LINE WORKS は SAML 2.0 に対応しているので、Azure AD からの SSO が可能です。
(プロビジョニングには未対応です。)
MSのサイトにもチュートリアルがあるものの、ちょっとわかりにくいので手順を追って解説します。
#LINE WORKS の事前準備
1. Developer Console へのログイン
SSO を設定する前に、全メンバーに ExternalKey という値を設定する必要があります。
ExternalKey の設定は LINE WORKS Developers の右上にある "Developer Console" から行います。
Developer Console にログインするには、最高管理者や副管理者など "Developers" の管理権限が必要です。管理権限の作成/付与は管理者画面の[メンバー]-[管理者権限]から行います。
2. ExternalKey の設定
Developer Console にログインしたら、左メニューにある[SSO]をクリックし、SSO 設定画面に移動します。
"構成員 ExternalKey Mapping" というメニューがあるので、ここで"すべて"もしくは"ExternalKeyがない場合"をクリックして"一覧のダウンロード"を行うと、CSV ファイルでメンバーリストが取得できます。
CSV を編集し、"ExternalKey" 列に Azure AD のログインのキーとなる値を入れます。例えばメールアドレスをキーにするなら、以下のような形です。
先ほどの Developer Console に戻り、"アップロード" から CSV をアップロードして保存すると ExternalKey 設定は完了です。 (アップロードの際、ブラウザでポップアップがブロックされないよう注意してください。)
#Azure AD の設定
1. エンタープライズアプリケーションの登録
Azure ポータルに移動し、[Azure Active Dicectory] から"エンタープライズアプリケーション"を開きます。
"+ 新しいアプリケーション" から "LINE WORKS" を検索して追加します。
2. LINE WORKS の SSO 設定
登録した LINE WORKS の設定画面から、"シングルサインオン"メニューを開きます。
SAML を選び、次のように[基本的な SAML 構成]の値を設定します。
| 項目 | 値 |
|---|---|
| 識別子(エンティティID) | worksmobile.com (既定) |
| 応答 URL | https://auth.worksmobile.com/acs/{LINEWORKSのドメイン名} |
| サインオン URL* | https://common.worksmobile.com/proxy/my |
| リレー状態 | (空白) |
| ログアウト URL | (空白) |
| *LINE WORKS は SP-initiatied SSO しか対応していないので、サインオン URL を入力してもあまり意味はありません。。 |
次に、[ユーザー属性とクレーム]設定を編集して、どの値を ID として渡すか編集します。渡す値は最初に登録したExternalKey と揃えてください。
###3.SAML 証明書のダウンロード
LINE WORKS はメタデータXMLによる SSO 設定に対応していないので、証明書(未加工) をダウンロードしてください。
###4.ユーザーへの割り当て
設定が完了したら、Azure AD に登録されているユーザーのうち LINE WORKS利用者にアプリを割り当ててください。
#LINE WORKS の設定
1. 証明書の変換
LINE WORKS は .pem 形式の証明書のみに対応しています。
Azure AD から取得した .cer 形式の証明書を .pem 形式に変換します。
openssl で変換する場合には、以下のような形になります。
openssl x509 -inform der -in "LINWORKS.cer" -out "LINEWORKS.pem"
2.SSO 情報の登録
LINE WORKS の Developer Console に戻り、[SSO] 内 "SSO Type" メニューから SAML を選び、Azure AD 側の"シングルサインオン" - "LINE WORKS のセットアップ" を参考に各設定項目を入力します。
| 項目 | Azure AD 側の値 |
|---|---|
| Web Login URL | ログイン URL |
| Logout URL | ログアウト URL |
| Certificate file | 1で作成した .pem ファイル |
これで設定を保存すればセットアップは完了です。あとは、LINE WORKS のアプリもしくは Web からログインしてください。
ログイン画面で LINE WORKS の ID を入力すると自動的に Azure AD のログイン画面に遷移します。
#注意事項
SSO 設定を行うと自動的に LINE WORKS のパスワードがリセットされて、すべてのユーザーがログアウトします。