HELP FILE

シングル サインオン認証を設定する

この記事は Rescue 管理者向けのガイダンスを提供します。

シングル サインオンを使用すると、サポート技術者は他のアプリケーションから LogMeIn Rescue に安全にログインできます。

企業の IT 環境では、複数のシステムをばらばらに導入し、それぞれ別個に認証が必要になることがよくあります。これは、管理者にとってもエンド ユーザーにとっても厄介です。LogMeIn Rescue のシングル サインオン (SSO) 機能では、この問題を緩和できます。

オプション

設定は管理センター[グローバル設定] タブにある [シングル サインオン] で行います。

Rescue に技術者および管理者がログインする方法を制御できます。

[グローバル設定] > [シングル サインオン] > ​[許可するログイン方法] で選択できるオプションの概要は次のとおりです。

  • オプション 1 : 標準または SSO
    • ユーザーは標準の Rescue メール アドレスやパスワード、または SSO ID でログインできます。どちらの方法も有効です。
    • 注意: SSO を使用する場合は、マスタ SSO パスワードを ([グローバル設定] タブで) 設定し、ユーザー 1 人につき 1 つの SSO ID を ([組織] タブで) 割り当てる必要があります。SSO ID を持っていないユーザーは SSO を使用できません。
  • オプション 2 : SSO のみ
    • ユーザーは SSO ID でのみログインできます。このオプションでは、SSO ID を持っていないユーザーはログインできません。
    • 注意: SSO を使用する場合は、マスタ SSO パスワードを ([グローバル設定] タブで) 設定し、ユーザー 1 人につき 1 つの SSO ID を ([組織] タブで) 割り当てる必要があります。
  • オプション 3 : SSO のみ、そしてユーザーが SSO ID を使わずに標準ログインすることを許可する
    • SSO ID を持っているユーザーは SSO ID でのみログインできます。
    • SSO ID を持っていないユーザーは標準ログインを使用できます。

動作の仕組み

SSO 機能では API 技術を利用します。

  • 企業がホストするスクリプトから SSO ログイン サービスに HTTP 要求を送信します。
  • SSO ログイン サービスは、ログインの成功を確認してから URL を取得します。ログイン失敗の場合はエラー メッセージを返します。
  • 企業がホストするスクリプトはその戻り値を判断します。
  • 成功の場合、企業がホストするスクリプトは、返された URL にユーザーをリダイレクトします。失敗の場合は、エラー処理を開始します。

HTTP 要求は、基本的な形式の URL 文字列で、SSO URL、SSOID、CompanyID、SSO Password を指定します。

SSO URL (シングル サインオン URL)
Web ベースの技術者コンソールにログインする場合: https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx
技術者コンソールのデスクトップ アプリにログインする場合: https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx
SSOID (シングル サインオン ID)
組織のメンバを追加または編集するときに管理センターの [組織] タブの [シングル サインオン ID ] ボックスで指定した ID。
CompanyID
管理センターの [グローバル設定] タブのサンプル コードを参照してください。
マスタ SSO パスワード
[グローバル設定] タブで指定した SSO パスワードです。

整形後の URL の例は次のとおりです。

Web ベースの技術者コンソールにログインする場合:
https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx?
ssoid=123456&Password=secretPassword&CompanyID=654321
技術者コンソールのデスクトップ アプリにログインする場合:
  • x86 DTC :
    https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx?
    ssoid=123456&Password=secretPassword&CompanyID=654321
  • x64 DTC :
    https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx?
    ssoid=123456&Password=secretPassword&CompanyID=654321&arch=64

この要求を行うと、SSOIDPasswordCompanyID が Rescue SSO サービスに送信され、文字列値が返されます。認証に成功した場合、次のような文字列が返されます。

Web ベースの技術者コンソールの場合:

OK: https://secure.logmeinrescue.com/SSO/Login.aspx?
Ticket=6ab9a0f6-d3ce-4f498-8ea7-b9a76a67a0c8

技術者コンソールのデスクトップ アプリの場合:

  • x86 DTC :
    https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx?
    companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824
  • x64 DTC :
    https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx?
    companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824&arch=64

認証に失敗した場合、次のような文字列が返されます。

ERROR: INVALIDPASSWORD

この文字列およびエラーを判別し、適切に処理します。一般的には、返された文字列を IF 条件により処理し、"OK:" が最初の 3 文字かどうかを調べます。その場合は、URL (処理する文字列の残りの部分) を取り出し、ユーザーに提示するか、自動で直接リダイレクトします。

シングル サインオンの考慮事項

シングル サインオンではユーザー ID の認証が必要になるため、Windows の資格情報を使用するのが合理的です。大半のプログラミング言語では、サーバーサイド変数を利用してその処理を実行できます。肝心なのは、サーバー接続が匿名の接続ではなく認証済みの接続であることが必要な点です。これは Internet Explorer による統合プロセスです。匿名アクセスを認めていなければ、イントラネット サーバーに自動でドメイン資格情報が渡されます。最善の策は、イントラネット Web サーバーからの認証済みのユーザー ID を、SSO サービスに SSOID として渡す方法です。

シングル サインオンと SAML 2.0

LogMeIn Rescue は SAML (Security Assertion Markup Language) 2.0 に準拠しています。ご利用の ID プロバイダーで SAML 2.0 を使用するように LogMeIn Rescue を設定する方法の詳細については、『SAML 2.0 経由の LogMeIn Rescue Web SSO ユーザー ガイド』を参照してください。

注: SSO 設定プロセスの最後の手順は、LogMeIn サポート チームが実行する必要があります。支援が必要な場合は、カスタマー サクセス マネージャーまたは LMI サポートまでお問い合わせください。