Sansan

SAML認証を設定する

Sansan は、SAML2.0プロトコルによる外部認証を利用して各種IdP(Identity Provider)と連携することが可能です。本機能を利用することで、IdPで管理しているIDとパスワードで Sansan にログインできるようになります。

 

注意事項

  • 本機能はオプションとなります。ご利用をご希望の場合は営業担当までご連絡ください。
  • 1企業、あるいはグループ会社で複数ご契約いただいている場合、SAML認証はすべてのご契約で共通設定となります。
  • 複数のIdPと連携することはできません。1企業につき1つのSAML認証となります。
  • 一部のユーザは通常のログイン、一部はユーザはSAML認証という使い分けはできません。
  • PC版は通常のログイン、スマホアプリ版はSAML認証という使い分けはできません。
  • SAML認証はIDとパスワードのみ連携可能です。IdP上のユーザ追加、変更、削除を Sansan に自動で反映する機能はありません。
  • IdPで発行した証明書の有効期限が切れる前に更新が必要です。忘れずに管理をお願いします。
  • SAML認証を有効化すると、招待機能は自動的に無効化され、ご利用いただけません。
  • 手順内の動作テストはPC版のみのテストとなります。スマホアプリ版、スマホWeb版でのテストをしたい場合は別途無料トライアルにサインアップしテストしてください。無料トライアルの登録方法はサポートセンターまでお問い合わせください。

 

事前準備

  • 各ユーザにSAML Name IDの設定が必要です。ユーザ情報の変更方法はこちらをご覧ください。
  • SAML認証を有効化するためには、システム管理者の権限が必要です。

 

SAML認証有効化の手順

1.IdP側

[管理者設定] > [セキュリティ設定] > [SAML認証] を選択します。

 

[利用するIdP] のプルダウンから利用するIdPを選択します。利用するIdPが選択肢にない場合は [その他] を選択します。選択可能なIdPについてこちらをご覧ください。

 

[その他] を選択した場合は、利用するIdPの仕様にあわせて、[単一] か [複数] の Entity ID を選択します。ご不明な場合はIdP提供元へご確認ください。

※ [その他] 以外のIdPを選択した場合は、選択されたIdPに適した Entity ID が自動的に選択されます。

 

[IdPに設定する情報] を [表示] し、表示される内容を控え、IdP側に設定してください。

 

  • 単一Entity IDの場合

※本画像はサンプルです。実際の画面に表示された値を設定してください。

 

  • 複数Entity IDの場合

※本画像はサンプルです。実際の画面に表示された値を設定してください。

 

2.Sansan側

[無効] [有効] いずれかを選択します。

[無効] を選択した場合、SAML認証は無効化のまま、動作テストと設定内容を保存します。あとから改めて [有効] に保存し直す必要があります。

[有効] を選択した場合、動作テスト完了後に保存すると、SAML認証が有効になります。有効にすると全ユーザのログイン方法が変わるため、ユーザへの周知等を実施した上で有効化することを推奨します。

 

MDMを利用する場合は、[利用する] にチェックを入れます。

※Microsoft Intune等によるデバイス管理やアクセス制御等を設けている場合はチェックを入れてください。

 

IdPの各種設定を入力します。

入力すべき情報が分からない場合は、IdP提供元へご確認ください。入力時には不要なスペース等が混入しないようご注意ください。

 

SAML署名証明書をアップロードします。

拡張子は .cer となります。

SAMLレスポンスに対する署名についてはIdP側で以下の設定としてください。

  • ダイジェストアルゴリズム:sha-256 および sha-512のいずれか
  • 署名アルゴリズムは、rsa-sha-256 および rsa-sha-512のいずれか

 

3.設定の検証

動作テストを [実行] します。

動作テストが完了しない限り、保存はできません。

 

[実行] を押下すると、IdPのログイン画面に自動的に遷移します。IdPのID、パスワードを入力して認証します。

※本画像はサンプルです。利用するIdPによって画面は異なります。

 

動作テストに問題がなければ、テスト完了です。

[保存]を押して設定情報を保存してください。1で [有効] を選択した場合、[保存] を押下したタイミングでSAML認証が有効化されます。従来のログインID、パスワードではログインできなくなりますのでご注意ください。

 

1で [無効] を選択した場合は設定情報の保存のみとなります。SAML認証は開始されません。社内周知等の準備を終えてから、改めて [有効] に変更し保存してください。

 

 

動作テストのエラー内容

動作テストがエラーとなった場合、以下のエラーメッセージとあわせて、実際のSAMLレスポンスが画面上に表示されます。内容に応じて、Sansan側、IdP側の設定を修正してください。

エラー 対処法
IdPの識別名が正しくありません Sansan の画面上で設定したIdPの識別名と実際のSAMLレスポンスのIdp識別名が一致していません。いずれかを修正し一致するようにしてください。
SAML署名証明書が正しくありません 証明書に問題があります。再発行して設定し直してください。
SAML Name IDの登録が正しくありません

Sansan のユーザ管理画面で設定されているSAML Name IDと実際のSAMLレスポンスのSAML Name IDが一致していません。いずれかを修正し一致するようにしてください。
また、キャッシュされている情報が残っている場合があるため、キャッシュの削除やブラウザのシークレットウインドウを利用することで解消するケースもあります。

Audienceに値が入力されていません

IdP のAudienceの値は識別子(Entity ID)を設定してください。

 

選択可能なIdP

SAML認証の動作確認済みのIdPは以下のとおりです。

IdP Entity ID
Active Directory Federation Services 単一
Ahth 0 単一
Azure Active Directory 単一
CloudGate UNO 単一
G Suite 複数
HENNGE One 複数
Okta 単一

 

SAML認証有効化後のログイン方法

SAML認証を有効化するとログイン方法が変わります。有効化する前にユーザへ周知をお願いします。

 

ログイン方法

通常のログイン画面で、Sansan に登録しているメールアドレスを入力して「ログイン」を押下します。
設定したIdpの認証画面に遷移しますので、IdPで管理している ユーザIDおよびパスワードでログインしてください。

PC版


スマホアプリ版


スマートフォンWeb版

※本画像はサンプルです。利用するIdPによって画面は異なります。

 

この記事は役に立ちましたか?
5人中4人がこの記事が役に立ったと言っています