本記事では、OneLoginからkintoneへのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- cybozu.comにおける管理者権限をお持ちであること
SAML連携の設定
1. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
kintone (Japan) と検索し、該当コネクタを選択します
- [Save]をクリックします
-
Configuration タブに移動し、kintone subdomain にcybozu.comのサブドメインを入力します
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
-
SSO タブに移動し、SAML2.0 Endpoint(HTTP) をクリップボードへコピーします
-
View Details をクリックします
- [Download]をクリックします
2. kintone側の設定
- cybozu.comに管理者でログインし、[cybozu.com 共通管理]をクリックします
- システム管理 > ログイン > ログインのセキュリティ設定 > SAML認証 > SAML認証を有効にする にチェックを入れます
cybozu.comへのログイン時にSAML認証だけを使うように制限する場合は SAML認証の使用を必須にする にチェックを入れます
-
前の手順で SAML認証を有効にする にチェックを入れることで項目が表示されます
表示された項目を入力し、[保存]しますcybozu.com側の項目 OneLogin側の値 SAML認証の使用を必須にする ✔を入れることでcybozu.comにサインインする際はSAML認証のみになります Identity ProviderのSSOエンドポイントURL(HTTP-Redirect) SAML2.0 Endpoint (HTTP) cybozu.comからのログアウト後に遷移するURL cybozu.comをログアウト後にOneLoginのポータル画面に遷移するためのURLを記入します
{subdomain}にはOneLoginの環境のサブドメインを記入してくださいhttps://{subdomain}.onelogin.com/portal/
Identity Providerが署名に使用する公開鍵の証明書 X.509 Certificate
SAML連携の設定は以上です。
SAML SSOの動作確認
- OneLoginに対象ユーザーでログインし、設定した kintone を選択します
- SSOが完了し、kintoneのポータルに遷移することを確認します
SAML SSOの動作確認は以上です。
SAML SSOの無効化
- kintoneに管理者としてログインし、cybozu.com共通管理 を開きます
- システム管理 > ログイン > ログインのセキュリティ設定 > SAML認証 > SAML認証を有効にする にチェックをはずします
- チェックが外れたことを確認し、[保存]します
- OneLoginのポータルページからkintoneにSSOを試みます
- ログイン名とパスワードでの認証画面に遷移することを確認します
SAML SSOの無効化は以上です。
3.トラブルシュート
- ロックアウトされた場合、またはSAML連携中にログイン名とパスワードでログインしたい場合は、
https://{subdomain}.cybozu.com/login?saml=offからログインいただけます。