OneLoginとAWSをSAML連携しSSOを実現する手順
Active DirectoryとOneLoginをディレクトリ連携する手順

1. 目的
OneLogin Active Directory Connectorで実現できること

OneLogin Active Directory Connector(以下、OneLogin ADC)とは、OneLoginとActive Directoryを接続して下記の機能を提供・実現するWindowsアプリケーションです。
①【認証】Active Directoryの認証情報を利用したOneLoginへのログイン
② 【同期】ユーザー情報のリアルタイム同期
③ 【認証】統合Windows認証を用いたOneLoginへのシングルサインオン
社内に設置されたオンプレミスのActive Directoryや、AWS EC2やAzure VMなどのIaaSに設置したActive Directoryサーバーに登録された社員情報(ユーザーオブジェクト)を、この連携を実施することでOneLoginへ自動同期することが可能です。数千、数万ユーザーの同期・認証処理も行えるスケーラブルなOneLogin ADCで自社ディレクトリとOneLoginをぜひ統合利用しましょう。
OneLogin ADCは、Active Directory Domain Service が動作しているオンプレミスまたはIaaS上のWindows Serverにインストールして頂くことで、Active Directoryから必要な情報をOneLoginへ自動連携します。Active DirectoryとOneLoginはリアルタイムで同期されており、Active Directoryとのスムーズな統合がサポートされています。
このドキュメントでは、OneLoginとActive DirectoryをOneLogin Active Directory Connectorを利用してディレクトリ連携し(上記①の機能)、ユーザー情報の同期(上記②の機能)とOneLoginのログイン認証をActive Directoryで実施するための設定についてご案内いたします。
前提条件
- OneLoginの管理者アカウントをお持ちであること
- Active Directoryの管理権限をお持ちであること
2. 手順
2.1 OneLoginにActive Directory連携設定を追加する
-
リモートデスクトップなどを利用して、Windows Serverにドメイン管理者権限を持つアカウントでログインします。 ブラウザを開き、OneLoginにログインしたら、管理者メニューから Users > Directories を開きます。
-
ディレクトリの種類を選択する画面が出てきますので、Active Directory の [Choose] をクリックします。
-
セットアップ画面が表示されますので、Name Directory フィールドにわかりやすい名前を入力します。
-
青いダウンロードボタン をクリックして、インストーラーをダウンロードします。
-
最後にADコネクタのインストール時に必要なトークンが表示されるので、予めコピーしておきます。
2.2 OneLogin ADCをWindows Serverにインストールする
-
インストールの開始 手順2.1.4で 青いボタン をクリックしてダウンロードしたファイル「onelogin_ad_connector.msi」を実行し、ウィザードに従ってADコネクタをインストールします。 *インストールを実行する際は、必ずドメイン管理者でログインして実行して下さい。インストーラーを実行する際に「管理者として実行」は選択しないでください
-
利用規約への同意 OneLogin ADCのライセンス規定を確認し、ご同意頂ける場合はチェックをいれて [Next] をクリックします。
-
トークンの登録 手順2.1.5で取得したトークンを入力して [Next] をクリックします。
-
サービス実行アカウントの選択 OneLogin ADCがサービスとして起動するためのアカウントを選択し、 [Next] をクリックします。
-
Windows Domain Authentication用ポート選択 Windows Domain Authenticationを利用する場合は、実際にドメイン参加デバイスから通信できるポートを選択してください。 利用しない場合は、一旦デフォルトの8080のまま [Next] をクリックします
-
OneLoginのリージョン選択 ご利用中のOneLoginが管理されているリージョンを選択するよう求められるので、 [US] を選択して、[Next] をクリックします。
-
インストールの実行 必要項目の登録、選択が終了したら [Install] をクリックします。
-
下記画像のようなポップアップが表示されます。 AD上のユーザーが削除された時、「削除されたオブジェクト」が格納されたOUにOneLogin ADCがアクセスする必要があるため、左記画面が表示されたらコマンドをメモ帳にコピーしてください。 ドメイン名の部分3箇所を自社ドメインに修正し、PowerShellまたはコマンドプロンプトを管理者権限で開き実行します。
-
インストール完了 インストールに成功すると、下記のような画面が表示されます。 以上でWindows Server側の作業はすべて完了しました。[Finish] をクリックして終了します。

2.3. 同期対象の組織単位(OU)を設定する
OneLoginのActive Directory連携では、同期対象の組織単位(OU)の選択が可能です。OneLoginに同期したいユーザーが所属するOUをすべて選択(チェックを入れる)してください。 同期対象ユーザーの指定方法は2つございます。
① 同期対象OUに存在する全ユーザーを同期する
② 同期対象OUかつ同期対象グループに所属する全ユーザーを同期する
本ドキュメントでは①の手順をご説明いたします。
①同期対象OUに存在する全ユーザーを同期する手順
Windows ServerでのOneLogin ADCインストールが完了し、ADからOneLoginへ正常に通信が開始されると下記のようなADのツリー構造が表示される画面に遷移します。 このツリー構造はOUを示しており、OneLoginに同期したいOUにのみチェックをいれて [Finish] をクリックします。

3. 結論
-
同期する組織単位(OU)の選択が無事完了すると、下記のような管理画面へ遷移します。 正常にOneLoginと接続しているとき、下記画面のようにConnectedと表示されます。 既に同期対象OUを指定しておりますので、Active DirectoryからOneLoginへと対象OU内のユーザーについて同期が開始されます。
以上の手順でOneLoginと自社Active Directoryとの連携を行うことができます。
セカンダリサーバーの追加や同期するユーザー属性の追加、アドバンスド設定の手順など、より詳細な手順の詳細はペンティオのお客様向けのドキュメントでご覧いただけます。
ペンティオでは、OneLoginをご契約いただいた方に向けて独自のドキュメントを無料で提供しています。
