この記事ではSAML2.0を使用しOneLoginからHUEワークフローへシングルサインオンするための連携設定手順及び連携解除手順をご紹介します
目次
前提条件
以下の点を満たしていることを確認してください
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional Pack(新料金体系)のいずれかであること
- OneLoginにおける Super User あるいは Account Owner をお持ちであること
- HUEワークフロー におけるアクセスレベルが ワークスペース管理者 であること
- HUEワークフローを利用するユーザーに関しOneLoginのメールアドレスとHUEワークフローにおけるメールアドレスが一致していること
1. SAML連携の設定
本章では、OneLoginとHUEワークフローをSAML連携する手順をご紹介します
1.1 OneLogin側の設定
- 管理者アカウントでOneLoginにログインし、[管理]をクリックします
-
Applications >[Applications]をクリックします
- [Add App]をクリックします
-
HUEワークフロー と入力し、SAML2.0アプリケーションを選択します
-
Display Name を入力し、[Save]をクリックします
-
Configurationタブ を開き、Tenant ID を入力します
Tenant ID はHUEワークフローのURLなどに記載されています
-
Accessタブ を開き、アプリケーションを割り当てるロールを選択します
-
SSOタブ > SAML Signature Algorithm から SHA-256 を選択し、[Save]をクリックします
-
More Actions >[SAML Metadata]をクリックし、メタデータをダウンロードします
1.2 HUEワークフロー側の設定
- ワークスペース管理者としてHUEワークフローにログインし、[ワークスペース管理]をクリックします
-
セキュリティ設定 >[認証設定]をクリックします
-
SAML タブをクリックします
-
SAML認証を利用する のトグルをクリックします
-
SSOログインのボタン という項目を設定します
参考:表示名(日本語)は日本語のログイン画面に表示されるSSOの表示名です
例)OneLoginでログイン
表示名を入力します
参考:表示名(英語)は英語のログイン画面に表示されるSSOの表示名です
例)Login with OneLogin
表示名を入力します
- [アップロード]をクリックし、手順1.1.8でダウンロードしたIdPメタデータファイルをアップロードします
-
エントリーポイント、シングルログアウトURL、証明書 は自動で入力されます
- [反映]をクリックします
- 連携設定が正常に完了しているかを確認します。ロックアウトを防ぐため、新しいシークレットウインドウを開き、OneLoginにログインします(HUEワークフローの管理画面は開いたままにしてください)
- OneLoginのポータル画面からHUEワークフローをクリックします
- ログインできればSAML連携設定は成功です
以上で、OneLoginとHUEワークフローのSAML連携は完了です
2. ログアウトのための設定
HUEワークフローにはIdP側のログインステータスにより、自動で再ログインするという仕様がございます。この仕様によって、HUEワークフロー側のログアウトボタンをクリックしても、自動で再ログインされてしまうという現象が起こります。ここでは、SAML認証以外の認証方法を設定することで、正常にログアウトするための手順をご紹介します。
-
1. SAML連携の設定を完了した上で、ワークスペース管理者としてHUEワークフローにログインし、[ワークスペース管理]をクリックします
-
セキュリティ設定 >[認証設定]をクリックします
-
[Ariel]タブまたは[Google]タブをクリックします[Ariel]タブをクリックした場合
Ariel認証を利用する のトグルをクリックし、Ariel Client ID に文字列を入力し、[反映]をクリックします(設定上必須項目ですので、任意の値を入力してください。画像では Ariel としています)
[Google]タブをクリックした場合
Google認証を利用する のトグルをクリックし、Google Client ID に文字列を入力し、[反映]をクリックします(設定上必須項目ですので、任意の値を入力してください。画像では Google としています)
- 実際にログアウトできることを確認します。ユーザーアイコンをクリックし、[ログアウト]をクリックします
- サインイン画面が表示されれば、ログアウトは成功です(例:Ariel認証を利用する場合)
以上がログアウトのための設定手順です
3. SAML連携の設定解除
本章では、SAML連携の設定を解除する手順をご説明します
- ワークスペース管理者としてHUEワークフローにログインし、[ワークスペース管理]をクリックします
- セキュリティ設定 >[認証設定]をクリックします
-
SAML認証を利用する のトグルをクリックします
-
2. ログアウトのための設定で設定したSAML認証以外の認証方式を解除します
SAML連携を解除したときにSAML認証以外の認証方式を解除しなかった場合、アカウントにログインすることができなくなります。2. ログアウトのための設定を行なった方は、必ずこの操作をしてください。
万が一HUEワークフローからロックアウトしてしまった場合は、HUEワークフローにアクセスできなくなってしまったをご覧ください
[Ariel]タブをクリックした場合
Ariel認証を利用する のトグルをクリックし、[反映]をクリックします
[Google]タブをクリックした場合
Google認証を利用する のトグルをクリックし、[反映]をクリックします
-
SAML連携が解除されているか確認します。ユーザーアイコンをクリックし、[ログアウト]をクリックします
-
ログイン画面でユーザーIDとパスワードが要求されれば、SAMLの連携解除は成功です
以上がSAML連携の解除手順です
トラブルシュート
-
ログアウトしても再度自動でログインされてしまう
ログアウトボタンを押しても再度自動でログインされてしまう場合、別の認証設定を設定していない可能性がありますので、手順2.3をご参照ください
-
SAML連携を解除した後、ログイン時にInternal Server Errorと表示されてしまう
SAML連携を解除した後に、他の認証設定を解除していない可能性があります
手順3.4の設定をしてください
-
HUEワークフローにアクセスできなくなってしまった
SAML連携が正常に動作せず、HUEワークフローから締め出されてしまった際は、こちらのリンクからSAML認証を使用しないログインが可能です。
https://flow.apps.worksap.com/flow/{テナントID}/user/login?method=all- {テナントID}の部分はテナントIDに書き換えてご利用ください
- テナントIDはログインページやエラーページのURLに記載されています(画像ではc1044mmu)
この方法を用いると、ワークスペース管理者だけではなく、一般ユーザーもSAML認証を回避することができます。OneLoginによるセキュリティポリシーのコントロール、MFAの適用などが形骸化してしまう恐れがあるため、URLは安易に共有しないようご注意ください。