LoginSignup
4
2

More than 1 year has passed since last update.

@tnk-tty(tnk tty)inLINE WORKS株式会社

Azure Active Directoryを使ってLINE WORKSのSSOを設定してみる!

Posted at

今回のテーマ

  • LINE WORKSのSSOを使用するためにどのような設定が必要なのか?
  • 設定するとどう動くのか?

を見てみたい!と思いまして、無料のAzureアカウントを作成してみました!!!

レベル的にActive Directoryとか大丈夫かよ。。。と不安でいっぱいです。
windows2003serverの時にMCP70-294取ったけど、それ以降触りもしなければ見てもいません。
つか、MCP70-294って....2003serverって...

と、とりあえず頑張ります!щ(゚Д゚щ)
S!S!O!(エイエイオー的なノリで読んでください)

SSOについてLINE WORKSのドキュメントを確認してみる

SSO(シングルサインオン)ということは聞いたことがあるのですが、実際にどのように設定されていれば正常に動くのか?などは全く理解していません。

まずLINE WORKSのSSOに関するドキュメントを参照しました。

Azure Active Directory側の設定画面については後述しますが、Azure Active Directory側はSAMLを使用するため、SAML 2.0 による SSO
で全体の流れを確認しました。

最初にフローが書いてあるので流れはつかみやすいかと思います。

LW06.PNG

その他のドキュメントにも目を通しました。
すべてを理解するのは難しいものの、気になったのはSAML Response生成です。

Subject NameID ログインした LINE WORKS ユーザーの ExternalKey

とありました。
Azure Active Directory側のユーザーとLINE WORKS側のユーザーを紐づけるために、LINE WORKS側ではユーザーのExternal Keyを使用する と言う事ですね。

LINE WORKS API2.0からユーザー登録時にExternal Keyは必須ではなくなりました。
ですが、 SSOを構成する場合はユーザー情報にExternal Keyの登録が必須 ということですね。

では、Azure Active Directory側でLINE WORKSのユーザーのExternal Keyと対になる情報は何か?という点ですが、それは後述します。

Azure Active Directory

フリーアカウントの作成方法はいろんな方がWebで書いてるので割愛しますm(_ _)m

大がかりな検証は考えていないので、まずは1ユーザーで設定してちゃんと動くかを見たいと思います。

Azure Active DirectoryとLINE WORKSでSSOを設定するためのドキュメントが用意されていて、とっても助かる!と思ったんですが、まずドキュメントに記載されている画面の開き方すら分からない。。。

なので、設定経験のある方にアドバイスも頂きながら進めていきました!

Azure Active DirectoryのエンタープライズアプリケーションにLINE WORKSを追加する

Azure Active Directory側の左側のメニューから「エンタープライズアプリケーション」を開きます。
az01b.png

「+新しいアプリケーション」をクリックします。
az02b.PNG

検索ウィンドウにて「LINEWORKS」と入力すると、LINEWORKSが表示されますので、クリックします。
az03.PNG

画面右側に以下のような画面が表示されますので、「作成」をクリックします。
LINE WORKS統合の手順に関するチュートリアルは絶対に開いておきましょう。

az04.PNG

シングルサインオンの設定

LINE WORKS統合の手順に関するチュートリアルの流れで設定を進めます。
と言うか、このドキュメント見れば設定できるので、この投稿の意味あるの!?と思いますが、少なくとも私にとって意味があるということで。。。。設定を進めましょう。

エンタープライズアプリケーションに追加したLINE WORKSを開くと以下の画面が表示されますので、「シングルサインオンの設定」をクリックします。
az05b.png

LINE WORKSは「SAML」と「OAuth」が選択できますが、Azure Active DirectoryはSAMLのようなので、SAMLをクリックします。
az12.PNG

「①基本的なSAML構成」の「編集」をクリックします。
az13.PNG

ドキュメントでは「サインオンURL」と「応答URL」の入力が必要と記載されていました。
それぞれ何を入力するかはドキュメントに書式が記載されています。
黒で塗りつぶしていますが、この部分には「LINE WORKSのドメイン名」を入力してください。
az14.PNG

「応答URL」の入力欄は初期状態では表示されていないので、「応答URLの追加」をクリックします。
入力する書式はドキュメントに記載があります。
サインオンURLと同様に塗りつぶしてある部分は「LINE WORKSのドメイン名」を入力します。
ここまで入力したら「保存」をクリックします。
az15.PNG

「②属性とクレーム」の内容はとりあえず飛ばします。
「③SAML署名証明書」の「編集」をクリックします。
az16b.png

LINE WORKSでSAML SSOを設定する場合、PEM照明が必要です。
この画面でアクティブな証明書の「・・・」をクリックし、「PEM証明書のダウンロード」をクリックして、ファイルを保存してください。
az17.png

ユーザー割り当て

こちらのドキュメントを参考に、Azure Active Directory上にSSOテストユーザーを作成しました。
az18.PNG

「エンタープライズアプリケーション > LINE WORKS」を開き、「1.ユーザーとグループの割り当て」をクリックします。
az05c.png

「+ユーザーまたはグループの追加」をクリックします。
az06.PNG

「ユーザー」の「選択されていません」をクリックします。
az07.PNG

テストユーザーをクリックし、「選択」をクリックします。
az08.PNG

「割り当て」をクリックし、ユーザーの割り当てが完了です。
az10.PNG

LINE WORKSのDeveloper Consoleの設定

次はLINE WORKS側の設定です。

Developer Consoleにログインし、画面左側の「SSO」をクリックします。
Azure Active DirectoryはSAMLに対応しているので、「SSO Type」はSAMLを選択します。
lw01.PNG

必須項目は以下の3つです。

  • Web Login URL
  • Logout URL
  • Certificate File

Certificate Fileは先ほどダウンロードしたPEM証明書のファイルをアップロードしてください。
Web Login URLとLogout URLはAzure Active Directoryからコピーしてきます。
lw02.PNG

Azure Active Directoryの「エンタープライズアプリケーション > LINE WORKS > シングルサインオンの設定 > ④LINE WORKSのセットアップ」にログインURLとログアウトURLの情報が表示されていますので、こちらをコピーしてDeveloper Consoleに貼り付けてください。
az19.PNG

Developer Consoleの各項目の設定が終わったら「適用」をクリックします。
※この時にLINE WORKSにログインしているメンバーは全員ログアウトされるので注意してください。
lw03.PNG

lw04.PNG

Azure Active Directory側のどの情報がLINE WORKSのExternal Keyと関連するのか?

  • Azure Active Directory側
    「エンタープライズアプリケーション > LINE WORKS > シングルサインオンの設定 > ②属性とクレーム」を参照します。

「一意のユーザーID」が関連付けに使用する情報となり、 デフォルトは「user.userprincipalname」 です。
※「編集」に進むと、「一意のユーザーID」を変更する事が可能です。
az20.PNG

実際のユーザー情報で 「user.userprincipalname」がどの部分にあたるかというと、「ユーザープリンシパル名」 です。
az18b.PNG

  • LINE WORKS側
    LINE WORKS側ではユーザーのExternal KeyがAzure Active Directoryのユーザー情報との関連付けに使用される項目です。
    Azure Active Directory側のユーザーのプリンシパル名を 関連付けたいLINE WORKSユーザーのExternal Keyに 設定します。
    lw05.PNG

動作確認

  • LINE WORKS側からのログイン
    Microsoftアカウントでログインしていない状態で、LINE WORKSのログイン画面を開き、 LINE WORKS側のID を入力して、「はじめる」をクリックします。
    01.PNG

Microsoftアカウントのログイン画面が表示されました。
02.PNG

Azure Active Directory側で作成したユーザーID を入力して、「次へ」をクリックします。
03.PNG

パスワードを入力して「サインイン」をクリックします。
04.PNG

LINE WORKSへ遷移し、正常にログインできました!
az04.PNG

  • Azure Active Directory側からのログイン
    問題無いと思いますが念のため。

Microsoftアカウントのログイン画面に、 Azure Active Directory側で作成したユーザーID を入力して、「次へ」をクリックします。
パスワードも入力しサインインします。
az01.PNG

Microsoftアカウントで正常にログインしました。
az02.PNG

LINE WORKSのブランドサイト上部から「ログイン」をクリックします。
az03.PNG

LINE WORKS側のログイン画面が表示されることなく、正常にLINE WORKSのサービス画面が表示されました!
az04.PNG

まとめ

今回はざっと設定を流した感じになりましたが、ゆくゆくは各設定について理解を深め、エラーを発生させる検証もしたいですね!

4
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
2