LINE WORKSをAzure ADでSSOする構成にしてみた

9/18/2021

Azure AD Microsoft 365 Office 365 SSO

 Salesforce、Tableau、Zoomに続く第4弾。今回はLINE WORKSをOffice365にシングルサインオンする設定をしてみました。

OAuthでも実施できるのですが、SAMLで実施しています。



前提条件

SaaSによっては「どのライセンスでもSSOできます」「特定のレベル以上のライセンスが必要」「SSO追加オプションを購入してください」等の条件があります。

LINEWORKSでSSOする場合にどのプランが必要かは、公開情報ではみつけられませんでした。こちらは要確認です。


SSOの構成(AAD管理センターでの作業)

Azure Active Directory 管理センター - エンタープライズアプリーケーションを開きます。ギャラリーでLINE WORKSを検索し、名前を付けて保存します。



アプリケーションの追加がおわったら、シングルサイン -  SAML と進めて以下の2か所に設定します。

基本的なSAML構成セクションで、以下のように設定します。
Identifier (Entity ID)/識別子 worksmobile.com 最初から入っているので、そのままでOKです
Reply URL
 (Assertion Consumer Service URL)/応答URL
https://auth.worksmobile.com/acs/<ドメイン名>
Sign on URL/サインオンURL https://auth.worksmobile.com/d/login/<ドメイン名>


続けて、SAML署名証明書セクションから、Base64の証明書をダウンロードします。ダウンロードした証明書の拡張子は"cer"なんですが、拡張子を"pem"に変更しましょう。

以下の画面を開いた状態で、今度はLINE WORKSの管理画面を開きます。


SSOの構成(LINE WORKS Developers Consoleでの作業)

今度は、LINEWORKS上で設定します。
https://developers.worksmobile.com/jp/console/

コンソールを開いて、SSOを開いて、SAMLのラジオボタンをオンにします。
そのあと、以下のように設定します。

AzureADの値
Web Login URL AADのLogin URLの値
Logout URL AADのLogout URLの値
プロバイダの証明書を特定 先ほど拡張子を変更した証明書ファイルをアップロード




設定して保存すると、すべてのユーザーをサインアウトする旨の表示が出ます。


テストする

あとはAzure AD - エンタープライズアプリケーション - LINE WORKS - ユーザーとグループ、にてユーザーを割り当てて、実際にテストしましょう。

プライベートブラウズで、LINE WORKSのログイン画面でIDを入力し、始める、をクリックします。
するとOffice365のログイン画面にリダイレクトされますので、Office365のUPN入力して、パスワード入力して、LINE WOKSに無事サインインしてたら、成功です。


参考資料

チュートリアル:Azure Active Directory と LINE WORKS の統合

LINE WORKS Developers SSOの概要

LINE WORKS Developers SAML Response 生成
SAML Response 検証のエラーコード

各種SaaSとAzure Active Directoryのシングルサインオン対応状況を調べてみた