SAML認証によるシングルサインオン(SSO)を設定する(パブリッククラウド)

SAML認証によるシングルサインオン(SSO)を設定する(パブリッククラウド)

このページでは、パブリッククラウドでSAML認証を使ったシングルサインオン(SSO)を利用するために必要な設定手順をご案内します。
オンプレミスライセンスでSAML認証をご利用になるには別途契約が必要です。こちらからお問い合わせください。

あわせて、目的に応じてご確認いただける関連ページも下記にご用意しております。ぜひご活用ください。

関連記事

  1. 概要、動作要件、留意事項について知りたい: SAML認証によるシングルサインオン(SSO)について
  2. ログイン方法について知りたい:組織にサインインする(SAML認証によるシングルサインオン)

設定の流れ

SAML 2.0 によるシングルサインオン(SSO)を有効にすると、ユーザーが ISL Online にログインする際にお客様側の認証システム(IdP)側での認証が行われるようになります。
SSO設定はお客様のセキュリティ担当者様・情報システム担当者様の方でご実施いただきますようお願い申し上げます。

【事前にご準備いただくもの】

  1. ISL Online SSOライセンス
  2. ISL Online の管理者アカウント
  3. お客様専用のISL Onlineドメイン名(※初期状態では汎用的な情報が設定されているため、会社名などに合わせて内容を変更する必要があります。あらかじめ使用する名称などを決めておくと、設定作業がスムーズに進みます。)
  4. SAML 2.0対応の認証システム(IdP)(Microsoft Entra ID, Google Workspace など)
  5. SAML 2.0対応の認証システム(IdP)の管理者アカウント(設定権限があるアカウント)

  • Step 1ドメイン名の変更(作業担当:お客様)
    管理者アカウントでISL Online のオンラインページへログインし、ドメイン名の変更をお願いします。
    すでに初期値のランダムな値から変更済みの場合は、 Step 2 へお進みください。
  • Step 2SSOの利用申請(作業担当:お客様)
    SSO利用に関する必要情報をメールに記載のうえ、弊社サポート窓口までご連絡ください。
  • Step 3ユーザ情報のマッピングファイル作成(作業担当:お客様)
    すでに ISL Online を利用しており、今後も同じユーザーアカウントを使い続けたい場合は、既存のISL OnlineアカウントとIdP(認証システム)側のユーザー情報を紐づけるためのファイルを準備します。

    ISL Online を初めて利用する場合は、そのまま Step 4 にお進みください。
  • Step 4サービスプロバイダー情報(作業担当:弊社&開発元)
    Step 2 でお送りいただいた情報を確認させていただき、問題がなければ次のStep 5で必要となる情報を弊社サポート窓口からお送りいたします。
  • Step 5IdP側での設定(作業担当:お客様)
    Step 4 で受け取った情報をもとに、ご利用の認証システム(IdP)側で SAML 連携の設定を行ってください。
  • Step 6設定完了の連絡(作業担当:お客様)
    ご利用の認証システム(IdP)側での設定が完了したら、必要情報をメールに記載のうえ、弊社サポート窓口までご連絡ください。
  • Step 7接続確認の日時調整および実施(作業担当:お客様・弊社・開発元)
    ISL Online と IdP の両方の設定が完了しましたら、ご希望の場合は疎通確認のためのWeb会議を開催いたします。


設定手順

Step 1:ドメイン名の変更

  1. 管理者アカウントで、ISL Online のオンラインページへログインします。
  2. メニューから、「ユーザー」 - 「ドメインの設定」 - 「ドメイン名の変更」へと進みます。

  3. 「変更後のドメイン名」にお客様専用の ISL Onlineドメイン名を入力し、最後に[ドメイン名の変更]をクリックします。
    例: 「MyCompany株式会社」の場合 → mycompany が適切なドメイン名になります。
    ※ドット(.)やハイフン(-)などの記号は使えません。含まれている場合は削除してください。

Step 2 :SSOの利用申請

以下の形式で isl-support@oceanbridge.jp に SAML 2.0 シングルサインオン (SSO) のご利用申請をお送りください。
件名 
【ISL Online】 パブリッククラウド - SAML 2.0 SSO利用申請(<貴社名>)

本文
SSOの有効化をお願いいたします。

・保守サポート番号:<ご契約中の保守サポート番号を記載してください>
・ISL Online ドメイン名:<Step 1 で設定したお客様専用のISL Onlineドメイン名を記載してください>
・SAML 2.0 アイデンティティ・プロバイダ(IdP)の種類: <Microsoft EntraID, Google Workspace, ...>
・ユーザー情報の移行要否 :<必要 または 不要>

※ユーザー情報の移行要否について
以下の内容をご確認のうえ、「ユーザー情報の移行要否」で「必要」または「不要」をご記入ください。
◆「必要」とご記入いただくケース
すでに ISL Online をご利用中で、今後も 同じユーザーアカウントを継続して使用したい場合
(接続履歴、常駐接続の所有/共有情報も含めて引き継がれます)

この場合、ISL Online 上の既存アカウントと IdP(認証システム)側のユーザー情報を紐づける必要があります。
Step 3 の手順に従って、マッピングファイルを作成してください。

◆「不要」とご記入いただくケース
以下のいずれかに該当する場合は、「不要」とご記入ください:
    1. ISL Online を初めてご利用になる場合
    2. すでに利用中でも、ユーザー情報・接続履歴・常駐接続の所有/共有情報を一から構成し直すご予定の場合
この場合、マッピングファイルの作成は不要です。そのまま Step 4 にお進みください。


Step 3:ユーザ情報のマッピングファイル作成

Step2 の「ユーザー情報の移行要否」で「必要」と明記されたお客様は、以下の手順に従い、マッピングファイルを作成します。
  1. 管理者アカウントで、ISL Online のオンラインページへログインします。
  2. メニューから「ユーザー」画面へ進み、[エクスポート]ボタンをクリックして、既存ユーザー情報をエクスポートします。
  3. 認証システム(IdP)にログインし、そこで管理されているユーザー情報を確認・取得します。
  4. 2 でエクスポートした CSV ファイルをスプレッドシートで開き、一番右に「SSO ユーザー名」列を追加し、3 で取得した IdP 側のユーザー名を記入してください。
    ※ユーザー名は、大文字・小文字を区別するため、正確に記録してください。

Step4:サービスプロバイダー情報

お送りいただいた申請内容を確認し、問題がなければ以下の情報をメールにてご案内いたします。
この情報は、次の Step 5:IdP側での設定 に使用しますので、大切に保管してください。
  1. Identifier (Entity ID):https://www.islonline.net/sso/saml/sp/domain/<domain>/metadata.xml
  2. Reply URL (Assertion Consumer Service URL):https://www.islonline.net/sso/saml/sp/domain/<domain>/acspost
  3. サインイン URL (Optional):https://www.islonline.net/users/isllight/start.html
  4. ログアウトURL:https://www.islonline.net/sso/saml/sp/domain/<domain>/slopost
  5. サービスプロバイダの証明書 ※1:sso-<domain>-<date>-saml-sp.cert
  6. ユーザー情報マッピングCSVファイルのアップロード先 ※2
※1:一部の IdPでは、SAML 2.0 の暗号化証明書を手動でアップロードする必要があります。その際は、証明書ファイルの拡張子を .cer や .crt に変更したり、DER 形式への変換が必要になる場合があります。
※2Step 2 の「ユーザー情報の移行要否」で「必要」とご記入のお客様のみご案内いたします。Step 6:設定完了のご連絡 までに、指定のサイトへマッピングファイルをアップロードしてください。


Step 5:IdP側での設定

Step 4 で受け取った情報をもとに、ご利用の認証システム(IdP)側で SAML 連携の設定を行ってください。
設定方法は IdP により異なりますので、必要に応じて以下のマニュアルをご参照ください。
※設定手順は変更される場合があります。必ず最新の情報を IdP 側のマニュアルでご確認ください。
  1. Microsoft Entra ID
  2. Microsoft AD FS
  3. Google Workspace 

Step 6:設定完了の連絡

IdP 側の設定が完了しましたら、以下の情報を含めて isl-support@oceanbridge.jp 宛にご連絡ください。
※Step 4で受信したメールに返信する形でご連絡ください。
本文
SAML 2.0 IdP 側の設定が完了いたしましたので、以下の通りご連絡いたします。

■SAML 2.0 クレーム情報   
※ご利用のIdPにより記入内容が異なりますので、該当するものをご記入ください。
 ・Microsoft EntraIDの場合:Step7 と Step9 の設定値
 ・Microsoft AD FSの場合:Step12 の設定値
 ・GoogleWorkspaceの場合:Step5 の設定値
※以下はMicrosoft EntraIDと連携した場合の記入例です
・ユーザーグループ(任意):http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

・SAML 2.0 メタデータURL ※1:<URL記入>  
・SSO運用開始希望日 ※2:<希望日をご記入ください>
・WEB会議での疎通確認 ※3:<希望する または 希望しない>

※1:可能であれば、メタデータXMLファイルではなく メタデータのURL をご共有ください。万が一URL のご提供が難しい場合は、IdP側でダウンロードしたSAML 2.0 フェデレーション・メタデータ XML ファイル を添付にてお送りください。
※2:手続きの都合上、1週間程かかる場合がございます。より早い時期をご希望の場合はご相談ください。
※3:平日16時~19時の開催となります。それ以外での開催をご希望の場合はご相談ください。


Step 7:接続確認の日時調整および実施

Step 6 で「WEB会議での疎通確認」をご希望の場合、ISL Online と IdP の両方の設定が完了しましたら、疎通確認のためのWeb会議を開催いたします。
サポートより日程調整のご連絡を差し上げますので、ご対応をお願いいたします。
※SSOを有効にすると、ISL Online側のID・パスワードによるログインはご利用いただけなくなります。

Web会議での内容

    1. SSOの有効化(作業担当:開発元)
    2. ログイン確認テスト(作業担当:お客様)
    3. すでに ISL Online を利用してる場合は、ログイン後、以前と同じユーザー情報(接続先、履歴など)が正しく引き継がれているかご確認ください(作業担当:お客様)
SSOを有効にした際の留意事項、制限、ログイン方法につきましては、冒頭の「関連記事」をご確認ください。



    • Related Articles

    • SAML認証によるシングルサインオン(SSO)について

      概要 ISL Online は、SAML 2.0 という認証の仕組みを使って、シングルサインオン(SSO)に対応しています。 これは、お客様側の認証システム(アイデンティティ・プロバイダ、略して IdP)と連携し、社員が一度のログインで ISL Online にも自動的にログインできる仕組みです。ISL Online 自体は、サービスを提供する側(サービス・プロバイダ、SP)として機能します。 シングルサインオン(SSO)を利用するメリット セキュリティが向上し、より安全にアクセスできます。 ...

    • SSOを設定する方法(Google Workspace)

      この手順では、Google Workspace を使用して ISL Online のシングルサインオン(SSO)を設定する方法を説明します。 ※設定手順は変更される場合があります。必ず最新の情報をIdP側のマニュアルでご確認ください。 Step 1:カスタム SAML アプリを追加 Google 管理者アカウントを使用して Google Workspace 管理ポータルにサインインします。 「メニュー」 - 「ウェブアプリとモバイルアプリ」 - 「カスタム SAML アプリを追加」に移動します。 ...

    • SSOを設定する方法(Microsoft AD FS)

      この手順では、Microsoft AD FS を使用して ISL Online のシングルサインオン(SSO)を設定する方法を説明します。 ※設定手順は変更される場合があります。必ず最新の情報をIdP側のマニュアルでご確認ください。 Step 1:証明書利用者信頼の追加 AD FS 管理コンソールを開き、操作パネルの「証明書利用者信頼の追加…」をクリックします。 Step 2:信頼関係追加の開始 「要求に対応する」を選択し、[開始]をクリックします。 Step 3:データソースの選択 ...

    • SSOを設定する方法(Microsoft Entra ID)

      この手順では、Microsoft Entra ID を使用して ISL Online のシングルサインオン(SSO)を設定する方法を説明します。 ※設定手順は変更される場合があります。必ず最新の情報をIdP側のマニュアルでご確認ください。 Step 1:アプリケーションを作成 Microsoft Entra ID の管理者アカウントで、Microsoft Entra 管理センター(旧 Azure ポータル) にサインインします。 「Microsoft Entra ID」 - 「エンタープライズ ...

    • 組織にサインインする(SAML認証によるシングルサインオン)

      SAML認証を使って ISL Online にログインする方法をご紹介します。 ※この機能をご利用いただくには、SAML対応ライセンスのご契約が必要です。(ご希望の方は、こちらからお問い合わせください) ISL Light からログインする場合 Step1:ISL Light を起動する ISL Light を起動し、「組織にサインインする」をクリックします。 Step2:組織名(ドメイン名)の入力 「組織」欄に、あらかじめ設定された ドメイン名 を入力し、[次へ] をクリックします。 ...