さくらのクラウド:シングルサインオン(SSO)連携 ~ HENNGE One 編 ~
さくらのクラウド SSO
さくらのクラウドでは お客様のシステムを安全に保護するため、管理者としてのログインに2要素認証の必須化を行い、FIDO2対応キーやシングルサインオン(SSO)経由でのログインに対応しています。
SSOの基本的な考え方や Google Workspace との連携手順はこちらにまとめています。
今日は HENNGE One との連携手順についてご紹介します。
HENNGE One とは
HENNGE株式会社 は、「テクノロジーの解放で、世の中を変えていく」をミッションに、クラウドセキュリティ領域を中心としたサービスを提供する日本発のIT企業です。特に SaaS 利用が急速に広がる中で重要性が高まる ID管理・認証・アクセス制御の分野に強みを持ち、多くの企業のクラウド活用を支えています。
同社が提供する HENNGE One は、クラウド時代の企業ITに求められる「安全なアクセス」と「運用のしやすさ」を両立するために設計された、統合型クラウドセキュリティサービスです。Microsoft 365 や Google Workspace、各種SaaSを利用する現代の業務環境では、社内外・端末の多様化により、従来の境界型セキュリティだけではリスクを防ぎきれません。HENNGE One はこうした課題に対し、ID管理・多要素認証・デバイス証明書・アクセス制御をワンパッケージで提供します。
HENNGE One の中核は、ゼロトラストの考え方に基づくアクセス制御です。ユーザーIDとパスワードだけに頼らず、端末の信頼性や利用状況を加味してアクセスを判断することで、不正ログインや情報漏えいのリスクを大幅に低減します。特に、デバイス証明書を用いた認証は、テレワークやBYOD(私物端末利用)環境でも高いセキュリティを確保できる点が特徴です。
また、管理者視点では導入・運用のしやすさも大きな魅力です。クラウド型サービスのため、専用ハードウェアの導入は不要で、管理コンソールからユーザー追加やポリシー設定を直感的に行えます。SaaSの利用が増えがちな成長企業や、情シス人員が限られている組織でも、無理なくセキュリティ水準を引き上げることが可能です。
HENNGE One は、「クラウドを安全に、そして止めずに使い続ける」ための現実解として、多くの日本企業で採用されています。
さっそくやってみる
さくらのクラウド SSO は SAML の Idp Initiated モデルに対応しています。これはHENNGE One 側のログイン画面からさくらのクラウドへのログインを行うことで、画面が遷移しさくらのクラウドのコントロールパネルへ遷移するというシンプルなフローを実現します。
お互いを事前に信頼しあう設定が必要なため、HENNGE One 側、さくらのクラウド側それぞれでお互いの信頼設定や、テスト用ログインに用いるユーザの設定等、初期設定項目は少し多めで複雑なように思えますが手順通りに進めていただければ問題ありません。
HENNGE社からも設定手順が公開されていますので合わせて参考にしてください。
https://teachme.jp/35563/manuals/42347294
今回はIdP側をHENNGE One、SP側をさくらのクラウドとして設定します。
1.HENNGE Oneのサービスプロバイダー設定
まずは HENNGe One の画面からサービスプロバイダーの設定を行います。
左ペインから システム → サービスプロバイダー設定 をクリックします。
サービスプロバイダーの追加 をクリックし SAML を選択します。
以下の様に設定を投入して 保存 をクリックします。この画面には後程戻ってきて、さくらのクラウドをサービスプロバイダーとして認識させる情報を入力します。デフォルトでEmailがお互いのユーザー情報のキーとなっているのでこのまま進めます。
次の画面ではSP側に組み込む諸情報が出ますので、ブラウザをこのままにしておきます。
2. さくらのクラウド SSO プロファイル 設定
SP側に上記で表示されたIdp側の情報を認識させてあげます。
さくらのクラウド ホーム画面トップ、左ペインから SSO プロファイル を選択します。
画面右上の SSOプロファイルの作成 をクリックします。
適当な名前を入力し先ほどIdP側で表示された以下の情報を入力します。
お互いの言葉が若干ずれていますが以下のような対応になっています。
| さくらのクラウド (SP側) | HENNGE One (IdP側) |
| IdPエンティティID | IdP Issuer |
| IdPログインURL | シングルサインオンURL(後程テストログインで使用しますので手元に控えておいてください) |
| 証明書 | SAML署名証明書(ダウンロードしたファイルをメモ帳などで開いてその内容を貼り付けてください) |
作成 をクリックすると今度はIdP側に組み込むSP側の情報が出ますのでそちらを開いたままIdPの画面に戻ります。
3. IdP側でSP情報の組み込み
IdP側で先ほど作成したサービスプロバイダーの設定を開くと以下の画面が出てきますので、SP側の情報を入力していきます。各情報は以下表のとおり対応しています。
| さくらのクラウド (SP側) | HENNGE One (IdP側) |
| SPエンティティID | SP Issuer(Audience) |
| ACSのURL | ACS URL |
入力が完了するとステータスが 有効 になります。
最後にSP側で先ほど作成したSSOプロファイルを有効化しておきます。
4. SP側でテストユーザーの作成
以下の様にユーザーを作成します。
5. IdP 側でテストユーザーの作成
以下の様にユーザーを作成します。
6. IdP側でアクセスポリシーの設定
いままでの手順で IdP側とSP側は双方を認識し、共通のメールアドレスを持つユーザーが両方で作成されています。最後の手順として、IdP側のログイン画面にSP側への遷移を実現させる機能を作成します。
まず先ほど作成したユーザーは Default (Editing of values allowed) というデフォルトポリシーグループに属しています。
当該グループを開くと画面下部に、今までの手順で認識しているSP側の情報が表示されていますので、こちらのトグルをオンにして有効化します。
こうすることでこのグループに属しているユーザーがさくらのクラウドへログインできるようになります。
7. テスト
先ほど手元にメモしておいたログインURLにアクセスします。
さくらのクラウドアイコンをクリックすると無事画面が遷移し、さくらのクラウドのコンソールが表示されます。
まとめ
HENNGE One とさくらのクラウド、SSOとの連携手順をご紹介しました。安全で楽しいクラウドライフをお過ごしください。