企業内でチャットワークを利用される場合の強い要望のひとつに、社内ですでに管理しているアカウントでチャットワークにもログインできないかというものがありました。
本日、このご要望にお応えするためKDDI ChatWorkにSAML2.0によるシングルサインオンの機能を追加いたしました。
※KDDI ChatWorkについての詳細はこちら
SAMLとは
SAML(Security Assertion Markup Language)とは、異なるサービス間で認証情報を連携させるための標準規格です。
KDDI ChatWorkはこのSAML規格のバージョン2.0に対応しており、シングルサインオンを設定することでKDDI ChatWorkがサービスプロバイダ(SP)として動作し、お客様側の認証プロバイダ(IdP)を利用してKDDI ChatWorkにログインすることができるようになります。
※Active Directoryをご利用の場合は、Active Directory Federation Services(ADFS) 機能のバージョン2.0以降を利用することでActive DirectoryをIdPとして利用することができます。
設定方法
KDDI ChatWorkでのシングルサインオンはすぐにご利用いただけます。管理者アカウントから管理画面を表示していただき、「セキュリティ管理」の「ログイン制限」ページから設定することができます。
詳しい設定方法は、KDDI ChatWorkの管理画面内でダウンロードできる「管理者設定ご利用ガイド(PDF)」をご参照ください。
シングルサインオンの流れ
SAMLによるシングルサインオンを利用したログインの流れは下記の図のようになります。
各組織それぞれで設定されたKDDI ChatWorkの専用のログインURLにアクセスすると、設定された社内システムなどの認証プロバイダ(IdP)へと自動でブラウザがリダイレクトし、認証プロバイダ側のログイン画面が表示されます。
認証プロバイダ側でログイン情報を入力してサインインすると、再びKDDI ChatWorkへとリダイレクトし、ログイン済みの状態となります。
認証プロバイダへのログインはKDDI ChatWorkのサーバーからではなく、ユーザー自身のブラウザで直接認証作業を行うため、社内システムが社内IPからのみアクセスできるような場合でも問題無くログインすることができます。
シングルサインオンを利用したユーザー管理
シングルサインオンを設定するとログインはすべて認証プロバイダ経由となるため、社内システムなどのアカウントを停止することでKDDI ChatWorkへも該当ユーザーをログインできないようにでき、安全性を高めることができます。
なお、KDDI ChatWorkのシングルサインオン機能ではユーザー情報の同期、シングルログアウトには対応しておりませんのでご注意ください。(認証プロバイダ側のアカウントを削除されたとしても、KDDI ChatWorkのアカウント情報を削除されることはありません)
