OneLogin IdP

はじめに

シングルサインオン (SSO)は、ユーザーが一度サインインするだけで、再認証なしに複数のアプリケーションやサービスにアクセスできる技術です。

SSOは常に、アイデンティティプロバイダーとサービスプロバイダー（「IdP」と「SP」とも呼ばれます）の2つのアプリケーションの共同作業によって確保されます。ONLYOFFICE SSOはSPのみを実装しています。多くの異なるプロバイダーがIdPとして機能できますが、この記事ではOneLoginの実装を考慮します。

OneLoginでのIdPの作成

1. まだ登録していない場合は、OneLoginにサインアップしてください。
2. 管理者としてOneLoginにサインインします。
3. Applications -> Applications -> Add App メニューに移動します。
   
4. Find Application 検索フィールドに次のテキストを入力します：SAML Custom Connector (Advanced):
   
5. 見つかったオプションを選択します。
6. 新しく開いたウィンドウで、他のアプリケーションと区別するために任意の表示名を入力し、例えば"IDP OneLogin DocSpace"、保存ボタンをクリックします。
   
7. Configuration サブメニューに移動し、以下の表に従ってフィールドを記入します：
   あなたの独自のドメイン名またはパブリックIPを、myportal-address.comの代わりに指定してください。

   アプリケーションの詳細
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   SAML initiator	サービスプロバイダー
   SAML nameID format	メール
   SAML issuer type	特定
   SAML signature element	アサーション
   アサーションの暗号化	(このボックスをチェック)
   SAML暗号化方式	AES-128-CBC
   SLOリクエストに署名	(このボックスをチェック)
   SLOレスポンスに署名	(このボックスをチェック)

   
   
   
8. 保存ボタンをクリックし、Parametersサブメニューに移動します。
   
9. Add parameterリンクを使用して3つのパラメーター（givenName、sn、mail）を作成します。Include in SAML assertionオプションをチェックし、Valueから値を指定します。 リスト、LDAPディレクトリのフィールドカタログから発行するのに適しています。すべての項目について：
   
10. IdPでSAMLアサーション属性の必要なフィールドをすべて入力すると、以下の図に示されているような結果を得ることができます。保存ボタンをクリックします。
    
11. SSOサブメニューに移動します。複数の証明書がある場合は、変更リンクをクリックして証明書リストから有効な証明書を選択します。SAML署名アルゴリズムフィールドでは、SHA-1オプションを残し、保存ボタンをクリックします：
    
12. 発行者URLフィールドからリンクをコピーします（例：https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8）し、管理者としてONLYOFFICEポータルにサインインします。設定 -> 統合 -> シングルサインオンページを開きます。

ONLYOFFICE SPの設定

1. 
   シングルサインオン認証を有効にするスイッチを使用してSSOを有効にし、OneLoginの発行者URLからコピーしたリンクをIdpメタデータXMLのURLフィールドに貼り付けます。
   
2. 上向き矢印のボタンを押してIdPメタデータを読み込みます。ONLYOFFICE SP設定フォームには、OneLogin IdPからのデータが自動的に入力されます。
   
   
   
3. SP証明書セクションで証明書を作成する必要があります。そのためには、該当するセクションで証明書を追加ボタンをクリックします。
   
4. 開いたモーダルウィンドウで、新しい自己署名証明書を生成リンクをクリックし、使用目的リストで署名と暗号化オプションを選択します。証明書を保存する前に、公開証明書のテキストをクリップボードにコピーします（OneLoginに必要です）、その後OKボタンをクリックします。
   
   
5. 保存ボタンをクリックします。
6. ONLYOFFICE SPメタデータセクションが開かれるはずです。
   
7. OneLoginに戻り、暗号化を設定します。アプリケーションを開き、設定に移動します。ページを下にスクロールすると、新しいSAML暗号化フィールドが表示され、暗号化キーを入力できます。このフィールドに、この手順のステップ4からコピーした公開証明書のテキストを貼り付け、保存ボタンをクリックします：
   

OneLoginでユーザーを作成し、ONLYOFFICEへのアクセスを付与する

OneLoginでユーザーを作成し、ONLYOFFICE SPへのアクセスを提供するには、以下の手順を実行してください：

1. 管理者としてサインインし、OneLoginのユーザーページに移動します。
   
2. 新しいユーザーを作成するか、既存のユーザーを編集します。
3. アプリケーションサブメニューに移動し、+ボタンをクリックします。
4. リストから新しく作成したアプリケーションを選択し、続行をクリックします。
   
5. 開いた新しいウィンドウで不足しているデータを追加し、保存ボタンをクリックします。
6. これでユーザーはONLYOFFICE SPで作業できるようになります。

ONLYOFFICE SPとOneLogin IdPの連携を確認する

SP側でONLYOFFICEにログインする

1. ONLYOFFICEの認証ページに移動します（例：https://myportal-address.com/Auth.aspx）。
2. シングルサインオンボタンをクリックします。ボタンがない場合は、SSOが有効になっていないことを意味します。
   
3. SPとIdPのパラメータがすべて正しく設定されている場合、OneLogin IdPのログインフォームにリダイレクトされます。
   
4. ONLYOFFICE SPへのアクセスが付与されたユーザーのログインとパスワードを入力し、ログインボタンをクリックします。
5. 資格情報が正しければ、ポータルのメインページにリダイレクトされます（ユーザーが存在しない場合は自動的に作成され、IDPで変更された場合はデータが更新されます）。