本機能はご契約によっては有償でのご提供となります。メニューが表示されずご利用を希望される場合は担当営業もしくはサポートセンターへお問い合わせください。
ここではSAML認証の設定方法についてご案内します。Sansan は、SAML2.0プロトコルによる外部認証を利用して各種IdP(Identity Provider)と連携することが可能です。本機能を利用することで、IdPで管理しているIDとパスワードで Sansan にログインできるようになります。
設定したSAML認証の利用方法は、こちら。
目次
仕様説明
- PC版は通常のログイン、スマホアプリ版はSAML認証という使い分けはできません。
- SAML認証はIdP側の認証情報をSansanに連携してログインする機能です。IdP上のユーザー追加、変更、削除を Sansan に自動で反映する機能はありません。
- SAML認証を有効化すると、二要素認証を利用することはできません。
- SAML認証を有効化すると、招待機能は自動的に無効化され利用することはできません。
- SAML認証が有効化されたユーザはスマホアプリ版で強制的にログアウトします。認証方式変更は、ユーザへの周知や実施時間の調整をご検討ください。なお、PC版では、SAML認証有効化によって強制ログアウトはされません。
- IdPで発行した証明書の有効期限が切れる前に更新が必要です。忘れずに管理をお願いします。
- 手順内の動作テストはPC版のみのテストとなります。スマホアプリ版のテストは[ユーザ別の設定]にて検証を行うユーザのみSAML認証を有効にしてログインをお試しください。
手順
新規IdP設定を追加する
事前準備
- 操作者にSAML Name IDの設定が必要です。ユーザ情報の変更方法はこちらをご覧ください。 ※IdP側のユーザ情報と同じ値を設定してください。IdP側のユーザ情報とSAML Name IDは大文字小文字含め、完全一致する必要があります。
- SAML認証を有効化するためには、システム管理者の権限が必要です。
[管理者設定] > [セキュリティ設定] > [SAML認証] >[新規IdP設定追加]から設定を追加します。
1.IdP側
これから設定するIdPに、設定名をつけます。「全社共通用」や「関西支店用」など、用途がわかる設定名を推奨します。
利用するIdPを選択します。利用するIdPが選択肢にない場合は[その他]を選択します。選択可能なIdPについてこちらをご覧ください。
[その他] を選択した場合は、利用するIdPの仕様にあわせて、[単一] か [複数] の Entity ID を選択します。ご不明な場合はIdP提供元へご確認ください。
※ [その他] 以外のIdPを選択した場合は、選択されたIdPに合わせた Entity ID が自動的に表示されます。
[IdPに設定する情報] の[表示] を選択します。表示された内容を控え、IdP側に設定してください。
接続テストを完了して設定を保存するまで設定画面は開いたままにしておいてください 。
- 単一Entity IDの場合
※本画像はサンプルです。実際の画面に表示された値を設定してください。
- 複数Entity IDの場合
※本画像はサンプルです。実際の画面に表示された値を設定してください。
2.Sansan側
MDMを利用する場合は、[利用する] にチェックを入れます。 (Microsoft Intune等によるデバイス管理やアクセス制御等を設けている場合はチェックを入れてください。)
※チェックをすると、アプリ内で認証時iPhoneはSafari AndroidはChromeを開きます。これにより証明書を用いたデバイス認証が可能となります。
iOS端末のデフォルトブラウザ
MDMを「利用する」を選択した場合、「iOS端末のデフォルトブラウザ」の選択が表示されます。
MDMからIdPへの証明書のやりとりには、iOS端末上で設定されたデフォルトブラウザが利用されます。デフォルトブラウザにSafari以外を利用する場合は、[① Safari以外を利用する]に変更しないとログインできません。
なお、「Safari以外を利用する」にした場合は、認証後に画面に表示される[② Sansanに戻る]ボタンを押下して、アプリへ遷移することになります。
IdPの各種設定を入力します。
入力すべき情報が分からない場合は、IdP提供元へご確認ください。入力時には不要なスペース等が混入しないようご注意ください。
※ログアウトURLの入力は任意です
SAML署名証明書をアップロードします。
拡張子は .cer となります。
SAMLレスポンスに対する署名についてはIdP側で以下の設定としてください。
- ダイジェストアルゴリズム:sha-256 および sha-512のいずれか
- 署名アルゴリズムは、rsa-sha-256 および rsa-sha-512のいずれか
3.設定の検証
動作テストを [実行] します。
動作テストが完了しない限り、保存はできません。
[実行] を押下すると、IdPのログイン画面に自動的に遷移します。IdP側のID、パスワードを入力して認証します。
※本画像はサンプルです。利用するIdPによって画面は異なります。
動作テストに問題がなければ、テスト完了です。
[保存]を押して設定情報を保存してください。保存をしても、設定の利用は開始されません。
設定の利用方法はこちら。
一覧にIdP設定が追加されたことが確認できます。
動作テストのエラー内容
動作テストがエラーとなった場合、以下のエラーメッセージとあわせて、実際のSAMLレスポンスが画面上に表示されます。内容に応じて、Sansan側、IdP側の設定を修正してください。
| エラー | 対処法 |
|---|---|
| IdPの識別名が正しくありません | Sansan の画面上で設定したIdPの識別名と実際のSAMLレスポンスのIdp識別名が一致していません。いずれかを修正し一致するようにしてください。 |
| SAML署名証明書が正しくありません | 証明書に問題があります。再発行して設定し直してください。 |
| SAML Name IDの登録が正しくありません |
Sansan のユーザ管理画面で設定されているSAML Name IDと実際のSAMLレスポンスのName IDが一致していません。いずれかを修正し一致するようにしてください。 |
| Audienceに値が入力されていません |
IdP のAudienceの値は識別子(Entity ID)を設定してください。 |
| サポート外の署名アルゴリズムが指定されています |
RSA-SHA-256かRSA-SHA-512を指定してください。 |
| サポート外のダイジェストアルゴリズムが指定されています |
SHA-256かSHA-512を指定してください。 |
|
SansanのSAML認証設定画面、「IdPに設定する情報」が正しくIdP側に設定されているかご確認ください。また、Sansan側に設定するIdP側の各種設定や証明書が正しく設定されているかご確認ください。なお、Sansanでは応答URLがPC版とアプリ版で異なります。IdP側で応答URLを複数設定できない場合、登録方法は各IdP側にお問い合わせください。 |
選択可能なIdP
SAML認証の動作確認済みのIdPは以下のとおりです。
| IdP | Entity ID |
|---|---|
| Active Directory Federation Services | 単一 |
| Ahth 0 | 単一 |
| Azure Active Directory | 単一 |
| CloudGate UNO | 単一 |
| Google Workspace (旧 G Suite) | 複数 |
| HENNGE One | 複数 |
| Okta | 単一 |
| OneLogin | 単一 |
SAML認証ができずログインできない場合
SAML認証を誤って設定した場合など、IdPからログインできなくなった際に、システム管理者に限りIdPに遷移せずにログインし、復旧作業を行うことができます。
復旧手順
SAML認証できなくなった場合の復旧手順としては
- https://ap.sansan.com/v/SSLogin.aspx?saml=offにアクセスします。
- SansanのID・パスワードを入力しログインします。
(SansanのID・パスワードがわからない場合は、こちらから再設定) - ログイン後、SAML認証の設定を見直したり、証明書を再アップロードします。
よくある質問
Q:Microsoft Intuneを利用したい、デバイス証明書等を使ってログインしたい。
A:SansanのIdP設定にて「MDMを利用する」にチェックを入れてください。デバイス証明書の認証が可能となり、iPhoneであればSafari、AndroidであればChromeが立ち上がるようになります。iOS端末のデフォルトブラウザにSafari以外を利用する場合は、「Safari以外を利用する」にチェックを入れてください。
Q:IdP側のログイン画面でユーザ情報を入力すると、「Sansan に登録されていないユーザです。ご利用いただくためには、貴社管理者にユーザを登録していただく必要がございます。」と表示される。
A:Sansanのユーザ情報で登録された SAML Name ID と、IdPで登録されたユーザ情報が一致していない可能性があります。SAML Name IDとIdPに登録しているユーザ情報は、大文字小文字含め完全一致する必要がありますのでご確認ください。
Q:IdP側の画面からしかログインできませんか?(IdP-Initiatedですか?)
A:Sansan でサポートしているのはSP-Initiated※ のSAML認証のみです。
※ Sansanにアクセスしてから、ご利用のIdPにアクセスし、IdP認証後にSansanに接続すること。
Q:設定情報についてメタデータをXMLファイルで提供していますか。
A:提供しておりません。IdP側に設定する情報につきましては、SansanのIdP設定画面、「IdPに設定する情報」よりご確認ください。
Q:IdP側でダウンロードしたSAML署名証明書について、拡張子を.cerに変更しても良いですか。
A:変更してください。Sansanに設定いただくSAML署名証明書の拡張子は.cerにしていただく必要があります。
Q:SAML認証と二要素認証は併用できますか。
A:併用できません。
Q:SAML認証と利用端末制限は併用できますか。
A:併用できます。
Q:SAML認証とIPアドレス制限は併用できますか。
A:併用できます。許可されていないIPアドレスからアクセスした場合、ログイン時にIdP側のユーザ情報入力後エラーとなります。
各種IdP設定マニュアル
各IdPの設定マニュアル(外部リンク)です。内容については各IdPにお問い合わせください。
Azure Active Directory
https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/sansan-tutorial
Cloud Gate UNO
https://cg-support.isr.co.jp/hc/ja/articles/360000300242
HENNGE
https://teachme.jp/35563/manuals/1276815/
トラスト・ログイン
https://support.trustlogin.com/hc/ja/articles/900004762866