シングルサインオン設定手順(OneLogin版)
本記事ではOneLoginを利用したシングルサインオン連携方法についてご案内いたします。
ご利用にあたりVerona Cloud側の制限事項が複数ございますので、ご確認下さい。
-Verona Cloud Consoleにログイン
–[オーナー]–[オーナー編集]–[ユーザープロビジョニング]を開く
–プロビジョニングを有効に変更
–更新ボタンをクリック
–SCIMシークレットトークン発行ボタンをクリック
–SCIMシークレットトークンをコピーして保管する
最終的な画面となります
※①②はOneLoginユーザプロビジョニング設定の際に利用します。
続いては、シングルサインオン設定用の情報を控えておきます。
※③④⑤はOneLoginシングルサインオン設定の際に利用します。
-OneLoginに管理者でログイン
–Applications-Add Appをクリック
–SCIM Provisioner with SAML(SCIM v2 Enterprise,full SAML)を選択
–Display NameをVerona Clientに変更してSaveをクリック
-以下の項目をセットして保存
-
Configuration※赤文字=Verona側の情報
-SAML Audience URL:Verona Cloud Consoleの識別子(エンティティ ID)(③)
-ACS (Consumer) URL Validator:Verona Cloud Consoleの応答URL(④)
-ACS (Consumer) URL:Verona Cloud Consoleの応答URL(④)
-Single Logout URL:Verona Cloud ConsoleのログアウトURL(⑤)
-
それ以外はデフォルトです。
-SAML initiator:Service Provider
-API Status:Enable
-SCIM JSON Template:
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
],
"userName": "{$parameters.scimusername}",
"emails": [{
"value": "{$parameters.email}",
"type": "work",
"primary": true
}],
"displayName": "{$parameters.displayname}",
"phoneNumbers": [{
"value": "{$parameters.phonenumber}",
"type": "work",
"primary": true
}],
"externalId": "{$parameters.externalId}",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"department": "{$parameters.department}"
}
}
-
SCIM Bearer Token:Verona Cloud ConsoleのSCIMシークレットトークン(②)
–Parameters
-
Name:displayname
Value:
-Macro
{lastname} {firstname}
-[Include in SAML assertion]チェックON
-
Name:mail
- Value:Email
-[Include in SAML assertion]チェックON
-
Name:externalId,Value:UUID,[Include in User Provisioning]チェックON
-
Name:phonenumber,Value:Phone,[Include in User Provisioning]チェックON
-
Provisioning
–Enable provisioning:チェックON
–Create user, Delete user, Update user: チェックON
–When users are deleted in OneLogin, or the user’s app access is removed, perform the below action: Suspend or Delete
-
Suspendにした場合、アプリからユーザーの割当を解除するとVerona Cloudのユーザーは無効化される。削除する手段はない。
-
Deleteにした場合、アプリからユーザーの割当を解除するとVerona Cloudのユーザーは削除される。再割当するとVerona Cloudでは新規ユーザーが作成される(つまり割当前後で別のユーザーと認識される)※制限事項に該当
–SSOタブをクリック
–View Details
-
Download
SAML署名証明書のbase64証明書をダウンロード
–シングルサインオンを有効に変更
–Issuer識別子:OneLoginのIssuer URLを入力(⑥)
–ログインURL:OneLoginのSAML 2.0 Endpoint(HTTP)を入力
–更新をクリック(⑦)
–SAML署名証明書にOneLoginでダウンロードしたSAML署名証明書ファイルを選択
–アップロードをクリック
IDaasユーザを作成します。
–Users-Users-New User
–下記入力してSave Use
重要:UsernameはEmailと同一値を設定してください。
-
First Name
-
Last Name
-
Email
-
Username
-
Phone number
-
Users-Users-該当ユーザ-Applications-+ボタン
-Verona Clientを選択してContinueをクリック
–以下を入力してSave
-
scimusername:メールアドレス(下のSAML NameID(Subject)と同じ値)
–RolesのDefaultをクリック
–Verona ClientのPendingをクリック
-
Approveをクリック
–以下となることを確認
-
ステータスがProvisioningからProvisionedに変わること
-
Verona Cloudにユーザーが追加されること
以上でOneLoginを利用したシングルサインオンの設定は完了です。
なお、Verona Clientでのシングルサインオンに関する設定方法はユーザーズガイドを参照ください。
シングルログアウトができない
ユーザープロビジョニングでユーザーの削除は可能だが下記挙動となる
–アプリからユーザーを解除したときのアクションを無効or削除で選択できるが再割当てすると新規ユーザーになる
Verona Cloudへのグループの追加、削除は不可となるのでグループはOneLogin側で対応する※メンバーの追加は可能
–Verona CloudからVerona Cloud側で作成したグループ情報を取得してOneLogin側でユーザーにグループを割り当てる。
–上記グループ(情報)はOneLogin側で作成したグループとは完全に別物となる。
–ユーザープロビジョニングにおいてはOneLogin側で作成したグループは一切使わない。
※Verona Cloudでのグループ作成方法はVerona Cloud Console画面右上のヘルプより「ドキュメント」をダウンロードの上、ご確認ください。