SAML認証についてはこちらを参照ください。
1. SAML認証の動作環境
2. 事前準備
3. SAML認証の設定方法
4. SAML認証によるログイン方法
5. 注意事項
各手順について、どのサービス上で実施する操作であるかを下記の通り記載しています。
・TOKIUM経費精算で実施する操作:[TOKIUM経費精算]
・IdPで実施する操作:[IdP]
目次
(1) サブドメインを登録する [TOKIUM経費精算]
(2) SAML設定を作成する [TOKIUM経費精算]
(3) 連携先IdPにTOKIUM経費精算の情報を登録するのエンタープライズアプリケーションを設定する [IdP]
(4) IdPのメタデータをSAML設定に登録する [TOKIUM経費精算]
(5) 接続確認をする [TOKIUM経費精算]
(6) IPアクセス制限スキップ機能 [TOKIUM経費精算] ※オプション
(7) SAML連携アカウントを設定 [TOKIUM経費精算] ※オプション
(8) 作成したSAML設定の有効化 [TOKIUM経費精算]
(1) サブドメインを登録する [TOKIUM経費精算]
1.システム設定>セキュリティ>サブドメイン に進む
2.ご希望のサブドメインを登録する。
編集ボタンで開くサブドメイン編集モーダルから、サブドメインを新規登録できます。
※サブドメインは弊社サービス内で重複させることが不可能なので、
他利用者様が既にご利用中の文字列は登録することができません。
※[使用可能か確認する]ボタンで、文字列が使用可能か確認できます。
3.ログインURLを控えておく
ログインURLは、下記で使用します。
・IdPへの登録 →(3)に記載
・TOKIUM経費精算を利用する際の新しいログインURLとして社内通知する(次手順に記載)
4.新しいログインURLを社内通知する
手順2.でサブドメインを登録することで、次回以降TOKIUM経費精算にログインする際のURLが変更されます。
設定前:https://secure.keihi.com/subdomains/sign_in
設定後:https://(サブドメイン).secure.keihi.com/subdomains/sign_in
(2) SAML設定を作成する [TOKIUM経費精算]
1.事業所設定>セキュリティ設定>SAML設定に進む
2.設定名、説明を登録する。
[作成する]ボタンからSAML設定作成モーダルを開き下記を入力する。
・設定名
・説明
※ 「設定名」に入力した文字が、ログイン画面のボタンとして表示されます。
短く適切な名称を入力してください。
3.設定名をクリックし、SAML設定詳細に進む。
4.サービスプロバイダ情報欄の Entity ID、ACS URL 、ログアウトURLを控えておく。
※これらの情報は、IdPに登録します。 →(3)に記載
(3) 連携先IdPにTOKIUM経費精算の情報を登録するのエンタープライズアプリケーションを設定する [IdP]
IdPのポータルサイト上で、TOKIUM経費精算と接続するために下記作業を実施する。
・IdPに、(1)(2)で取得したTOKIUM経費精算の情報を登録する
・IdPのメタデータ(XMLファイルまたはURL)を取得する
→取得したメタデータは(4)でTOKIUM経費精算に登録する
※詳細な手順はIdP毎に異なります。
ポータルサイトの動作については、各IdPベンダーにお問い合わせください。
動作確認済IdPの操作手順
【Microsoft Azureを利用する場合】
1.Microsoft Azureのポータルにログインする
2.エンタープライズアプリケーションに、TOKIUM経費精算を追加する
3.シングルサインオン(SSO)設定に、TOKIUM経費精算で取得した情報を登録する。
※(1)(2)参照
・Entitiy ID
・ACS URL
・ログインURL
・ログアウトURL
4.ユーザー属性とクレームを下記の通り変更する
クレーム名: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
ソース属性: user.userprincipalname
5.メタデータを取得する
下記いずれかの方法が選択可能
・メタデータXMLファイルをダウンロードする
・メタデータURLをコピーする
(4) IdPのメタデータをSAML設定に登録する [TOKIUM経費精算]
1.事業所設定>セキュリティ設定>SAML設定に進む
2.メタデータを登録する
[編集する]ボタンから開くモーダルに(3)で取得したメタデータを登録する。
・メタデータXMLをダウンロードした場合
→[ファイルを選択]ボタンから、XMLファイルをアップロードする
・メタデータURLをコピーした場合
→[メタデータのURL]欄にコピーしたURLをペーストする
XMLの登録が成功すると、SAML設定画面内の表示が変化します。
※「しばらく待ってから操作してください」というメッセージが表示された場合は、1分程度待ち、再度メタデータを登録してください。
【登録前】
【登録後】
(5) 接続確認をする [TOKIUM経費精算]
ここまでに登録した内容に問題が無いか確認することができます。
[設定を確認する]ボタンで、現在の設定内容でIdPへの接続が可能かの確認を行います。
【接続確認】
ページ上部に
「SAML接続に成功しました」
と表示されていれば、SAML設定がご利用いただけます。
【接続成功時の表示】
(6) IPアクセス制限スキップ機能 [TOKIUM経費精算] ※オプション
※本手順は、下記条件に合致するお客様のみが対象です
IPアクセス制限機能をご利用中のお客様
→[IPアドレスによるアクセス制限]
本機能を有効にすると、SAML認証によってログインする従業員は、
IPアクセス制限機能の影響を受けなくなります。
(使用例)
基本的には社内PCからのアクセスのみを許可するが、外出先からもアクセスしたいケース。
→メールアドレス認証とSAML認証を併用し、下記の通り運用する。
・設定
- IPアクセス制限設定
社内PCからのアクセスで利用されるIPアドレスを許可対象として設定
・運用
- 社内PCを利用する従業員:メールアドレス認証を利用する。
- 外出先から利用する従業員:SAML認証によるログインを利用する。
→IPアクセス制限機能は有効のまま、制限を受けることなく利用可能。
(7) SAML連携アカウントを設定 [TOKIUM経費精算] ※オプション
※本手順は、下記条件に合致するお客様のみが対象です
同一人物でIdPとTOKIUM経費精算のメールアドレスが異なる従業員が存在し、その従業員がSAML認証を利用したい場合
本設定でそれぞれのメールアドレスを紐付けること(マッピング)ができます。
これにより、TOKIUM経費精算で利用するメールアドレスは現在の設定のまま、別のメールアドレスでSAML認証をご利用いただくことができます。
(使用例)
・TOKIUM経費精算のメールアドレス
ooguma@example.com
・IdPのメールアドレス
koguma@example.onmicrosoft.com
→認証情報としては[IdPのメールアドレス]を利用するが、ログインした従業員は
[TOKIUM経費精算のメールアドレス]が割り当てられたユーザーとして操作が可能。
1.事業所設定>セキュリティ設定>SAML連携アカウントに進む
2.メールアドレスのマッピングを行いたい従業員欄の、連携アイコン(鎖マーク)をクリックする
3.入力欄にIdPのメールアドレスを入力し、[連携]ボタンをクリックする
→この設定により、IdPにkoguma@example.onmicrosoft.comで
ログインした従業員がSAML認証によるログインを行うと、
TOKIUM経費精算は自動的にooguma@example.comとしてログインするようになる。
【連携後の一覧画面】
(8) 作成したSAML設定の有効化 [TOKIUM経費精算]
下記を行うことで、従業員がSAML認証によるログインを利用可能になる。
1.[SAML]認証有効化を行う
事業所設定>セキュリティ設定>SAML設定画面から、
[SAML認証有効化]のスイッチをONに切り替える。
2.許可ログイン方法の設定変更
事業所設定>セキュリティ設定>サブドメイン画面から、
[許可ログイン方法]の設定欄の[編集する]ボタンをクリックする。
作成したSAML設定名にチェックを入れて保存する。
→ログイン画面に作成したSAML設定名のボタンが表示されるようになる。