SAML 2.0 による SSO
SAML (Security Assertion Markup Language) 2.0 による SSO の仕組みと実装方法について説明します。
図3 LINE WORKS サービスとクライアント間の SAML 2.0 による SSO
Use LINE WORKS services.
LINE WORKS サービスを使用します。ユーザーは Web ブラウザ、LINE WORKS アプリまたは Drive エクスプローラーから LINE WORKS サービスにアクセスします。Create and pass SAML Request (redirect).
LINE WORKS サービスにログインしていない場合、LINE WORKS は、SAML Request を生成し IdP の認証システムにリダイレクトします。Verify SAML Request and (if not logged in) launch login page.
IdP は LINE WORKS から受け取った SAML Request を認証システムで確認します。ユーザーが IdP の認証システムにログインしていない場合はログインページを表示します。既にログインしている場合は、ログインページを省略して SAML Response を生成します。Enter ID/PW.
ユーザーは表示されたログインページで IdP の ID、パスワード等を入力してログインします。Create SAML Response after authentication.
IdP は認証処理を完了させた後、SAML Response を生成します。SAML Response は LINE WORKS にあらかじめ登録した証明書でデジタル署名します。Pass SAML Response (redirect)
IdP は生成した SAML Response を LINE WORKS から渡された SAML Request に含まれる ACS URL にリダイレクトします。Issue LINE WORKS auth token after verifying SAML response.
LINE WORKS は登録されている証明書で SAML Response を検証し、LINE WORKS 認証トークンを発行します。
SAML 2.0 による API 認証 {#saml-api-auth}
LINE WORKS の IMAP/CalDAV 接続における認証は、部分的に SAML 2.0 を利用できます。
図4 SAML 2.0 による API 認証
Set ID/PW for IMAP and run the service.
ユーザーは IMAP 連携するメールサービス等で LINE WORKS ID と IdP パスワードを使用して LINE WORKS サービスに接続します。Create and pass SAML Request (API).
LINE WORKS はユーザーがメールサービス等で設定した LINE WORKS ID と IdP パスワードを SAML Request と共に IdP の認証システムに渡します。API Request として送信されます。Verify SAML Request and ID/PW, and create SAML Response.
IdP は LINE WORKS から受け取った SAML Request を認証システムで確認します。確認後、LINE WORKS ID と IdP パスワードで認証をします。認証後 SAML Response を生成します。SAML Response は LINE WORKS にあらかじめ登録した証明書でデジタル署名します。Return SAML Response (API).
IdP は生成した SAML Response を LINE WORKS に渡します。2. の API Request に対する Response として SAML Response を返します。認証失敗時にはエラーコードを返します。Issue LINE WORKS auth token after verifying SAML response.
LINE WORKS は登録されている証明書で SAML Response を検証し、LINE WORKS 認証トークンを発行します。
参考
- 外部アプリパスワードを利用している場合は IMAP 連携するメールサービス等で LINE WORKS ID と 外部アプリパスワードを使用して LINE WORKS サービスに接続します。そのため、SAML 2.0 による API 認証処理は行われません。