Help us understand the problem. What is going on with this article?

AzureADでLINE WORKSにSSO(SAML)する方法

More than 1 year has passed since last update.

AzureADでLINE WORKSへSSOする方法について、簡単にまとめてみたいと思います。

はじめに

LINE WORKSでは、SSOはSAML2.0とOAuth2.0の2つに対応しています。
公式ドキュメントはこちら

1. AzureAD側の設定

1−1. AzureADにLINE WORKSのアプリケーションを登録する

① https://portal.azure.com/アクセスし、全体管理者でログイン。
② 左メニューの[Azure Active Directory]をクリックし、[エンタープライズアプリケーション]をクリックします。
image.png
③上部メニューの[+新しいアプリケーション]をクリックします。
image.png
④[ギャラリーから追加する]欄で「LINE WORKS」アプリを検索します。アプリケーションが見つかったら、それをクリックします。
image.png
⑤[追加]をクリックしアプリケーションを追加します。
image.png
⑥左のメニューの[シングルサインオン]をクリックし、シングルサインオン方式の選択画面で[SAML]をクリックします。
image.png

1−2. AzureADでシングルサインオンを構成する

① [基本的なSAML構成]から設定していきます。メニュー横の鉛筆マークをクリックします。
image.png

② 下記のように設定し、完了したら[保存]をクリックし、設定を保存します。

項目 設定内容 参考情報
サインオンURL https://auth.worksmobile.com/d/login/{ドメイン名} 公式ドキュメント
応答URL(Assertion Consumer Service URL) https://auth.worksmobile.com/acs/{ドメイン名} 公式ドキュメント
識別子(エンティティID) worksmobile.com 公式ドキュメント

image.png

③ [ユーザー属性と要求]は、デフォルト設定のままにしておきます。
image.png

補足
SP(LINE WORKS)へ渡す属性値(IdPとSPでユーザーを紐付けする一意の値)を変更する場合、[ユーザー属性と要求]メニュー横にある編集ボタンをクリックし[ユーザー属性と要求]画面にて「名前識別子の値」を変更します。
例えば、メールアドレスに変更する場合は、[ユーザー要求の管理]画面にて[ソース属性]で「user.mail」を選択します。
image.png
image.png

④ [SAML署名証明書]にて、「証明書(Base64)」をダウンロードします。ダウンロードした証明書の拡張子を「.cer」から「.pem」へ変更します。
LINE WORKSへ登録するときに、「.pem」拡張子である必要があります。
image.png

⑤ [LINE WORKSのセットアップ]画面に表示されている情報は、「2. LINE WORKS側の設定」で使うので確認しておきましょう。
image.png

1-3. AzureADのユーザーにLINE WORKSのSSOが利用できるように設定する

① 左メニューの[Azure Active Directory]をし、[エンタープライズアプリケーション]をクリックします。

② 1−2.で登録した[LINE WORKS]アプリケーションをクリックします。
image.png

③ [ユーザーとグループ]をクリックします。

image.png

④ [+ユーザーの追加]をクリックします。

image.png

⑤ ユーザーを検索し、SAML SSOを使わせたいユーザーを選択します。

image.png

⑥ ユーザーを選択したら、画面下の[割り当て]ボタンをクリックし、利用権限の割り当てを行います。

image.png

2. LINE WORKS側の設定

2-1. SSOの設定を有効にする

① Developer Consoleへログインします。
https://developers.worksmobile.com/jp/console/openapi/main

② 左のメニューで[SSO]をクリックします。
③ [SSO Type]画面で、[SAML]を選択します。
④ 下記項目を、Azureの設定画面からコピーして記入します。

LINE WORKS側のラベル名 Azure AD側のラベル名
Web Login URL ログインURL
Logout URL ログアウトURL
Certificate File 1-2の④でダウンロードした.pem拡張子のファイル

image.png

⑤ 全て設定が完了したら[適用]ボタンをクリックして保存します。

2-2. External Keyを設定する

AzureADのユーザーIDとLINE WORKSのメンバーの ExternalKey は同一の値である必要があります。メンバーの ExternalKey は Developer Console の SSO 設定ページにある 「構成員 External Key Mapping」で確認、編集できます。

image.png

3. テスト

さあ、テストしてみましょう!

3-1. LINE WORKSからログイン

① 下記のログインURLにアクセスします。
https://auth.worksmobile.com/login/myService
② ID(xxx@ドメイン名)を入力すると、AzureADへリダイレクトされます。
③ AzureADのIDとパスワードを入力しSign inします。
image.png
image.png
④ 下記のようにLINE WORKSへリダイレクトされログイン出来ていたら成功です!!
image.png

3-2. AzureADからログイン

アクセスパネルへアクセスします。
② LINE WORKSをクリックします。
image.png
③ 下記のようにLINE WORKSへリダイレクトされログイン出来ていたら成功です!!
image.png

手順は以上になります。

tokotan
LINE WORKS→Box。 Qiitaの記事は個人の見解であり、所属する組織の公式見解ではありません。 趣味は、電子工作です。夫婦で「SHK」と言う名称でMakerFaireTokyoに出展したりしました。 http://makezine.jp/event/makers2018/m0265/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした