メインコンテンツへスキップ

受付時間 平日9:00~17:30

HENNGE One:外部認証連携の設定

サポート担当
  • 更新

サスケWorksでは、外部の認証サービス(IdP)と連携して、シングルサインオン(SSO)でログインできるようになります。
本記事では、HENNGE Oneを例に、SSOの設定手順をわかりやすく解説します。

※SSO機能は、ビジネスプラン以上でご利用可能となっております。

対象者: サスケWorksの管理者権限をお持ちの方
前提条件: HENNGE One Access Controlの管理者アカウントをお持ちであること
所要時間: 約30〜60分

目次
SSOとは?

SSO(シングルサインオン)とは、一度のログインで複数のサービスにアクセスできる仕組みです。
サスケWorksの外部認証連携を設定すると、以下のメリットがあります:

  • HENNGE Oneから、ワンクリックでサスケWorksにログインできる
  • パスワードを個別に管理する必要がなくなる
  • 組織全体でログインを一元管理できるため、セキュリティが向上する
設定の全体像

SSOの設定は、サスケWorks(SP) と HENNGE One(IdP) の2つのサービス間で情報を交換して行います。

ai-edited-image.png

用語の説明

  • SP(サービスプロバイダー): サスケWorksのこと。ログイン先のサービスです。
  • IdP(アイデンティティプロバイダー): HENNGE One。ユーザーの認証を行うサービスです。
STEP1: サスケWorks側でSSOを有効化する

まず、サスケWorksの管理画面でSSOを有効にし、HENNGE One側に設定する情報(SP情報)を取得します。

1. 「ご契約内容」を開く

  1. サスケWorksにログインします。
  2. 画面右上の歯車アイコン(設定)をクリックしてメニューを開きます。
  3. 「ご契約内容」 をクリックします。

2. セキュリティー設定を開く

  1. ご契約内容の画面が開いたら、左側のメニューから 「セキュリティー設定」 をクリックします。
  2. セキュリティー設定の一覧画面が表示されます。

3. 設定変更画面を開く

  1. 画面右上の 「設定変更」 ボタンをクリックします。
  2. セキュリティー設定の変更フォームが表示されます。

4. 外部認証連携を有効にする

  1. フォームを下にスクロールし、「外部認証連携」 セクションを見つけます。
  2. 「有効」 を選択します。
  3. 「外部サービス」で 「HENNGE One」 を選択します。

5. SP情報を控える

「有効」を選択すると、以下の項目が自動的に表示されます。この2つの値は、次のSTEP2でHENNGE One側に設定する際に必要です。 コピーボタンを使って控えておいてください。

項目名 説明 値の例
ACS (Consumer) URL OneLogin側に設定するSPの受信URL https://{スペースID}.works.app/home/cgi/saml.cgi?action=acs
Audience (EntityID) OneLogin側に設定するSPの識別子 https://{スペースID}.works.app/saml/metadata

注意: この時点ではまだ「登録」ボタンを押さないでください。先にHENNGE One側の設定を行い、IdP情報を取得してから入力・登録します。

STEP2: HENNGE One側でサスケWorksを登録する

次に、HENNGE One Access Controlの管理画面でサスケWorksをサービスプロバイダーとして登録し、アクセスポリシーの設定とIdP情報の取得を行います。

HENNGE OneのSTEP2は、以下の4つの手順で構成されています。

1. HENNGE One管理画面にアクセスする
2. サービスプロバイダーを登録する
3. アクセスポリシーグループでSPを許可する
4. IdP情報を取得する

1. HENNGE One管理画面にアクセスする

  1. HENNGE Oneのポータル画面(https://ap.ssso.hdems.com/portal/{テナントドメイン}/login)にアクセスし、管理者アカウントでログインします。
  2. ポータル画面が表示されたら、「管理画面」 アイコンをクリックします。
  3. HENNGE One Access Control の管理画面が表示されます。

2. サービスプロバイダーを登録する

サスケWorksをSAML SSOのサービスプロバイダーとして登録します。

  1. 左メニューの 「サービスプロバイダー設定」 をクリックします。

  2. 右上の 「+ サービスプロバイダーの追加」 ボタンをクリックします。

  3. 「新しいサービスを追加する」ダイアログで 「SSOするサービスを追加する」 の 「サービスプロバイダーの追加」 ボタンをクリックします。

  4. 「SAML 手動設定」を選択します。

  5. SAML SSO設定フォームが表示されます。以下表の項目を入力します。
  6. 「保存」 をクリックします。
項目名 入力する値
サービス名 サスケWorks(任意の分かりやすい名前)
ACS URL STEP1で控えた 「ACS (Consumer) URL」 の値
SP Issuer (Audience) STEP1で控えた 「Audience (EntityID)」 の値
Name ID サスケWorksに登録されているメールアドレスと照合が取れる属性を選択(下記参照)
Name IDフォーマット email(デフォルトのまま)
署名方式 レスポンス(デフォルトのまま)

Name IDの選択について

Name IDは、HENNGE OneからサスケWorksに送信されるユーザー識別子です。サスケWorksのアカウントに設定されているメールアドレスと一致する値が送信される属性を選択してください。

選択できる属性の例:

属性 送信される値 選択の目安
Email ユーザーのメールアドレス属性 Microsoft 365 / Google Workspace連携でメールアドレスが同期されている場合に推奨
ユーザー名 ユーザー登録時に設定した「ユーザー名」 メールアドレス同期がない場合や、ユーザー名をメールアドレス形式で登録している場合
UserPrincipalName (UPN) ログインID(例: user@テナントドメイン) ログインIDがサスケWorksのメールアドレスと一致する場合

重要: どの属性を選択する場合でも、送信される値がサスケWorksのアカウントに設定されているメールアドレスと完全に一致している必要があります。一致しない場合、SSOログイン時にエラーとなります。

保存が完了すると、サービスプロバイダーの登録は完了です。IdPメタデータ(IdP Issuer・シングルサインオンURL・SAML署名証明書)はSTEP3でサスケWorksに入力する際に必要となりますが、後述の 4. IdP情報を取得する で改めて取得しますので、ここでは画面を閉じていただいて構いません。

3. アクセスポリシーグループでSPを許可する

サスケWorksへのSSOアクセスを許可するために、アクセスポリシーグループの設定が必要です。

重要: この手順を行わないと、SSOログイン時に404エラーが表示されます。

  1. 左メニューの 「アクセスポリシーグループ」 をクリックします。

  2. SSOログインするユーザーが所属するグループ(例: 「Default」)をクリックします。

  3. 編集画面を下にスクロールし、「許可するサービスプロバイダー」 セクションを見つけます。

  4. 「サスケWorks」 の行にある 「許可」 トグルを ON(青色) に切り替えます。

  5. 「変更する」 ボタンをクリックして保存します。

注意: SSOログインするユーザーが複数のグループに所属している場合は、該当するすべてのグループ でサスケWorksの許可をONにしてください。例えば、管理者が「Admin」グループに所属している場合は、「Admin」グループでもサスケWorksを許可する必要があります。

本手順はあくまで一例です。 上記は「Default」グループに対して許可を設定する例ですが、実際の運用ではお客様の環境(既存のグループ構成・ユーザー所属・運用ポリシー)に合わせて、対象のアクセスポリシーグループおよび許可対象のサービスプロバイダーを適切に設定してください。

4. IdP情報を取得する

サスケWorksに入力するためのHENNGE OneのIdP情報を取得します。

  1. 左メニューの 「サービスプロバイダー設定」 をクリックします。
  2. 先ほど登録した 「サスケWorks」 をクリックします。
  3. 右上の 「メタデータ」 をクリックすると、IdPメタデータ画面が表示されます。
  4. 以下の情報を控えてください。これらはSTEP3でサスケWorksに入力する値です。
項目名 説明 値の例
IdP Issuer IdP Entity ID https://ap.ssso.hdems.com/sso/{テナントドメイン}
シングルサインオンURL IdP SSO URL https://ap.ssso.hdems.com/portal/{テナントドメイン}/login/
SAML署名証明書 X.509 Certificate ダウンロードボタンからファイルを取得
  1. 「SAML署名証明書」 の行にある 「ダウンロード」 ボタンをクリックして、証明書ファイル(.crt)をダウンロードします。
  2. ダウンロードしたファイルをテキストエディタで開き、-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- までの内容をすべてコピーします。

IdP証明書について

証明書ファイルはPEM形式(.crt)でダウンロードされます。テキストエディタ(メモ帳など)で開くと、-----BEGIN CERTIFICATE----- で始まり -----END CERTIFICATE----- で終わるテキストが表示されます。この内容をすべてコピーしてください。

STEP3: HENNGE Oneの情報をサスケWorksに入力する

HENNGE Oneから取得した情報を、サスケWorksのSSO設定フォームに入力します。

1. 設定フォームに戻る

STEP1で開いたサスケWorksのセキュリティー設定変更画面に戻ります。
(画面を閉じてしまった場合は、STEP1の手順1〜4を再度行ってください。)

2. IdP情報を入力する

以下の3つの項目に、STEP2で取得したHENNGE Oneの情報を入力します。

サスケWorks側の項目名 入力する値
IdP Entity ID HENNGE Oneのメタデータ画面で取得した「IdP Issuer」
IdP SSO URL HENNGE Oneのメタデータ画面で取得した「シングルサインオンURL」
X.509 Certificate HENNGE Oneからダウンロードした証明書ファイルの内容全文

X.509 Certificateについて:
-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- まで、改行を含めてすべて貼り付けてください。

3. 設定を登録する

  1. すべての項目が入力されていることを確認します。
  2. 画面下部の 「登録」 ボタンをクリックします。
  3. 確認メッセージが表示されたら 「OK」 をクリックします。
  4. 「セキュリティー設定の登録が完了しました。」というメッセージが表示されれば成功です。

4. 設定完了を確認する

登録が完了すると、セキュリティー設定の一覧画面に戻ります。
「外部認証連携」の欄が 「有効(HENNGE One)」 と表示されていれば設定完了です。

STEP4: 動作確認

設定が正しく行われたか、実際にSSOログインを試してみましょう。

6-1. サスケWorksのログイン画面を確認する

  1. サスケWorksからログアウトします。
  2. 画面右上のユーザーアイコンをクリック → 「アカウント設定」 → 「ログアウト」 ボタン
  3. ログイン画面が表示されます。
  4. 通常のログインフォームの下に、「HENNGE Oneでログイン」 ボタンが表示されていることを確認します。

6-2. SSOログインをテストする

  1. 「HENNGE Oneでログイン」 ボタンをクリックします。
  2. HENNGE Oneのログイン画面にリダイレクトされます。
  3. HENNGE Oneに登録したユーザー名(メールアドレス)とパスワードでログインします。
  4. 認証が成功すると、自動的にサスケWorksのトップ画面が表示されます。

トップ画面が表示されれば、SSO設定は完了です。

よくある質問(FAQ)

Q. SSOを有効にすると、通常のログインID・パスワードでのログインはできなくなりますか?

いいえ、引き続き利用可能です。 SSOを有効にしても、従来のログインID・パスワードによるログインは引き続き利用できます。ログイン画面には両方の方法が表示されます。

ただし、管理者がSSO設定画面で「既存ログイン機能」を 「無効」 に設定した場合、ID・パスワードでのログインフォームは非表示になり、SSOのみでのログインとなります。

Q. SSOログイン時に404エラーが表示されます。

アクセスポリシーグループの設定を確認してください。 HENNGE One Access Controlの「アクセスポリシーグループ」で、SSOログインするユーザーが所属するグループにサスケWorksが「許可」されている必要があります。

  1. HENNGE One管理画面 → 「アクセスポリシーグループ」を開きます。
  2. 該当するグループ(Default、Admin等)をクリックします。
  3. 「許可するサービスプロバイダー」セクションで、サスケWorksの「許可」トグルがONになっているか確認します。
  4. OFFの場合はONに切り替えて「変更する」をクリックします。

ユーザーが複数のグループに所属している場合、すべてのグループでサスケWorksを許可する必要があります。

Q. SSOログイン時に「外部認証連携でのログインに失敗しました」と表示されます。

以下の点を確認してください:

  1. ユーザー名の一致: HENNGE Oneのユーザー名(メールアドレス)と、サスケWorksのアカウントに設定されているメールアドレスが完全に一致しているか確認してください。
  2. IdP情報の入力ミス: IdP Entity ID、IdP SSO URL、X.509 Certificateが正しくコピーされているか確認してください。
  3. 証明書の形式: X.509 Certificateは、-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- まですべてを含めて貼り付ける必要があります。
  4. Name IDの設定: HENNGE Oneのサービスプロバイダー設定で、Name IDに「ユーザー名」属性が選択されているか確認してください。

Q. HENNGE Oneのログインで「ユーザー名かパスワードが不正です」と表示されます。

  • ユーザー名: HENNGE Oneのログイン画面では、ユーザー登録時に設定した 「ユーザー名」(メールアドレス形式)でログインします。ログインID(UPN: xxx@テナントドメイン)ではありません。
  • パスワード: ユーザー登録時に設定した初期パスワードが正しいか確認してください。

Q. SSOを無効にしたい場合はどうすればよいですか?

  1. 「ご契約内容」→「セキュリティー設定」→「設定変更」を開きます。
  2. 「外部認証連携」で 「無効」 を選択します。
  3. 「登録」 をクリックします。

注意: SSOを無効にすると、ログイン画面のSSOボタンは表示されなくなります。以降は通常のログインID・パスワードでログインしてください。

Q. 複数のアカウントで同じメールアドレスを使用している場合はどうなりますか?

同じメールアドレスを設定したアカウントが複数存在する場合、SSOログインが正しく動作しない可能性があります。SSO設定の前に、メールアドレスの重複を解消してください。

Q. 管理者権限がないアカウントでもSSO設定を変更できますか?

いいえ、できません。 SSO設定の変更は、「ご契約内容」画面にアクセスできる管理者権限を持つアカウントでのみ行えます。

ご不明な点がございましたら、サポートまでお問い合わせください。