サスケWorksでは、外部の認証サービス(IdP)と連携して、シングルサインオン(SSO)でログインできるようになります。
本記事では、OneLoginの設定手順を解説します。
※SSO機能は、ビジネスプラン以上でご利用可能となっております。
対象者: サスケWorksの管理者権限をお持ちの方
前提条件: OneLoginの管理者アカウントをお持ちであること
所要時間: 約15〜30分
目次
- SSOとは?
- 設定の全体像
- STEP1: サスケWorks側でSSOを有効化する
- STEP2: OneLogin側でサスケWorksアプリを追加する
- STEP3: OneLoginの情報をサスケWorksに入力する
- STEP4: 動作確認
- よくある質問(FAQ)
SSOとは?
SSO(シングルサインオン)とは、一度のログインで複数のサービスにアクセスできる仕組みです。
サスケWorksの外部認証連携を設定すると、以下のメリットがあります:
- OneLoginなどの認証サービスから、ワンクリックでサスケWorksにログインできる
- パスワードを個別に管理する必要がなくなる
- 組織全体でログインを一元管理できるため、セキュリティが向上する
設定の全体像
SSOの設定は、サスケWorks(SP) と OneLogin(IdP) の2つのサービス間で情報を交換して行います。
用語の説明
- SP(サービスプロバイダー): サスケWorksのこと。ログイン先のサービスです。
- IdP(アイデンティティプロバイダー): OneLoginのこと。ユーザーの認証を行うサービスです。
STEP1: サスケWorks側でSSOを有効化する
まず、サスケWorksの管理画面でSSOを有効にし、OneLogin側に設定する情報(SP情報)を取得します。
1. 「ご契約内容」を開く
- サスケWorksにログインします。
- 画面右上のユーザーアイコンをクリックしてメニューを開きます。
- 「ご契約内容」 をクリックします。
2. セキュリティー設定を開く
- ご契約内容の画面が開いたら、左側のメニューから 「セキュリティー設定」 をクリックします。
- セキュリティー設定の一覧画面が表示されます。
3. 設定変更画面を開く
- 画面右上の 「設定変更」 ボタンをクリックします。
- セキュリティー設定の変更フォームが表示されます。
4. 外部認証連携を有効にする
- フォームを下にスクロールし、「外部認証連携」 セクションを見つけます。
- 「有効」 を選択します。
- 「外部サービス」で 「OneLogin」 が選択されていることを確認します。
5. SP情報を控える
「有効」を選択すると、以下の項目が自動的に表示されます。この2つの値は、次のSTEP2でOneLogin側に設定する際に必要です。 コピーして控えておいてください。
| 項目名 | 説明 | 値の例 |
|---|---|---|
| ACS (Consumer) URL | OneLogin側に設定するSPの受信URL | https://{スペースID}.works.app/home/cgi/saml.cgi?action=acs |
| Audience (EntityID) | OneLogin側に設定するSPの識別子 | https://{スペースID}.works.app/saml/metadata |
注意: この時点ではまだ「登録」ボタンを押さないでください。先にOneLogin側の設定を行い、IdP情報を取得してから入力・登録します。
STEP2: OneLogin側でサスケWorksアプリを追加する
次に、OneLoginの管理画面でサスケWorksをアプリとして追加し、サスケWorksに入力するための情報(IdP情報)を取得します。
1. OneLoginにログインする
- OneLoginの管理画面(
https://{お客様ドメイン}.onelogin.com)にアクセスします。 - 管理者アカウントでログインします。
2. 新しいアプリを追加する
- 上部メニューの 「Applications」 をクリックします。
- 右上の 「Add App」 ボタンをクリックします。
- 検索欄に 「SAML Custom Connector」 と入力します。
- 検索結果に表示された 「SAML Custom Connector (Advanced)」 をクリックします。
3. アプリの基本情報を設定する
-
「Display Name」 に分かりやすい名前を入力します(例:
サスケWorks SSO)。 - 「Visible in portal」 がONになっていることを確認します。
- 「Save」 をクリックします。
4. SP情報(サスケWorksの情報)を設定する
- 左メニューの 「Configuration」 をクリックします。
- 以下の項目に、STEP1で控えたサスケWorksのSP情報を入力します。
| OneLogin側の項目名 | 入力する値 |
|---|---|
| Audience (EntityID) | STEP1で控えた「Audience (EntityID)」の値 |
| Recipient | STEP1で控えた「ACS (Consumer) URL」の値 |
| ACS (Consumer) URL Validator | ACS URLを検証するための正規表現(下記参照) |
| ACS (Consumer) URL | STEP1で控えた「ACS (Consumer) URL」の値 |
- 「Save」 をクリックします。
ACS (Consumer) URL Validatorについて
この項目はACS URLを検証するための正規表現を入力する欄です。 本来はお客様のACS URLに合わせた正規表現を設定しますが、設定が難しい場合は以下の値をそのままコピーして貼り付けてください。
^https://.*$
5. IdP情報を取得する
- 左メニューの 「SSO」 をクリックします。
- 以下の3つの値を控えます。これらはSTEP3でサスケWorksに入力する値です。
| OneLogin側の表示名 | サスケWorks側の入力項目 | 説明 |
|---|---|---|
| Issuer URL | Issuer URL | IdPの識別子 |
| SAML 2.0 Endpoint (HTTP) | SAML 2.0 Endpoint | ログイン時のリダイレクト先URL |
| X.509 Certificate | X.509 Certificate | SAML応答の署名検証に使う証明書 |
6. X.509 Certificateを取得する
- SSO画面の 「X.509 Certificate」 欄にある 「View Details」 リンクをクリックします。
- 証明書の詳細画面が表示されます。
-
「X.509 Certificate」 のテキスト欄に表示されている内容(
----BEGIN CERTIFICATE-----から----END CERTIFICATE-----まで)をすべてコピーします。
7. ユーザーをアプリに割り当てる
SSOでログインするユーザーを、作成したアプリに割り当てます。
- 左メニューの 「Users」 をクリックします。
- ユーザー一覧が表示されるので、SSOでログインさせたいユーザーにチェックを入れます。
- 「Save」 をクリックします。
重要: OneLoginに登録するユーザーのメールアドレスは、サスケWorksのアカウントに設定されているメールアドレスと完全に一致している必要があります。メールアドレスが一致しない場合、SSOログインに失敗します。
STEP3: OneLoginの情報をサスケWorksに入力する
OneLoginから取得した情報を、サスケWorksのSSO設定フォームに入力します。
1. 設定フォームに戻る
STEP1で開いたサスケWorksのセキュリティー設定変更画面に戻ります。 (画面を閉じてしまった場合は、STEP1の手順3-1〜3-4を再度行ってください。)
2. IdP情報を入力する
以下の3つの項目に、STEP2で取得したOneLoginの情報を入力します。
| サスケWorks側の項目名 | 入力する値 |
|---|---|
| Issuer URL | OneLoginのSSO画面で取得した「Issuer URL」 |
| SAML 2.0 Endpoint | OneLoginのSSO画面で取得した「SAML 2.0 Endpoint (HTTP)」 |
| X.509 Certificate | OneLoginの証明書画面でコピーした証明書テキスト全文 |
X.509 Certificateについて:
-----BEGIN CERTIFICATE-----から-----END CERTIFICATE-----まで、改行を含めてすべて貼り付けてください。
3. 設定を登録する
- すべての項目が入力されていることを確認します。
- 画面下部の 「登録」 ボタンをクリックします。
- 「セキュリティー設定の登録が完了しました。」というメッセージが表示されれば成功です。
4. 設定完了を確認する
登録が完了すると、セキュリティー設定の一覧画面に戻ります。 「外部認証連携」の欄が 「有効 OneLogin」 と表示されていれば設定完了です。
STEP4: 動作確認
設定が正しく行われたか、実際にSSOログインを試してみましょう。
1. サスケWorksのログイン画面を確認する
- サスケWorksからログアウトします。
- 画面右上のユーザーアイコンをクリック → 「アカウント設定」 → 「ログアウト」 ボタン
- ログイン画面が表示されます。
- 通常のログインフォームの下に、「OneLoginでログイン」 ボタンが表示されていることを確認します。
2. SSOログインをテストする
- 「OneLoginでログイン」 ボタンをクリックします。
- OneLoginのログイン画面にリダイレクトされます(既にOneLoginにログイン済みの場合はスキップされます)。
- OneLoginに登録済みのユーザー情報でログインします。
- 認証が成功すると、自動的にサスケWorksのトップ画面が表示されます。
トップ画面が表示されれば、SSO設定は完了です。
よくある質問(FAQ)
Q. SSOを有効にすると、通常のログインID・パスワードでのログインはできなくなりますか?
いいえ、引き続き利用可能です。 SSOを有効にしても、従来のログインID・パスワードによるログインは引き続き利用できます。ログイン画面には両方の方法が表示されます。
Q. SSOログイン時にエラーが表示されます。
以下の点を確認してください:
- メールアドレスの一致: OneLoginに登録されているユーザーのメールアドレスと、サスケWorksのアカウントに設定されているメールアドレスが完全に一致しているか確認してください。
- IdP情報の入力ミス: Issuer URL、SAML 2.0 Endpoint、X.509 Certificateが正しくコピーされているか確認してください。特にURLの末尾のスラッシュ(/)の有無に注意してください。
-
証明書の形式: X.509 Certificateは、
-----BEGIN CERTIFICATE-----から-----END CERTIFICATE-----まですべてを含めて貼り付ける必要があります。 - ユーザーの割り当て: OneLogin側でサスケWorksアプリにユーザーが割り当てられているか確認してください。
Q. SSOを無効にしたい場合はどうすればよいですか?
- 「ご契約内容」→「セキュリティー設定」→「設定変更」を開きます。
- 「外部認証連携」で 「無効」 を選択します。
- 「登録」 をクリックします。
注意: SSOを無効にすると、ログイン画面のSSOボタンは表示されなくなります。以降は通常のログインID・パスワードでログインしてください。
Q. 複数のアカウントで同じメールアドレスを使用している場合はどうなりますか?
同じメールアドレスを設定したアカウントが複数存在する場合、SSOログインが正しく動作しない可能性があります。SSO設定の前に、メールアドレスの重複を解消してください。
Q. 管理者権限がないアカウントでもSSO設定を変更できますか?
いいえ、できません。 SSO設定の変更は、「ご契約内容」画面にアクセスできる管理者権限を持つアカウントでのみ行えます。
ご不明な点がございましたら、サポートまでお問い合わせください。