本機能はご契約によっては有償でのご提供となります。メニューが表示されずご利用を希望される場合は担当営業もしくはサポートセンターへお問い合わせください。
ここではSAML認証の設定方法についてご案内します。Sansan は、SAML2.0プロトコルによる外部認証を利用して各種IdP(Identity Provider)と連携することが可能です。本機能を利用することで、IdPで管理しているIDとパスワードで Sansan にログインできるようになります。
目次
仕様説明
- 1企業全体に影響する[全社共通設定]と、ご契約単位で設定できる[契約別の設定]ができます。
- [契約別の設定]を有効化した場合、[全社共通設定]よりも設定が優先されます。
- 一部のユーザは通常のログイン、一部のユーザはSAML認証という使い分けはできません。
- PC版は通常のログイン、スマホアプリ版はSAML認証という使い分けはできません。
- SAML認証はIDとパスワードのみ連携可能です。IdP上のユーザ追加、変更、削除を Sansan に自動で反映する機能はありません。
- IdPで発行した証明書の有効期限が切れる前に更新が必要です。忘れずに管理をお願いします。
- SAML認証を有効化すると、招待機能は自動的に無効化され、ご利用いただけません。
- 手順内の動作テストはPC版のみのテストとなります。スマホアプリ版でのテストをしたい場合は別途無料トライアルにサインアップしテストしてください。無料トライアルの登録方法はサポートセンターまでお問い合わせください。
手順
新規IdP設定を追加する
事前準備
- 操作者にSAML Name IDの設定が必要です。ユーザ情報の変更方法はこちらをご覧ください。 ※IdP側のユーザ情報(ログインID)と同じ値を設定してください。IdP側のユーザ情報とSAML Name IDは大文字小文字含め、完全一致する必要があります。
- SAML認証を有効化するためには、システム管理者の権限が必要です。
[管理者設定] > [セキュリティ設定] > [SAML認証] >[新規IdP設定追加]から設定を追加します。
1.IdP側
これから設定するIdPに、設定名をつけます。「全社共通用」や「関西支店用」など、用途がわかる設定名を推奨します。
利用するIdPを選択します。選択可能なIdPについてこちらをご覧ください。
[その他] を選択した場合は、利用するIdPの仕様にあわせて、[単一] か [複数] の Entity ID を選択します。ご不明な場合はIdP提供元へご確認ください。
※ [その他] 以外のIdPを選択した場合は、選択されたIdPに適した Entity ID が自動的に選択されます。
[IdPに設定する情報] を [表示] し、表示される内容を控え、IdP側に設定してください。
- 単一Entity IDの場合
※本画像はサンプルです。実際の画面に表示された値を設定してください。
※本画像はサンプルです。実際の画面に表示された値を設定してください。
- 複数Entity IDの場合
※本画像はサンプルです。実際の画面に表示された値を設定してください。
※本画像はサンプルです。実際の画面に表示された値を設定してください。
2.Sansan側
MDMを利用する場合は、[利用する] にチェックを入れます。
※Microsoft Intune等によるデバイス管理やアクセス制御等を設けている場合はチェックを入れてください。
IdPの各種設定を入力します。
入力すべき情報が分からない場合は、IdP提供元へご確認ください。入力時には不要なスペース等が混入しないようご注意ください。
※ログアウトURLの入力は任意です
SAML署名証明書をアップロードします。
拡張子は .cer となります。
SAMLレスポンスに対する署名についてはIdP側で以下の設定としてください。
- ダイジェストアルゴリズム:sha-256 および sha-512のいずれか
- 署名アルゴリズムは、rsa-sha-256 および rsa-sha-512のいずれか
3.設定の検証
動作テストを [実行] します。
動作テストが完了しない限り、保存はできません。
[実行] を押下すると、IdPのログイン画面に自動的に遷移します。IdPのID、パスワードを入力して認証します。
※本画像はサンプルです。利用するIdPによって画面は異なります。
動作テストに問題がなければ、テスト完了です。
[保存]を押して設定情報を保存してください。保存をしても、設定の利用は開始されません。
一覧にIdP設定が追加されたことが確認できます。
動作テストのエラー内容
動作テストがエラーとなった場合、以下のエラーメッセージとあわせて、実際のSAMLレスポンスが画面上に表示されます。内容に応じて、Sansan側、IdP側の設定を修正してください。
| エラー | 対処法 |
|---|---|
| IdPの識別名が正しくありません | Sansan の画面上で設定したIdPの識別名と実際のSAMLレスポンスのIdp識別名が一致していません。いずれかを修正し一致するようにしてください。 |
| SAML署名証明書が正しくありません | 証明書に問題があります。再発行して設定し直してください。 |
| SAML Name IDの登録が正しくありません |
Sansan のユーザ管理画面で設定されているSAML Name IDと実際のSAMLレスポンスのSAML Name IDが一致していません。いずれかを修正し一致するようにしてください。 |
| Audienceに値が入力されていません |
IdP のAudienceの値は識別子(Entity ID)を設定してください。 |
| サポート外の署名アルゴリズムが指定されています |
RSA-SHA-256かRSA-SHA-512を指定してください。 |
| サポート外のダイジェストアルゴリズムが指定されています |
SHA-256かSHA-512を指定してください。 |
| 403もしくは404のエラーが表示される(エラーメッセージ、SAMLレスポンスは表示されません) |
SansanのSAML認証設定画面、「IdPに設定する情報」が正しくIdP側に設定されているかご確認ください。また、Sansan側に設定するIdP側の各種設定や証明書が正しく設定されているかご確認ください。なお、Sansanでは応答URLがPC版とアプリ版で異なります。IdP側で応答URLを複数設定できない場合、登録方法は各IdP側にお問い合わせください。 |
選択可能なIdP
SAML認証の動作確認済みのIdPは以下のとおりです。
| IdP | Entity ID |
|---|---|
| Active Directory Federation Services | 単一 |
| Ahth 0 | 単一 |
| Azure Active Directory | 単一 |
| CloudGate UNO | 単一 |
| Google Workspace (旧 G Suite) | 複数 |
| HENNGE One | 複数 |
| Okta | 単一 |
| OneLogin | 単一 |
全社共通の設定をする
契約範囲に関わらず、全社に設定が反映されます。
ID・パスワード認証を利用する
初期値は通常のID・パスワードによる認証に設定されています。
SAML認証を利用する
SAML認証を利用する場合は、事前にIdPの設定が必要です。設定方法についてはこちら。 SAML認証を利用する場合は、各ユーザーにSAML Name IDの設定が必要です。ユーザ情報の変更方法はこちらをご覧ください。
利用するIdP設定を選択します。選択肢は、事前に追加されたIdP設定が表示されます。
SAML Name IDが付与されていないユーザーは、ログインできなくなります。
確認し、設定に問題がなければ[保存]し、設定を完了してください。
契約別の設定をする
操作者が管理している契約範囲内のみに影響する設定です。有効化すると、全社共通の設定より、優先的に影響する設定です。影響を受ける対象は、[管理者設定]>[ユーザー追加・変更]で閲覧できるすべてのユーザーです。
ID・パスワード認証を利用する
初期値は、全社共通の設定を引き継ぐようになっています。
[有効化]にチェックを入れ、[ID・パスワード認証を利用する]に設定し、[保存]をすると、契約別の設定が利用開始されます。
SAML認証を利用する
SAML認証を利用する場合は、事前にIdPの設定が必要です。設定方法についてはこちら。 SAML認証を利用する場合は、各ユーザーにSAML Name IDの設定が必要です。ユーザ情報の変更方法はこちらをご覧ください。
初期値は、全社共通の設定を引き継ぐようになっています。
[有効化]にチェックを入れ、[SAML認証を利用する]に設定し、利用するIdP設定を選択します。選択肢は、事前に追加されたIdP設定が表示されます。
SAML Name IDが付与されていないユーザーは、ログインできなくなります。
確認し、問題がなければ[保存]をすると、契約別の設定が利用開始されます。
SAML認証有効化後のログイン方法
SAML認証を有効化するとログイン方法が変わります。有効化する前にユーザへ周知をお願いします。
ログイン方法
通常のログイン画面で、Sansan に登録しているメールアドレスを入力して「ログイン」を押下します。
設定したIdPの認証画面に遷移しますので、IdPで管理している ユーザIDおよびパスワードでログインしてください。
PC版
→ 
スマホアプリ版
→ 
※本画像はサンプルです。利用するIdPによって画面は異なります。
SAML認証ができずログインできない場合
SAML認証を誤って設定した場合など、IdPからログインできなくなった際に、システム管理者に限りIdPに遷移せずにログインし、復旧作業を行うことができます。
復旧手順
SAML認証できなくなった場合の復旧手順としては
- https://ap.sansan.com/v/SSLogin.aspx?saml=offにアクセスします。
- SansanのID・パスワードを入力しログインします。
(SansanのID・パスワードがわからない場合は、こちらから再設定) - ログイン後、SAML認証の設定を見直したり、証明書を再アップロードします。
よくある質問
Q:Microsoft Intuneを利用したい、デバイス証明書等を使ってログインしたい。
A:SansanのIdP設定にて「MDMを利用する」にチェックを入れてください。チェックを入れることでiPhoneであればSafari、AndroidであればChromeが立ち上がるようになり、デバイス証明書の認証が可能となります。 ただし、左記OSとブラウザ以外の組み合わせの場合、認証できないことがあります。
Q:IdP側のログイン画面でユーザ情報を入力すると、「Sansan に登録されていないユーザです。ご利用いただくためには、貴社管理者にユーザを登録していただく必要がございます。」と表示される。
A:Sansanのユーザ情報で登録された SAML Name ID と、IdPで登録されたユーザ情報が一致していない可能性があります。SAML Name IDとIdPに登録しているユーザ情報は、大文字小文字含め完全一致する必要がありますのでご確認ください。
Q:毎回IdP側の画面に遷移することなく、シングルサインオンでログインできますか。
A:Sansan でサポートしているのはSP-Initiated※ のSAML認証のみです。
※ Sansanにアクセスしてから、ご利用のIdPにアクセスし、IdP認証後にSansanに接続すること。
Q:設定情報についてメタデータをXMLファイルで提供していますか。
A:提供しておりません。IdP側に設定する情報につきましては、SansanのIdP設定画面、「IdPに設定する情報」よりご確認ください。
Q:IdP側でダウンロードしたSAML署名証明書について、拡張子を.cerに変更しても良いですか。
A:変更してください。Sansanに設定いただくSAML署名証明書の拡張子は.cerにしていただく必要があります。
Q:SAML認証と二要素認証は併用できますか。
A:併用できません。
Q:SAML認証と利用端末制限は併用できますか。
A:併用できます。
Q:SAML認証とIPアドレス制限は併用できますか。
A:併用できます。許可されていないIPアドレスからアクセスした場合、ログイン時にIdP側のユーザ情報入力後エラーとなります。
各種IdP設定マニュアル
各IdPの設定マニュアル(外部リンク)です。内容については各IdPにお問い合わせください。
Azure Active Directory
https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/sansan-tutorial
Cloud Gate UNO
https://cg-support.isr.co.jp/hc/ja/articles/360000300242
HENNGE
https://teachme.jp/35563/manuals/1276815/
トラスト・ログイン
https://support.trustlogin.com/hc/ja/articles/900004762866