SSO 連動

SSO(Single Sign On)連動とは、WORKPLACEと顧客社間の一つのIDでアクセスできる統合ログイン連動を意味します。WORKPLACEはSP(Service Provider)方式のSSOをサポートします。

DevelopersのSSOはOAuth 2.0とSAML(Security Assertion Markup Language)2.0二つの方式が支援されます。

「WORKPLACE Developers > SSO連動」を選択します。

② 設定選択のデフォルト値はOFFで、クリックしてONに設定します。

③ OAuth 2.0とSAML 2.0の一つを選択し、当該項目を入力して適用ボタンを押します。

OAuth2.0 基盤のSSO

WORKPLACES サービス使用

ユーザーは、WORKPLACEサービスを使用するために、ウェブブラウザからURLにアクセスするか、WORKPLACEアプリを実行します。

Authorization Codeの発行要請

WORKPLACEにログインされていない場合、顧客社の認証システムとしてAuthorization Codeの発行を要請します。

(顧客社にログインされていなければ)ログインページ実行

顧客社システムにログインされていなければ、ユーザーに自社製作のログインページを提供します。

ID/パスワード入力

ユーザーは顧客社のログインポリシーに従ってID/パスワードを入力します。

顧客社認証処理後、Authorization Code発行

ID/パスワードで顧客社のシステムに認証処理を行い、Authorization Codeを発行します。 もし、顧客社システムに、すでにログインされている場合は、3~4回段階を省略してすぐAuthorization Codeを発給します。 Authorization Codeは、Access Tokenを返すのに使用して消滅する一回性のコードである必要があります。

Authorization Code 返還 (redirect)

最初のAuthorization Code発行要請時に受けたRequestのうち、WORKPLACE認証システムのredirect_uriでAuthorization Codeをredirectします。

Authorization Code로 Access Tokenを要請

Authorization Codeをパラメータに顧客社認証システムにAccess Tokenを要請します。

Access Token 返還

顧客社認証システムはAuthorization Codeを検証した後、Access Tokenを発行して返還します。

Access Tokenでユーザー情報を要請

Access Tokenをパラメータに顧客社認証システムにユーザー情報を要請します。

ユーザー情報の返還

顧客社認証システムは、Access Tokenを検証した後、ユーザーのログインメール情報を返します。

WORKPLACE 認証トークン発行

WORKPLACE認証システムは、ユーザー情報を基にWORKPLACE用認証トークンを発行します。

1. Web Login URL

ユーザーがWORKPLACE Web サービスにログインするためにID/パスワードを入力するページです。 ログインページは顧客社の要求に合わせて直接製作します。

顧客社のログイン処理後、Authorization Codeを発行してredirect_uriに返還**する。

Request URL

https://顧客社ドメイン/顧客社ログインページ

WORKPLACEのインフラのセキュリティ政策によって443だけ使用することができます。

制作したRequest URLは、NAVERクラウドプラットフォームコンソールDevelopersのSSO設定でWeb Login URLに登録します。

HTTP Method

GET

Request

パラメータ タイプ 必須 説明
response_type String Y 認証過程に対する区分値でどのような形の結果値を受け取るかを明示して常に"code"という固定された文字列を使用
client_id String Y NAVERクラウドプラットフォームコンソールDevelopersで登録したclientid値
redirect_uri String Y 認証処理後、Authorization Codeを返還するURLで、URLエンコードされている。
state String Y CSRF(Cross-stie request forgery)防止のため、任意に作成された固有値(authorization code 返還時にurlに含めてパラメータにstate値を越える。)
loginId String N ユーザーが入力していたログインアカウント

2. Authorization Code 発行

顧客社のSSOシステムで顧客社の認証およびSSOに必要な処理を行った後、Authorization Codeを発行してWORKPLACE認証システムとしてredirectします。

Request URL

URLは、WORKPLACE認証システムでログインページリクエスト時に転送したredirect_uriパラメータの値です。

例: https://WORKPLACE認証システムURL/authorizationURL

URLはユーザー環境及びNAVER WORKSポリシーによっていつでも変わることができる値なので、必ずredirect_uriで送信されたURLを使用してください。

HTTP Method

GET/POST

Request

パラメータ タイプ 必須 説明
code String Y(成功) Authorization Code Access Tokenの発行に使われる一回性のコード
state String Y(成功) CSRFを防止するために使用するclientsideの認証値であり、URLエンコードされている(redirect_uriパラメータに移したstate値)
error String Y(失敗) 失敗時に返還するエラーコード
error_description String Y(失敗) 失敗時に返還するエラー説明

3. Access Token 発行 API

顧客社のSSOシステムでAuthorization Codeを検証した後、Access Tokenを発行して返します。

Request URL

https://顧客社ドメイン/accessToken

WORKPLACEのインフラのセキュリティ政策によって443だけ使用することができます。 制作したRequest URLは、NAVERクラウドプラットフォームコンソールDevelopersのSSO設定でAccess Token Return APIに登録します。

HTTP Method

POST

Request

パラメータ タイプ 必須 説明
grant_type String Y 認証過程に対する区分値としてどのような形の結果値を受け取るかを明示。 常に"authorization_code"という固定された文字列を使用
client_id String Y NAVERクラウドプラットフォームコンソールDevelopersで登録したclientid値
client_secret String Y NAVERクラウドプラットフォームコンソールDevelopersで登録したclientsecret値
code String Y Authorization Code
state String N CSRFを防止するために使用するclientsideの認証値で、URLエンコードされている

Response

属性 タイプ 必須 説明
access_token String Y(成功時) Access Token
token_type String Y(成功時) Access Token의 type. 「Bearer」 固定
expires_in String Y(成功時) Access Tokenの有効期間(秒)。 実際のアプリケーションのログイン維持時間
error String Y(失敗時) 失敗時に返還するエラーコード
error_description String Y(失敗時) 失敗時に返還するエラー説明

4.使用者情報の返還API

顧客社のSSOシステムでAccess Tokenを検証した後、ユーザー情報を返します。

Request URL

https://顧客社ドメイン/ユーザー情報

WORKPLACEのインフラのセキュリティ政策によって443だけ使用することができます。

制作したRequest URLは、NAVERクラウドプラットフォームコンソールDevelopersのSSO設定でUser inforturn APIに登録します。

HTTP Method

POST

Request

パラメータ タイプ 必須 説明
client_id String Y NAVERクラウドプラットフォームコンソールDevelopersで登録したclientid値
client_secret String Y NAVERクラウドプラットフォームコンソールDevelopersで登録したclientsecret値client_secret
access_token String Y Access Token

Response

属性 タイプ 必須 説明
email_id String Y(成功時) 構成員のログインID(業務メール)
error String Y(失敗時) 失敗時に返還するエラーコード
error_description String Y(失敗時) 失敗時に返還するエラー説明

SAML 基盤 SSO

SAML(Security Assertion Markup Language)2.0基盤のSSOの動作方式と実装方法を説明します。

WORKPLACEサービス使用

ユーザーは、WORKPLACEサービスを使用するためにウェブブラウザからURLにアクセスするか、WORKPLACEアプリを実行します。

SAML Request 作成後伝達(redirect)

WORKPLACEにログインされていない場合、顧客社の認証システムでSAML Requestを作成して伝達します。

SAML Request検証後、(顧客社にログインされていなければ)ログインページ実行

顧客社認証システムではSAML Requestが正しいリクエストであるかを確認し、顧客社システムにログインされていない場合、ユーザーに自社製作のログインページを提供します。

ID/パスワード入力

ユーザーは顧客社のログインポリシーに従ってID/パスワードを入力します。

顧客社認証処理後、SAML Responseを作成

ID/パスワードで顧客社のシステムに認証処理を行い、SAML Responseを作成します。

もし、顧客社のシステムに既にログインされていれば、ログインページの実行は省略して、すぐにSAML Responseを作成します。

SAML Responseは、WORKPLACEにあらかじめ登録した認証書で電子署名をしなければなりません。

SAML Response 伝達(redirect)

SAML ResponseをNAVER WORKSで配信したSAML RequestのACS URLで伝達します。

SAML Responseを確認後、WORKPLACE認証トークンを発行

顧客社が登録した認証書でSAML Responseを検証して認証およびユーザー情報を確認し、WORKPLACE用認証トークンを発行します。

1. SAMLウェブログインページ

ユーザーがWORKPLACE Web サービスにログインするためにID/パスワードを入力するページです。 ログインページは顧客社の要求に合わせて直接製作します。

SAML Requestを検証し、顧客社のログインを処理した後、SAML Responseを作成してACS URLに返します。

Request URL

https://顧客社ドメイン/顧客社ログインページ

WORKPLACEのインフラのセキュリティ政策によって80あるいは443だけ使用することができます。 制作したRequest URLは、NAVERクラウドプラットフォームコンソールDevelopersのSSO設定でWeb Login URLに登録します。

HTTP Method

GET

Request

パラメータ タイプ 必須 説明
SAMLRequest String Y SAML 2.0 Requestの明細による文字列(Deflate+Base64でエンコードした値)
RelayState String Y 認証失敗時に再試行するURL

2. SAML Request 検証

SAML RequestはDeflate+Base64でエンコードされています。

SAML Request 明細

<?xml version="1.0" encoding="UTF-8"?>
<saml2p:AuthnRequest
    xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    AssertionConsumerServiceURL="{ACS URL}"
    ID="{WORKPLACE 認証システムで発行するID}"
    IssueInstant="{Request 作成日時}"
    ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    ProviderName="ncpworkplace.com"
    Version="2.0">
    <saml2:Issuer
        xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ncpworkplace.com</saml2:Issuer>
    <saml2p:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
</saml2p:AuthnRequest>

SAML Requestの各項目は次の通りです。

項目 説明
AuthnRequest AssertionConsumerServiceURL 略してACSURLといい、SAML Responseをお届けするURLです。
AuthnRequest ID WORKPLACE認証システムで発行するIDで、SAML Response作成時に使用します。
AuthnRequest IssueInstant SAML Request作成日時
AuthnRequest ProtocolBinding 「HTTP-POST」で送るので、SAML Responseは必ずPOST方式で送信しなければなりません。
AuthnRequest ProviderName サービス提供者の名前で、「ncpworkplace.com」に送っています。
Issuer サービス提供者の氏名アイテムで発行するIDで、SAML Response作成時に使用します。

SAML Request Example

<?xml version="1.0" encoding="UTF-8"?>
<saml2p:AuthnRequest
    xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    AssertionConsumerServiceURL="https://会社ID.ncpworkplace.com/...."
    ID="bemkplgpdoemkhjmncgmbcdibglpngclfombpmed"
    IssueInstant="2018-02-14T03:33:49.999Z"
    ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    ProviderName="ncpworkplace.com"
    Version="2.0">
    <saml2:Issuer
        xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ncpworkplace.com</saml2:Issuer>
    <saml2p:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
</saml2p:AuthnRequest>

3. SAML Response 電子署名のための認証書登録

SAML Responseを電子署名するときに使用する認証書を登録します。 WORKPLACEは、ACS URLでSAML Responseを受け取ると、この認証書を用いて有効性を検証します。

NAVERクラウドプラットフォームコンソールDevelopersのSSO設定でCertificate Fileに認証書を登録します。

SAML 2.0基盤電子署名用の認証書の登録

ログアウト

WORKPLACE ログアウト

顧客社のシステムでログアウトした後、WORKPLACEでログアウトする時に使用します。

ログアウトの要請を受けると、WORKPLACEではログインされているWORKPLACEのアカウントをログアウトして、受け取ったredirect_uriにredirectします。

redirect_uriはwhite_urlで管理されるので、NAVERクラウドプラットフォームコンソールDevelopersのSSO設定でLogout Redirection Domainに登録する必要があります。

Request URL

https://会社ID.ncpworkplace.com/authn/logoutProcess

HTTP Method

GET/POST

Request

パラメータ タイプ 必須 説明
redirect_uri String Y WORKPLACEでログアウトした後、redirectするURL.URLエンコードされている

Response

redirect_uriでredirectします。

顧客社のログアウト

WORKPLACEでログアウトした後、顧客社のシステムでもログアウト処理をするときに使用します。

Request URL

https://顧客社ドメイン/ログアウト

WORKPLACEのインフラのセキュリティ政策によって443だけ使用することができます。 制作したRequest URLは、NAVERクラウドプラットフォームコンソールDevelopersのSSO設定でLogout URLに登録します。

HTTP Method

GET

Request

パラメータ タイプ 必須 説明
redirect_uri String N 顧客社のシステムでログアウト処理後にredirectするredirect_uri. URL エンコードされている。

SSO 連動の完了後

SSO連動が完了すると、従来使用していた企業情報システムのログイン情報でWORKPLACEログインが可能になり、ログイン情報の管理に便利になります。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...