SeciossLink クイックスタートガイド GoogleApps とのシングルサインオン設定編 2015 年 3 月 1 株式会社セシオス 目次 1. 概要 ..................................................................................................................................3 2. 環境 ..................................................................................................................................3 3. GoogleApps の設定 ..........................................................................................................4 4. 5. 6. 3.1 Google Developers Console で API の有効化と OAuth 用のキーを生成 ...............4 3.2 GoogleApps 管理コンソールから OAuth クライアントアクセスの設定 ...............6 3.3 GoogleApps 管理コンソールからシングルサインオンの設定 ................................7 SeciossLink の設定..........................................................................................................9 4.1 GoogleApps とのシングルサインオン設定 ..............................................................9 4.2 認証ルールの作成 .................................................................................................. 10 動作確認方法 .................................................................................................................. 11 5.1. GoogleApps のログイン URL へアクセスする方法............................................... 11 5.2. SeciossLink の SSO ポータル画面を利用する方法 ............................................... 11 参考 ............................................................................................................................... 12 6.1. SeciossLink の検証用テナントについて ............................................................... 12 6.2. 問い合わせについて............................................................................................... 12 2 1. 概要 本ドキュメントは、弊社 SaaS 型「認証・ID 統合サービス」SeciossLink に GoogleApps を接続する手順を記載した資料です。 全ての設定が完了するとシングルサインオン、及び ID の同期(自動プロビジョニング) が可能となり、SeciossLink 側でアカウントの管理が可能となります。 なお、SeciossLink は、GoogleApps に対してグループや組織の同期も可能ですが、本ド キュメントでの説明は割愛しています(別途管理者ガイドを参照してください) 。 2. 環境 本ドキュメントは図のような構成を想定し、設定を行います。なお、GoogleApps、 SeciossLink は導入済みであることを前提とします。 サービスの利用 GoogleApps ユーザ 認証 アカウントの作成・変更・削除 シングルサインオン設定 アカウントの作成 SeciossLink 管理者 管理者は SeciossLink の管理画面から GoogleApps とのシングルサインオン設定、及び、 アカウントの作成を行います。一方、ユーザは GoogleApps へ接続を行うと、SeciossLink へリダイレクトされ、 (未認証の場合)認証を求められる流れとなります。 今回利用する認証方式は SeciossLink のデフォルトである「ID/パスワード認証」ですが、SeciossLink には証明書 認証やワンタイムパスワード認証、IP アドレスによるアクセス制限、スマートデバイスからのアクセス制限など、 様々な認証・アクセス制御機能が備わっています。 なお、GoogleApps 側のアカウント同期用の API が 2015 年 4 月から変更になるため、旧 API(Provisioning API)ではなく、新 API(Directory API)を利用する方法を記載してい ます。 (※SeciossLink は両方の API に対応しており、選択することにより使い分けること ができるようになっています。 ) 3 3. GoogleApps の設定 SeciossLink を利用し、認証やアカウント同期を行うため、GoogleApps の API 有効化や OAuth 認証用キーの生成、シングルサインオンの設定を行います。 手順の中で「Google Developers Console」と「GoogleApps 管理コンソール」の 2 つのコ ンソールを利用しますが、どちらも GoogleApps の管理者アカウントでログインしてくだ さい。 3.1 Google Developers Console で API の有効化と OAuth 用のキーを生成 SeciossLink のアカウント同期機能は GoogleApps の API を利用します。GoogleApps の API を利用するためには、API の有効化設定、及び、OAuth 用のキーを生成する必要があ ります。以下のサイトにアクセスし、取得済みの GoogleApps 管理者アカウントでログイン して操作を開始してください。 ① Google Developers Console:https://console.developers.google.com/ デフォルトは英語表示となっていますが、ログ イン後、 「Account Setting」メニューより日本 語表示に切り替えることができます。本資料の 画面ショットはデフォルトの英語表示のまま となっています。また、画面は 2014 年 9 月時 点のものですのでご了承ください。 ② 新規「Project」の作成 初めて「Google Developers Console」にアクセスした場合には「Project」が空(存在 しない)ため、新規に「Project」を作成してください。 「PROJECT NAME」は任意の 名前で構いません。 「Project」が存在しない場合には「Create Project」ボタンで新規作成。 「Project」を作成すると一覧に表示される。 4 ③ 作成した「Project」をクリックし、左サイドメニューにある「APIs&auth」内の「APIs」 を選択。 「Admin SDK」の status を「ON」に設定してください。 「APIs&auth」-「APIs」 「Admin SDK」がデフォル トでは「OFF」になってい るため、 「ON」に変更。 ④ 作成した「Project」をクリックし、左サイドメニューにある「APIs&auth」内の 「Credentials」を選択。OAuth の「Create new Client ID」をクリックしてください。 「OAuth」-「Create New Client ID」をクリック 「APIs&auth」-「Credentials」 ⑤ 表示画面の「Service account」を選択し、「Create Client ID」ボタンをクリックして ください。 「Service account」を選択 「Create Client ID」をクリック 5 ⑥ 表示された「CLIENT ID」 、 「EMAIL ADDRESS」を控えてください。また、 「P12 key」 を利用するため「Generate new P12 key」をクリックしファイルを保存してください。 ************************* ************************* ************************* 3.2 GoogleApps 管理コンソールから OAuth クライアントアクセスの設定 GoogleApps の管理コンソールへログイン、 「セキュリティ」-「詳細設定」から「OAuth ク ライアントアクセスを管理」をクリックしてください。 表示された「クライアント ID」 、 「1 つ以上の API の範囲」に値を入力してください。 ■クライアント ID: 「Google Developers Console」で取得した「CLIENT ID」を入力 ■1 つ以上の API の範囲:許可するサービスの URL を入力 ・https://www.googleapis.com/auth/admin.directory.group ・https://www.googleapis.com/auth/admin.directory.orgunit ・https://www.googleapis.com/auth/admin.directory.user ・https://apps-apis.google.com/a/feeds/emailsettings/2.0/ ・https://www.google.com/m8/feeds/ 6 ※テキストボックスにはカンマ区切り 1 行で入力可能 3.3 GoogleApps 管理コンソールからシングルサインオンの設定 シングルサイン(SSO)を有効化するための設定を行います。GoogleApps の管理コンソ ールへログインし、 「セキュリティ」-「詳細設定」から「シングルサインオン(SSO)の設定」 をクリックしてください。 表示された「シングルサインオンを有効にする」、 「ドメイン固有の発行元を使用」項目に チェックを入れ、各種 URL に値を入力してください。 ■ログインページの URL ・https://slink.secioss.com/saml/saml2/idp/SSOService.php?tenant=test.com ■ログアウトページ URL 7 ・https://slink.secioss.com/saml/saml2/idp/initSLO.php?RelayState=/saml/logout.php&logout=googleapps ■パスワード変更 URL ・https://slink.secioss.com/user/password.php 「証明書の確認」には SeciossLink の公開鍵をアップロードしてください。SeciossLink の公開鍵は以下の手順でダウンロードできます。 1. SeciossLink 管理者画面から上部メニューの「システム」をクリック 2. 左ペインに表示されている「IdP 証明書」をクリック 3. 表示画面に右端の「ダウンロード」アイコンから公開鍵を取得 設定後、 「変更を保存」ボタンをクリックしてください。 「slink.secioss.com」は既に SeciossLink サービスにご契約いただいているお客様向けのドメイン(本番サービスド メイン)です。弊社 HP から申し込みいただいた検証環境をご利用の場合は「slinkdev.secioss.net」に置き換えて設 定を行ってください。また、 「ログインページ URL」の“tenant=test.com” は、ご利用のテナント ID に変更(赤字 部分を変更)してください。 8 4. SeciossLink の設定 SeciossLink 側の設定は非常に簡単です。GoogleApps とのシングルサインオン設定、及び 認証ルール作成を管理者サイトから行います。 4.1 GoogleApps とのシングルサインオン設定 SeciossLink の管理者サイトへログインし、メニューの「シングルサインオン」から左ペ インの「GoogleApps」をクリック、設定を行います。 ■GoogleApps プライマリドメイン:取得している GoogleApps のドメインを入力 ■ID 同期: 「有効」にチェック ■GoogleApps 管理者アカウント名:管理者アカウントを入力 ■API の種類: 「Directory API(※)」をチェック ■OAuth API メールアドレス: 「Google Developers Console」で取得した値を入力 ■OAuth API 秘密鍵: 「Google Developers Console」で取得した「P12 key」を指定 ※GoogleApps の「Provisioning API」は 2015 年 4 月に廃止予定とのことです。 9 シングルサインオンの設定完了後、ユーザを作成してください。設定項目の「メールアド レス」が GoogleApps のアカウントに該 当します。また、シングルサインオンの 設定が正しく完了していると「許可する サービス」に「GoogleApps」が表示され ますので、チェックをしてください。 以上の設定を行うと、SeciossLink のア カウントが GoogleApps へ同期されます (リアルタイム同期) 。 4.2 認証ルールの作成 次にメニューの「認証」から認証ルールを作成します。この認証ルールはユーザが GoogleApps からリダイレクトされ、SeciossLink がログイン画面を表示する時の認証ルー ルとなります。 「ID」項目に任意の名前を 入力(英数字)し、「認証方 式」に表示されている一覧 から、「ID/パスワード認 証」を選択し、「追加 AND」をクリックしてくだ さい。 更に、「クライアン ト」から「ブラウザ PC」 にチェックし、「登録」を行 ってください。 ※スマートフォンからのアクセスを行う場合には「ブラウザ スマートフォン(タブレッ ト) 」にチェックを入れてください。 10 5. 動作確認方法 SeciossLink と連携している GoogleApps へログインを行う方法は 2 つあります。 5.1. GoogleApps のログイン URL へアクセスする方法 1 つはユーザが GoogleApps を利用するために、Service Provider 側(GoogleApps)へ 初回アクセスを試みる方法です。例えば GoogleApps のメールサービスへのアクセスは以 下の URL となっています。 ・https://mail.google.com/a/ドメイン名 該当ドメインのシングルサインオンが有効になっている場合には、指定された URL へリ ダイレクトされます。今回の構成では SeciossLink をリダイレクト先に設定しています。 ①初回アクセス GoogleApps ユーザ ⑥認証結果レスポンス ④ユーザ ID/Pass 入力 ③ログイン画面表示 ②リダイレクト SeciossLink ⑤認証 未認証の場合には、SeciossLink がログイン画面を表示、認証を行い、結果のレスポンス をサービス側へ返します。認証が OK であれば、サービスの利用が開始されます。 (※サー ビスからのリダイレクトやサービス側へのレスポンスは厳密にはユーザのブラウザを経由 して遷移します。 ) 5.2. SeciossLink の SSO ポータル画面を利用する方法 2 つめはユーザが GoogleApps を利用するために、ID Provider 側(SeciossLink)へ初回 ログインを行い、SSO ポータル画面から遷移する方法です。 SeciossLink ではシングルサインオンサービスを一覧表示する「SSO ポータル画面」が用 意されています。 ・SSO ポータル URL:https://slink.secioss.com/user/ (※ドメインは適宜変更) 11 表示された GoogleApps 関連サービスのアイコンをクリックすると、既に IdP で認証済 ですので、そのまま(ユーザ ID/パスワードの入力をすることなく)GoogleApps サービス の利用が開始できます。 管理者からのメッセージが表 示されます。 許可されているサービスがア イコンで一覧表示されます。 また、「パスワード変更」アイ コンなど、共通機能も表示さ れます。 6. 参考 6.1. SeciossLink の検証用テナントについて SeciossLink の検証用テナントは弊社 HP から申し込みすることができます。 【SeciossLink 検証用テナント申し込み】 https://www.secioss.co.jp/contact2/ 6.2. 問い合わせについて 弊社 HP の窓口からお問い合わせください。 【問い合わせ】 https://www.secioss.co.jp/contact/ また、 「Google グループ」を利用した「SeciossLink ユーザコミュニティグループ」でも 受け付けておりますのでご活用ください。 12 【SeciossLink ユーザコミュニティグループ】 https://groups.google.com/a/secioss.co.jp/d/forum/slink-users 問い合わせ用の「Google グループ」は一般公開されているため、情報公開できない場合 には弊社 HP から問い合わせてください。 以上 13
© Copyright 2024 ExpyDoc
