ServiceDesk Plus Cloud ナレッジベース

ManageEngine > サポート > ServiceDesk Plus Cloud ナレッジベース > おすすめの活用情報 > ServiceDesk Plus CloudにOktaによるシングルサインオンを設定する
戻る

ServiceDesk Plus CloudにOktaによるシングルサインオンを設定する

  • 作成日:2025年7月3日 | 更新日:2025年7月3日

動作確認日:2025年6月19日

対応エディション:Standard、Professional、Enterprise

ServiceDesk Plus Cloud上の設定作業に必要な役割:組織管理者

ServiceDesk Plus Cloudへログインする方法には、通常のローカルパスワード認証のほか、Active Directory認証情報のインポートやActive Directory Federation Serviceとの連携など、複数のオプションがあります。本投稿では、SAML 2.0を利用し、OktaからServiceDesk Plus Cloudへのシングルサインオン(SSO)を設定する方法を解説します。 

 

OktaによりServiceDesk Plus CloudへのSSOを実現する方法には、

  1. ServiceDesk Plus CloudのESMディレクトリとOktaの連携
  2. Zoho DirectoryとOktaの連携

の2種類があります。本ナレッジでは「1.ServiceDesk Plus CloudのESMディレクトリとOktaの連携」を解説します。「2.Zoho DirectoryとOktaの連携」の概要については、Zoho Directoryアドミンガイドの「Oktaによるカスタム認証」をご参照ください。

なお、2つの方法によるSSOはそれぞれ挙動が異なります。「1.ServiceDesk Plus CloudのESMディレクトリとOktaの連携」でSSOを設定すると、ServiceDesk Plus CloudのすべてのユーザーにSSOが強制されます(ただし、特権管理者アカウントのみ、SSOを迂回してのログインが可能です)。一方、「2.Zoho DirectoryとOktaの連携」でSSOを設定した場合、SSOを適用するユーザーを選択的に設定することが可能になります。

ServiceDesk Plus CloudでSSOを利用するメリット

ServiceDesk Plus Cloudは製品の性質上、依頼者を含む組織内の多数のユーザーがログインして利用するケースが考えられます。そのため、アカウント管理の効率化が導入時の課題です。SSOを利用することでServiceDesk Plus Cloudで個別にID体系を管理する必要がなくなり、アカウント管理の負担を軽減します。すでにIDaaS製品を導入している場合、組織内で利用している他のサービスと認証プロセスを一元化でき、ユーザー負荷やセキュリティリスクの軽減が期待できます。

実現すること

ServiceDesk Plus Cloudをサービスプロバイダー(SP)、OktaをIDプロバイダー(IdP)としたシングルサインオンを行います。Oktaのアカウントダッシュボード上から、ワンクリックでServiceDesk Plus Cloudへのログインが可能になります。

ServiceDesk Plus CloudはログインURLとログアウトURLの双方を設定する必要があります。そのため、シングルログアウトも同時に設定します。

本ナレッジの手順に従ってSSOを設定すると、特権管理者以外のユーザーはSSOが強制され、他の方法でのログインが行えなくなります。あらかじめご注意ください。

手順

以下、ServiceDesk Plus Cloud上の作業はすべて特権管理者アカウントで行っています。また、Oktaの導入はすでに行われていることを前提とします。Oktaの導入、各種初期設定の詳細についてはOkta社のドキュメントをご参照ください。

Oktaのドキュメント
https://help.okta.com/ja-jp/content/index.htm

事前準備

Zoho Directoryでのユーザー設定
  1. ServiceDesk Plus Cloud画面左上のハンバーガメニューから[Zoho Directory]にアクセスします。
  2. [管理画面]→[アプリケーション]→[+アプリケーションを追加する]から「ServiceDesk Plus」を検索し、[追加する]をクリックします。
  3. 次に、Zoho Directory上に必要なユーザーを作成し、ServiceDesk Plus Cloudを割り当てます。Zoho Directoryの詳細については「Zoho Directory連携」をご参照ください。 
Oktaのユーザーアカウントと、ID連携させるZoho Directoryのユーザーアカウントは、同じメールアドレスを設定する必要があります。

Zoho DirectoryとServiceDesk Plus Cloudの連携については「【FAQ】ServiceDesk Plus Cloud - Zoho Directory連携」もご覧ください。

 

ServiceDesk Plus Cloudのカスタムドメイン設定

SAML 2.0を有効にするために、ESMディレクトリからドメインを追加する必要があります。

    1. 画面左上のハンバーガーメニューをクリックし、[ESMディレクトリ]にアクセスします。
    2. ESMディレクトリの[カスタムドメイン]→[ドメインの追加]をクリックし、利用するドメインを追加します。ドメイン認証の詳細は「ドメインの認証」をご参照ください。

 

メタデータのダウンロード

OktaにServiceDesk Plus Cloudの設定を行うために必要な情報を取得するため、Zoho Accountsにアクセスします。

  1. ServiceDesk Plus Cloud画面右上の[プロフィール]を展開し、[マイアカウント]をクリックします。
  2. [組織]→[SAML認証]→[メタデータをダウンロードする]をクリックし、メタデータをダウンロードします。

ダウンロードしたメタデータ(デフォルトのファイル名はzohometadata.xml)に記載の内容は、Oktaの設定に必要となります。

 

ServiceDesk Plus Cloudとのアプリ統合の作成

Okta Admin Consoleにアクセスし、ServiceDesk Plus CloudへのSSOを設定したアプリ統合を作成します。

  1. [アプリケーション]→[アプリケーション]にアクセスし、[アプリ統合を作成]をクリックしてアプリ統合の作成画面に進みます。
  2. 「新しいアプリ統合を作成」ウィンドウで「SAML 2.0」を選択し[次へ]をクリックします。
  3. 「一般設定」の「アプリ名」を設定し[次へ]をクリックします。
  4. 「SAMLの設定」フォームに各設定項目を入力します。日本データセンターで運用しているServiceDesk Plus Cloudに対して設定を行う場合、各フィールドの設定は以下のようになります(以下に記載している以外の項目はデフォルトから変更しません)。

    シングルサインオンURL:https://accounts.zoho.jp/signin/samlsp/[組織ID]
    オーディエンスURI(SPエンティティID):zoho.jp
    デフォルトのRelayState:カスタムドメイン、またはサブドメインのURL
    名前IDのフォーマット:EmailAddress
    次でアプリケーションのユーザー名を更新: 任意ですが、本投稿ではOktaユーザー名に設定して進めます。
    ダイジェストアルゴリズム:SHA1
    ※[組織ID]は、ESMディレクトリの[組織]で確認できます。
    ※「受信者URLおよび宛先URLに使用」をチェックします。

    組織IDを含むシングルサインオンURLや、オーディエンスURIの情報は、「Zoho Accountsからメタデータをダウンロードする」でダウンロードしたメタデータでも確認できます。

     

  5. 以上のフィールドを入力し、[次へ]をクリックします。
  6. 「アプリのタイプ」に「これは当社で作成した社内アプリです」を選択し、[終了]をクリックします。ServiceDesk Plus Cloudのアプリ統合が作成されます。

 

Okta署名証明書のダウンロード

アプリ統合の作成後、ServiceDesk Plus Cloud、Zoho Accountsに適用するためのOkta署名証明書をダウンロードします。

  1. Okta Admin Consoleに戻り[アプリケーション]を表示すると、ServiceDesk Plus Cloudが一覧に追加されているのでクリックします。[サインオン]タブを表示し、右下の[SAMLの設定手順を表示]をクリックします。
  2. 「<アプリ名>アプリケーションでのSAML 2.0の構成方法」ウィンドウ下部の[証明書をダウンロード]をクリックし、署名証明書(デフォルトのファイル名は「okta.cert」)をダウンロードします。

同画面に表示されているシングルサインオンURL、ログアウトURLはESMディレクトリ、Zoho Accountsの設定に必要となるため、コピーしておきます。

 

ESMディレクトリとZoho Accountsの設定

  1. ESMディレクトリの[SAML]→「SAML認証の設定」に移動し、「Okta署名証明書のダウンロード」で確認したシングルサインオンURL、ログアウトURLを入力します。
  2. [ファイルを選択]をクリックし「Okta署名証明書のダウンロード」で取得した証明書をアップロードし、[保存]をクリックします。
  3. 同様に、Zoho AccountsにもSAML設定を行います。[組織]→「SAML認証」→[設定する]をクリックし、表示されるサイドメニューの各フィールドを入力します。各フィールドの設定は以下のようになります。

    Zohoサービス:ServiceDesk Plus
    名前ID(NameID):メールアドレス

  4. Okta署名証明書をアップロードしたうえで、「SAMLの送信データに署名する」、「認証用の鍵のセット(キーペア)の生成」、「一括サインアウト(シングルサインアウト)」のトグルスイッチを有効にし、[送信する]をクリックします。
  5. 設定後「SAML認証」→[ダウンロード]から[公開鍵]を選択し、Zoho Accountsの公開鍵ファイルをダウンロードします。デフォルトのファイル名は「logoutcertificate.pem」です。

 

シングルサインアウトURLの設定

  1. Okta Admin Consleにアクセスし、設定したアプリ統合の「一般」→「SAMLの設定」内の[編集]をクリックします。
  2. 「SAML構成」ウィンドウに進み、「SAMLの設定」の[詳細設定を表示]をクリックして詳細設定を展開します。
  3. 詳細設定の以下の項目を設定します(以下に記載している以外の項目はデフォルトから変更しません)。

    署名証明書:Zoho Accountsでダウンロードした公開鍵ファイルを選択
    シングルログアウトを有効化:チェック
    シングルログアウトURL:https://accounts.zoho.jp/logout/samlsp/[組織ID]

  4. [次へ]→[終了]をクリックし、設定変更を完了します。
  5. 設定変更が完了すると[SAMLの設定手順を表示]ウィンドウにシングルログアウトURLが表示されるようになるため、これをコピーします。

コピーしたシングルログアウトURLを、ESMディレクトリの「ログアウトURL」、Zoho Accountsの「サインアウトURL」に入力し、設定を変更します。これによりシングルサインアウトが有効になります。

SSOの動作確認

この時点で設定を行った特権管理者はOktaによるSSOを利用できるようになっています。他のユーザーに展開する前に、事前に動作確認を行うことを推奨します。

これまでの設定作業を行ったOkta管理者アカウントでOktaにログインすると、ダッシュボード上に割り当てられたアプリ統合が表示されます。これをクリックし、設定したSAMLに基づいてServiceDesk Plus CloudにSSOを行えます。

Oktaユーザーへのアプリ統合の割り当て

Oktaのユーザーにアプリ統合を割り当てます。Okta Admin Consoleにアクセスし、ServiceDesk Plus Cloudアプリ統合の[割り当て]タブから、Oktaの各ユーザーにアプリ統合を割り当てます。アプリ統合の割り当ては、ユーザーグループに対しても行えます。

組織内におけるServiceDesk Plus Cloud上のユーザーの役割やアプリケーションの利用許可をOktaユーザーグループで管理したり、従業員のオンボーディング、オフボーディングを組織で利用している他のアプリケーションと併せて一元化し、効率化できるメリットがあります。

このナレッジの総閲覧回数: 417

関連するナレッジはありません

タグ: