ステップ1:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate 側に cybozu.com との「シングルサインオン」の設定を行います。
Gluegent Gate の管理画面にアクセスします。
左メニューにて「シングルサインオン」>「クラウドサービス」の順にクリックします。
画面右側のクラウドサービス一覧にて「登録」をクリックします。
クラウドサービス一覧の「cybozu.com」の操作アイコンをクリックします。
各項目を設定し「保存」をクリックします。
項目名 | 設定内容 |
---|---|
シングルサインオンの設定 |
「有効」のチェックをオンにします。cybozu.com のシングルサインオンを有効にします。 |
cybozu.com サブドメイン |
cybozu.com のサブドメイン( xxxx.cybozu.com の xxxx )を入力します。 |
シングルログアウト |
チェックを入れた場合、Gluegent Gate のシングルログアウトが行われた時に、cybozu.com からもログアウトします。 |
ユーザーIDの属性 |
Gluegent Gate のユーザー情報から cybozu.com のログイン名に同期する対象の属性を選択します。ユーザーID、社員番号から選択します。 Gluegent Gate のユーザーID、社員番号以外では Gluegent Gate 設定>システム>追加属性で設定した値を選択可能です |
ID同期 |
「有効」のチェックはオフにします。 チェックがオフの場合、Gluegent Gate のユーザー情報が cybozu.com に同期されません。 ご利用中の cybozu.com からユーザー情報を Gluegent Gate に移行した後にID同期を有効化します。 |
cybozu.com 管理アカウント名 |
cybozu.com の管理権限を持つユーザー名を入力します。 管理者の種類は「cybozu.com 共通管理者」を選択してください。予め用意されている Administrator は初期状態が「停止中」となっています。このユーザーを使う場合は「使用中」に変更してください。 詳しくは「cybozu.com共通管理者の設定」、「Administratorとは」を参照してください。 |
管理アカウントのパスワード |
上記ユーザーのパスワードを入力します。 |
利用するサービス |
利用する cybozu.com のサービスをチェックします。 |
パスワード同期 |
ID 同期時の cybozu.com 側のパスワードの設定ルールです。 |
組織同期 |
同期対象の組織を指定します。特に指定がない時は「全て」を選択します。 |
同期するユーザーの属性 |
表示名:cybozu.com の表示名に同期する対象の項目を選択します。 カスタマイズ項目:Gluegent Gate 設定>システム>追加属性で作成した属性値を cybozu.com 側で作成したプロフィール項目に同期します。 |
「保存」をクリックした時に「 IPアドレス制限 」によりエラーとなった場合は制限対象の IP アドレスに「175.41.253.63」を追加してください。
ステップ2:Gluegent Gateで「認証」の設定
認証ルール(本人確認のための処理)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「認証」>「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
項目名 | 設定内容 |
---|---|
ID |
任意の値を入力します。(例:rule_web) |
認証方法 |
「ID/パスワード認証」のチェックをオンにします。 |
クライアント |
以下の 3 つのチェックをオンにします。
|
「登録」をクリックします。
ステップ3:Gluegent Gateで「アクセス権限」の設定
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
「アクセス権限」>「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
項目名 | 設定内容 |
---|---|
ID |
任意の値を入力します。(例:for_web) |
アクセス先のサービス |
「cybozu.com」のチェックをオンにします。 |
要求される認証方式 |
「ID/パスワード認証」のチェックをオンにします。 |
クライアント |
以下 3 つのチェックをオンにします。
|
「登録」をクリックします。
ステップ4:cybozu.comで「ユーザー情報」のダウンロード
cybozu.com で「ユーザー情報」、「ユーザーの所属グループ」をダウンロードします。
cybozu.com にログインします。URLは「https:// (サブドメイン) .cybozu.com」という構成になります。
「cybozu.com 共通管理」をクリックします。
画面左のメニューより「一括操作」>「ファイルへの書き出し」をクリックします。
「ファイルに書き出す項目」に「ユーザー」を選択し「書き出す」をクリックし、CSVファイルをダウンロードします。詳しくは cybozu.com ヘルプ を参照してください。
同様に「cybozu.com共通管理」>「一括操作」>「ファイルへの書き出し」から、「ユーザーの所属グループ(ロール)」のデータをCSVファイルでダウンロードします。
最後に「組織」情報をダウンロードします。「cybozu.com共通管理」>「一括操作」>「ファイルへの書き出し」から、「組織」のデータをCSVファイルでダウンロードします。
ステップ5:Gluegent Gateで「ユーザー情報」の一括登録
Gluegent Gate でユーザーの一括登録を行います。
一括登録を行う前に前ステップでダウンロードしたCSVファイルの編集を行います。
1. 「ユーザー」のCSVファイルを「Gluegent Gate 管理者マニュアル:ユーザーの管理 - 7. ユーザーの一括作成 / 更新」のCSV項目仕様に合わせて編集します。
2. 「グループ(ロール)」のCSVファイルを「Gluegent Gate 管理者マニュアル:グループの管理 - 7. ユーザーグループ用 CSV 仕様」のCSV項目仕様に合わせて編集します。
3. 「組織」のCSVファイルを「Gluegent Gate 管理者マニュアル:組織の管理 - 6. 組織の一括作成 / 更新」のCSV項目仕様に合わせて編集します。
ファイルの準備が出来ましたら、Gluegent Gate の管理画面にアクセスします。
左メニューの「ユーザー」>「CSV登録」の順にクリックします。
ダウンロード、編集したCSVファイルが画面に記載されているフォーマットにしたがっていることを確認します。
「ファイルを選択」から CSVファイルを選択し、「登録」をクリックします。
ログインユーザーの通知用メールアドレス宛に処理結果が通知されますので確認してください。
詳しくは Gate管理者マニュアル「ユーザーの管理 - 7. ユーザーの一括作成 / 更新」を参照してください。
同様に左メニューの「ユーザーグループ」>「CSV登録」画面にて、前ステップでダウンロード、編集した「グループ」CSVファイルを登録します。
Gluegent Gate の管理画面にて、左メニューの「ユーザーグループ」>「CSV登録」の順にクリックします。
「ファイルを選択」から CSVファイルを選択し、「登録」をクリックします。
ログインユーザーの通知用メールアドレス宛に処理結果が通知されますので確認してください。
詳しくは Gate管理者マニュアル「グループの管理 - 6. ユーザーグループの一括作成 / 更新」を参照してください。
最後に左メニューの「組織」>「CSV登録」画面にてダウンロード、編集した「組織」CSVファイルを登録します。
Gluegent Gate の管理画面にて、左メニューの「ユーザーグループ」>「CSV登録」の順にクリックします。
「ファイルを選択」から CSVファイルを選択し、「登録」をクリックします。
ログインユーザーの通知用メールアドレス宛に処理結果が通知されますので確認してください。
詳しくは Gate管理者マニュアル「組織の管理 - 6. 組織の一括作成 / 更新」を参照してください。
ステップ6:Gluegent Gate で「ID同期」の有効化
Gluegent Gate 側で「ID同期」を有効となるよう設定を行います。
Gluegent Gate の管理画面にアクセスします。
左メニューにて「シングルサインオン」>「クラウドサービス」の順にクリックします。
クラウドサービス一覧の「cybozu.com」の操作アイコンをクリックします。
ステップ1で有効としなかった、「ID同期」の「有効」チェックをオンにします。
「保存」をクリックします。
ステップ7:Gluegent Gate で「IdP証明書」の取得
シングルサインオンの設定に必要な「IdP証明書」を取得します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「システム」>「IdP証明書」の順にクリックします。
状態が「使用中」となっている証明書の「DL」アイコンをクリックします。
証明書ファイルがダウンロードされます。後ほど使用しますので、任意の場所に保存してください。
ステップ8:cybozu.com で「シングルサインオン」の設定
cybozu.com 側で「シングルサインオン」の設定を行います。
cybozu.com にログインします。URLは「https:// (サブドメイン) .cybozu.com」という構成になります。
「cybozu.com 共通管理」をクリックします。
画面左のメニューより「セキュリティ」>「ログイン」をクリックします。
「SAML認証」セクションで各項目を設定し「保存」をクリックします。
項目名 | 設定内容 |
---|---|
SAML認証を有効にする |
チェックをオンにします。 |
SAML認証の使用を 必須にする |
チェックをオンにすると Gluegent Gate でのみログイン可能となります。 |
Identity Provider の SSOエンドポイントURL |
下記 URL を入力します。 https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=<ご契約のテナントID> ※例えばテナントIDが「example」の場合は以下の URL となります。 https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=example
|
cybozu.com からのログアウト後に 遷移するURL |
下記 URL を入力します。 https://auth.gluegent.net/saml/saml2/idp/initSLO.php?RelayState=/saml/logout.php&logout=cybozu |
Identity Provider が署名に使用する 公開鍵の証明書 |
「ステップ2」でダウンロードした証明書(pem)ファイルをアップロードします。 |
この設定を行うと、cybozu.com へのログインは Gluegent Gate を経由します。
Gluegent Gate を経由せずにログインしたい場合は 「 https://(サブドメイン名).cybozu.com/login?saml=offf」 にアクセスしてください。
Gluegent Gate のシングルサインオン設定にて「パスワード同期」の項目を「シングルサインオンのパスワード」を選択している場合、このURLで Gluegent Gate と同じパスワードでログインできます。
ステップ9:シングルサインオン(SSO)を試そう!
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
※管理者でログインしている場合は、別のブラウザを使用するか、ログアウトしてからユーザーによるログインをご確認ください。
サイボウズのクラウドサービスへのログインは通常通り「https:// (サブドメイン) .cybozu.com」で行います。
Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
項目名 | 入力内容 |
---|---|
ユーザーID |
Gluegent Gate のユーザーID(@より前の部分) |
パスワード |
新規登録時に設定したパスワード |
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、再度 Gluegent Gate のログイン画面が表示されるので、新しいパスワードで「ログイン」します。
Gluegent Gate が cybozu.com にアクセス可能かを確認し、アクセス可能と判断されれば、cybozu.com へのログインに成功します。