続行します
   
   
    
10. 許可 をクリックします
    
    
     
11. トグルを有効にします
    
    
     
12. Connected と表示されることを確認します
    

OIDC SSOの動作確認は以上です。

OIDC SSOの無効化

1. Cloudflareに Super Administrator または Administrator でログインします
   
   
    
2. 保護と接続 > Zero Trust を選択します
   
   
    
3. インテグレーション > ID プロバイダー をクリックします
   
   
    
4. ︙ > 削除 を選択します
   
   
    
5. ［削除］をクリックします
   

OIDC SSOの無効化は以上です。