サイボウズでは、SSO先をCybozuポータルページだけではなく、Garoon、メールワイズ、サイボウズOfficeといった各サービスに設定することが可能です。
本記事では、OneLoginからCybozu.comへのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
SAML連携の設定後にCybozu.comの他サービスへSSOする
はじめに
必ずご一読ください
Cybozu.comのSAML連携をする方法は以下の2通りございます。SAML2.0シングルサインオンのみをご利用のお客様はどちらをご利用頂いても違いはございませんが、Unlimited または Professional Pack をご契約中のお客様で、今後OneLoginとCybozuをユーザープロビジョニング連携する可能性があるお客様は、ユーザープロビジョニング機能を内包した (1) Cybozu SCIM Provisionerコネクタ のご利用を推奨しております。
(1) Cybozu.com - SAML認証(Cybozu SCIM Provisioner コネクタ利用)(本記事)
(2) Cybozu.com - SAML認証(Cybozu.com コネクタ利用)
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Cybozu.comの cybozu.com共通管理者権限 を持つアカウントを所有していること
- OneLoginとCybozu.comのSAML連携のキーはメールアドレスを使用します。Cybozu.com側のユーザーのログイン名はメールアドレスをご設定ください
※Cybozu.com側でのユーザー情報の一括方法に関しては、サイボウズ社のドキュメント(ユーザーを一括で登録、編集する)をご参照ください
SAML連携の設定
1. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Cybozu SCIIM Provisioner と検索し、該当コネクタを選択します
- [Save]をクリックします
-
Configuration タブに移動し、Cybozu.comの サブドメイン名 を入力します
例)URLがhttps://kesofdk8d752.cybozu.com/の場合、kesofdk8d752と入力
-
サービス から、SSO先のサービス名を選択します
-
SSO タブへ移動し、 を SHA-256 へ変更します
-
Access タブへ移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
-
SSO タブへ移動し、SAML2.0 Endpoint (HTTP) をクリップボードへコピーします
-
View Details をクリックします
- [Download] をクリックします
2. Cybozu.com側の設定
- Cybozu.comに管理者権限でログインし共通管理画面をクリックします
- システム管理 > ログイン > SAML認証 > SAML認証を有効にする にチェックを入れます
-
SAML認証の使用を必須する にチェックを入れます
-
Identity ProviderのSSOエンドポイントURL(HTTP-Redirect)と cybozu.comからのログアウト後に遷移するURL を以下の通り設定します
Cybozu.comの項目 OneLoginの値 Identity ProviderのSSOエンドポイントURL(HTTP-Redirect) 手順1-11でコピーした SAML 2.0 Endpoint (HTTP) Cybozu.comからのログアウト後に遷移するURL https://{subdomain}.onelogin.com/portal
- [参照]をクリックし、1. OneLogin側の設定 でダウンロードした
onelogin.pemをアップロードします
- [保存]をクリックします
SAML連携の設定は以上です。
SAML SSOの確認
- OneLoginに対象ユーザーでログインし、設定した Cybozu を選択します
- SAML認証が完了し、サイボウズにSSOされることを確認します
SAML SSOの動作確認は以上です。
SAML SSOの無効化
- Cybozu.comに管理者権限でログインし共通管理画面をクリックします
- システム管理 > ログイン > SAML認証 > SAML認証を有効にする のチェックを外します
- 下にスクロールし、[保存]をクリックします
SAML SSOの無効化は以上です。
SAML連携の設定後にCybozu.comの他サービスへSSOする
本セクションでは、手順1~3のとおりSAML連携が完了していることを前提として、手順1~3で設定したコネクタに加えて、別のCybozu.comページへシングルサインオンするブックマークコネクタを追加する方法をご紹介します。ただし、認証自体は手順1~3で設定したコネクタが行うため、手順1〜3で設定したコネクタがないと正常にSSOできないことにご注意ください。
ここでは例として、手順1~3で設定したコネクタに加えて、OneLoginポータル画面に Garoon のコネクタを追加したいケースをご紹介します。KintoneなどのCybozu.comの他ページへのシングルサインオンを希望される方も同様の手順となります。
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Cybozu.com と検索し、SAML2.0 または、provisioning 対応のコネクタを選択します
- 任意の Display Name を入力します
例)Garron
- Garronのアイコンをアップロードします
*Cybozu.comの製品のロゴは https://cybozu.co.jp/logotypes/ より取得可能です。
- [Save]をクリックします
-
Configuration タブへ移動し、Cybozu.comの サブドメイン名 を入力します
例)URLがhttps://kesofdk8d752.cybozu.com/の場合、kesofdk8d752と入力
-
サービス からSSO先のサービス名を選択します
例)Garoon にSSOしたい場合は、Garoon をご選択ください
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
- OneLoginに対象ユーザーでログインし、設定した Garoon を選択します
- SAML認証が完了し、GaroonにSSOされることを確認します
SAML認証が正しく行われない場合
https://(サブドメイン名).cybozu.com/login?saml=off にアクセスすると、SAML認証が無効の状態になります。
上記URLはSAML認証を回避することが出来るため、安易に利用してしまいますとOneLoginによるセキュリティポリシーのコントロール、MFAの適用などが形骸化してしまうため、あくまでCybozu.com共通管理者の方だけが限られた用途において利用されるよう十分にご注意ください。
管理者の方が上記URLを利用される主な用途は次の2つとなります。
- SAML認証設定を誤ってしまいOneLoginからシングルサインオンできなくなったとき
- OneLoginのシステム障害やお客様の設定ミスによりエンドユーザーがOneLoginにログインできなくなってしまったとき
Cybozu.com 共有アカウントへのシングルサインオンについては、OneLogin側にCybozu.comと対応するログインIDでユーザーを追加することで、シングルサインオンが可能です。エンドユーザーがログインされるCybozu.comの共有アカウントがある場合には、共有アカウントについてもOneLoginへユーザー作成をお願いいたします。
*共有アカウントで安易に上述のURLを利用許可してしまいますと、Cybozu.com の仕様上どうしてもOneLoginからのシングルサインオンに限定することができなくなってしまいます。