サスケWorksでは、外部の認証サービス(IdP)と連携して、シングルサインオン(SSO)でログインできるようになります。
本記事では、Soliton OneGateを例に、SSOの設定手順をわかりやすく解説します。
※SSO機能は、ビジネスプラン以上でご利用可能となっております。
対象者: サスケWorksの管理者権限をお持ちの方
前提条件: Soliton OneGateの管理者アカウントをお持ちであること
所要時間: 約30〜60分
目次
- SSOとは?
- 設定の全体像
- STEP1: サスケWorks側でSSOを有効化する
- STEP2: OneGate側でサスケWorksを登録する
- STEP3: OneGateの情報をサスケWorksに入力する
- STEP4: 動作確認
- よくある質問(FAQ)
SSOとは?
SSO(シングルサインオン)とは、一度のログインで複数のサービスにアクセスできる仕組みです。
サスケWorksの外部認証連携を設定すると、以下のメリットがあります:
- Soliton OneGateから、ワンクリックでサスケWorksにログインできる
- パスワードを個別に管理する必要がなくなる
- 組織全体でログインを一元管理できるため、セキュリティが向上する
設定の全体像
SSOの設定は、サスケWorks(SP) と Soliton OneGate(IdP) の2つのサービス間で情報を交換して行います。
用語の説明
- SP(サービスプロバイダー): サスケWorksのこと。ログイン先のサービスです。
- IdP(アイデンティティプロバイダー): Soliton OneGateのこと。ユーザーの認証を行うサービスです。
STEP1: サスケWorks側でSSOを有効化する
まず、サスケWorksの管理画面でSSOを有効にし、OneGate側に設定する情報(SP情報)を取得します。
1. ご契約内容を開く
- サスケWorksにログインします。
- 画面右上の歯車アイコン(設定)をクリックしてメニューを開きます。
- 「ご契約内容」 をクリックします。
2. セキュリティー設定を開く
- ご契約内容の画面が開いたら、左側のメニューから 「セキュリティー設定」 をクリックします。
- セキュリティー設定の一覧画面が表示されます。
3. 設定変更画面を開く
- 画面右上の 「設定変更」 ボタンをクリックします。
- セキュリティー設定の変更フォームが表示されます。
4. 外部認証連携を有効にする
- フォームを下にスクロールし、「外部認証連携」 セクションを見つけます。
- 「有効」 を選択します。
- 「外部サービス」で 「Soliton OneGate」 を選択します。
5. SP情報を控える
「有効」を選択すると、以下の項目が自動的に表示されます。この2つの値は、次のSTEP2でOneGate側に設定する際に必要です。 コピーボタンを使って控えておいてください。
| 項目名 | 説明 | 値の例 |
|---|---|---|
| ACS (Consumer) URL | OneGate側に設定するSPの受信URL | https://{スペースID}.works.app/home/cgi/saml.cgi?action=acs |
| Audience (EntityID) | OneGate側に設定するSPの識別子 | https://{スペースID}.works.app/saml/metadata |
注意: この時点ではまだ「登録」ボタンを押さないでください。先にOneGate側の設定を行い、IdP情報を取得してから入力・登録します。
STEP2: OneGate側でサスケWorksを登録する
次に、Soliton OneGateの管理画面でサスケWorksをクラウドサービスとして登録し、利用者の割り当てとIdP情報の取得を行います。
OneGateのSTEP2は、以下の6つの手順で構成されています。
1. OneGate管理画面にアクセスする
2. クラウドサービスを新規登録する
3. 連携設定を行う
4. 利用者を登録してアプリを割り当てる
5. 同期を実行する
6. IdP情報を取得する
1. OneGate管理画面にアクセスする
OneGate管理画面へは、Soliton Cloud Service Portal(SCSP)経由でアクセスします。
- Soliton Cloud Service Portal(
https://service-portal.soliton-ods.jp)にアクセスし、ログインします。 - ダッシュボードの「サービス一覧」セクションに表示されている 「Soliton OneGate」 の 「管理ページ」 リンクをクリックします。
- OneGate管理画面(ダッシュボード)が表示されます。
直接アクセスについて
OneGate管理画面の「システム設定」→「管理者設定」で管理者パスワードを設定済みの場合は、
https://{テナントコード}.ids.soliton-ods.jp/icon/seap/loginから直接アクセスすることもできます。
2. クラウドサービスを新規登録する
サスケWorksをOneGateのクラウドサービスとして登録します。
- 上部メニューの 「クラウド設定」 → 「クラウドサービス設定」 をクリックします。
- クラウドサービス設定の一覧が表示されます。左上の 「登録」 ボタンをクリックします。
- 「クラウドサービス登録」ダイアログが表示されます。以下の項目を入力します。
| 項目名 | 入力する値 |
|---|---|
| クラウドサービス名 |
サスケWorks(任意の分かりやすい名前) |
| SAML設定 | 「SAMLを使用する」にチェック(デフォルトでON) |
| Entity ID | STEP1で控えた 「Audience (EntityID)」 の値 |
| 応答URL (Assertion Consumer Service URL) | STEP1で控えた 「ACS (Consumer) URL」 の値 |
| NameID Format |
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress(デフォルトのまま) |
- 「保存」 をクリックします。
3. 連携設定を行う
登録したサスケWorksの連携設定(IdP証明書・NameIDマッピング)を行います。
- クラウドサービス設定の一覧から、先ほど登録した 「サスケWorks」 の行にある 「サスケWorks」 リンクをクリックします。
- 「連携設定」ダイアログが表示されます。
- 以下の項目を設定します。
| 項目名 | 設定値 |
|---|---|
| SSO | 「SSO先として利用する」(デフォルト) |
| IdP証明書 | 右側のアイコンをクリックし、「IdP Certificate」を選択 |
| 認証タイプ | 「SAML」(デフォルト) |
| ユーザー名※ |
メールアドレスが登録されているフィールドを選択 (例: 「メールアドレス」「SSO User 1」〜「SSO User 5」 等)OneGateの利用者情報において、サスケWorksのアカウントと同じメールアドレスが入っているフィールドを指定します |
- 「保存」 をクリックします。
※ユーザー名について
「ユーザー名」はSAML ResponseのNameIDに送信される値を決定します。ここで選んだフィールドの値がサスケWorksに送られ、アカウント照合に使われるため、サスケWorksのメールアドレスと一致する値が入っているフィールドを選択してください。
本記事の以降の記載について: 本記事では便宜上「SSO User 〇」と表記していますが、これはこの手順4-3で選択したフィールド名に読み替えてください。例えば「SSO User 1」を選んだ場合は「SSO User 1」、「メールアドレス」を選んだ場合は「メールアドレス」欄がそれに該当します。
4. 利用者を登録してアプリを割り当てる
SSOでログインするユーザーをOneGateに登録し、サスケWorksアプリを割り当てます。
- 上部メニューの 「利用者管理」 → 「利用者一覧」 をクリックします。
- 「登録」 ボタンをクリックします。
- 「利用者登録」ダイアログが表示されます。以下の項目を入力します。
| 項目名 | 入力する値 |
|---|---|
| ログイン名 | ユーザーのメールアドレス(例: user@example.com) |
| 姓 | ユーザーの姓 |
| メールアドレス | ユーザーのメールアドレス |
| アプリケーションロール | 「+」ボタンをクリックし、「サスケWorks」 にチェックを入れてOK |
|
SSO User 〇 (※4-3で選択したフィールドに読み替え) |
サスケWorksに登録されているメールアドレス (完全に一致させてください) |
| パスワード | OneGateログイン用のパスワード |
| パスワード(確認入力) | 同じパスワードを再入力 |
- 「保存」 をクリックします。
重要: メールアドレスの一致について
SSO User 〇 欄(4-3で選択したフィールド)に入力するメールアドレスは、サスケWorksのアカウントに設定されているメールアドレスと完全に一致している必要があります。一致しない場合、SSOログイン時にエラーとなります。
既にOneGateに登録済みのユーザーの場合も、SSO User 〇 欄にサスケWorksのメールアドレスが入っているかを確認してください。
複数ユーザーの一括登録
複数のユーザーを登録する場合は、「インポート」機能を使ってCSVファイルから一括登録することもできます。
5. 同期を実行する
利用者を登録した後、同期処理を実行してユーザーを有効化する必要があります。
- 利用者一覧画面で、登録したユーザーの左側にあるチェックボックスをオンにします。
- 「強制同期」 ボタンをクリックし、確認ダイアログで 「はい」 をクリックします。
- 上部メニューの 「同期スケジュール設定」 → 「同期スケジュール設定」 をクリックします。
- 「差分同期スケジュール」 の行にある 「即時実行」 ボタンをクリックします。
- 確認ダイアログで 「はい」 をクリックします。
- 「同期が開始されました。」というメッセージが表示されます。
- 利用者一覧に戻り、対象ユーザーの「同期」欄が 「同期済み」 に変わっていることを確認します。
同期が「適用前」のままの場合
「強制同期」はユーザーを同期対象にマークするだけで、実際の同期は「差分同期スケジュール」の即時実行で行われます。「同期済み」にならない場合は、手順4〜5を再度実行してください。
6. IdP情報を取得する
サスケWorksに入力するためのOneGateのIdP情報を取得します。
- 上部メニューの 「クラウド設定」 → 「共通設定」 をクリックします。
- 「SAMLメタデータ」セクションに、以下の情報が表示されます。この値をコピーして控えてください。
| OneGate側の表示名 | サスケWorks側の入力項目 | 値の例 |
|---|---|---|
| Entity ID | IdP Entity ID | https://{テナントコード}.ids.soliton-ods.jp/idp/sso |
| SSO認証URL | IdP SSO URL | https://{テナントコード}.ids.soliton-ods.jp/idp/sso |
- 同じ画面の「IdP証明書」セクションにある、証明書のダウンロードボタン(↓アイコン)をクリックして、IdP証明書ファイル(.cer) をダウンロードします。
- ダウンロードしたファイルをテキストエディタで開き、
-----BEGIN CERTIFICATE-----から-----END CERTIFICATE-----までの内容をすべてコピーします。
IdP証明書について
証明書ファイルはPEM形式(.cer)でダウンロードされます。テキストエディタ(メモ帳など)で開くと、
-----BEGIN CERTIFICATE-----で始まり-----END CERTIFICATE-----で終わるテキストが表示されます。この内容をすべてコピーしてください。
STEP3: OneGateの情報をサスケWorksに入力する
OneGateから取得した情報を、サスケWorksのSSO設定フォームに入力します。
1. 設定フォームに戻る
STEP1で開いたサスケWorksのセキュリティー設定変更画面に戻ります。
(画面を閉じてしまった場合は、STEP1の手順1〜4を再度行ってください。)
2. IdP情報を入力する
以下の3つの項目に、STEP2で取得したOneGateの情報を入力します。
| サスケWorks側の項目名 | 入力する値 |
|---|---|
| IdP Entity ID | OneGateの共通設定で取得した「Entity ID」 |
| IdP SSO URL | OneGateの共通設定で取得した「SSO認証URL」 |
| X.509 Certificate | OneGateからダウンロードした証明書ファイルの内容全文 |
X.509 Certificateについて:
-----BEGIN CERTIFICATE-----から-----END CERTIFICATE-----まで、改行を含めてすべて貼り付けてください。
3. 設定を登録する
- すべての項目が入力されていることを確認します。
- 画面下部の 「登録」 ボタンをクリックします。
- 確認メッセージが表示されたら 「OK」 をクリックします。
- 「セキュリティー設定の登録が完了しました。」というメッセージが表示されれば成功です。
4. 設定完了を確認する
登録が完了すると、セキュリティー設定の一覧画面に戻ります。
「外部認証連携」の欄が 「有効(Soliton OneGate)」 と表示されていれば設定完了です。
STEP4: 動作確認
設定が正しく行われたか、実際にSSOログインを試してみましょう。
1. サスケWorksのログイン画面を確認する
- サスケWorksからログアウトします。
- 画面右上のユーザーアイコンをクリック → 「アカウント設定」 → 「ログアウト」 ボタン
- ログイン画面が表示されます。
- 通常のログインフォームの下に、「Soliton OneGateでログイン」 ボタンが表示されていることを確認します。
2. SSOログインをテストする
- 「Soliton OneGateでログイン」 ボタンをクリックします。
- Soliton OneGateのログイン画面にリダイレクトされます。
- OneGateに登録したユーザー情報(ログイン名・パスワード)でログインします。
- 認証が成功すると、自動的にサスケWorksのトップ画面が表示されます。
トップ画面が表示されれば、SSO設定は完了です。
よくある質問(FAQ)
Q. SSOを有効にすると、通常のログインID・パスワードでのログインはできなくなりますか?
いいえ、引き続き利用可能です。 SSOを有効にしても、従来のログインID・パスワードによるログインは引き続き利用できます。ログイン画面には両方の方法が表示されます。
ただし、管理者がSSO設定画面で「既存ログイン機能」を 「無効」 に設定した場合、ID・パスワードでのログインフォームは非表示になり、SSOのみでのログインとなります。
Q. SSOログイン時にエラーが表示されます。
以下の点を確認してください:
- メールアドレスの一致: OneGateの利用者情報の「SSO User 1」に設定したメールアドレスと、サスケWorksのアカウントに設定されているメールアドレスが完全に一致しているか確認してください。
- IdP情報の入力ミス: IdP Entity ID、IdP SSO URL、X.509 Certificateが正しくコピーされているか確認してください。
-
証明書の形式: X.509 Certificateは、
-----BEGIN CERTIFICATE-----から-----END CERTIFICATE-----まですべてを含めて貼り付ける必要があります。 - 利用者の同期: OneGateの利用者一覧で対象ユーザーの「同期」欄が「同期済み」になっているか確認してください。「適用前」や「同期待ち」の場合は、差分同期スケジュールの「即時実行」を実行してください。
- アプリの割り当て: OneGateの利用者登録で「アプリケーションロール」にサスケWorksが割り当てられているか確認してください。
- アカウントロック: 何度もログインに失敗するとアカウントがロックされることがあります。OneGateの利用者設定からパスワードを再設定してください。
Q. OneGateの管理画面に直接ログインできません。
OneGate管理画面への直接ログイン(https://{テナントコード}.ids.soliton-ods.jp/icon/seap/login)は、管理者パスワードを設定した後に利用可能になります。
初回は必ず Soliton Cloud Service Portal(SCSP)経由 でアクセスし、「システム設定」→「管理者設定」から管理者のパスワードを設定してください。
Q. SSOを無効にしたい場合はどうすればよいですか?
- 「ご契約内容」→「セキュリティー設定」→「設定変更」を開きます。
- 「外部認証連携」で 「無効」 を選択します。
- 「登録」 をクリックします。
注意: SSOを無効にすると、ログイン画面のSSOボタンは表示されなくなります。以降は通常のログインID・パスワードでログインしてください。
Q. 利用者を追加するたびに同期が必要ですか?
はい、必要です。 OneGateでは利用者を登録・変更した後、同期処理を実行しないとユーザー情報が反映されません。利用者の登録・変更後は以下の手順で同期してください。
- 利用者一覧で対象ユーザーにチェックを入れる
- 「強制同期」 をクリック
- 「同期スケジュール設定」 → 「差分同期スケジュール」 の 「即時実行」 をクリック
定期的に自動同期したい場合は、「差分同期スケジュール」を「有効」に設定することで、毎日自動的に同期が実行されます。
Q. 複数のアカウントで同じメールアドレスを使用している場合はどうなりますか?
同じメールアドレスを設定したアカウントが複数存在する場合、SSOログインが正しく動作しない可能性があります。SSO設定の前に、メールアドレスの重複を解消してください。
Q. 管理者権限がないアカウントでもSSO設定を変更できますか?
いいえ、できません。 SSO設定の変更は、「ご契約内容」画面にアクセスできる管理者権限を持つアカウントでのみ行えます。
ご不明な点がございましたら、サポートまでお問い合わせください。