3. SAML認証の設定方法

SAML認証についてはこちらを参照ください。

1. SAML認証の動作環境

2. 事前準備

3. SAML認証の設定方法

4. SAML認証によるログイン方法

5. 注意事項



各手順について、どのサービス上で実施する操作であるかを下記の通り記載しています。

・レシートポストで実施する操作:[レシートポスト]
・IdPで実施する操作:[IdP]

目次

(1) サブドメインを登録する [レシートポスト]

(2) SAML設定を作成する [レシートポスト]

(3) 連携先IdPにレシートポストの情報を登録するのエンタープライズアプリケーションを設定する [IdP]

(4) IdPのメタデータをSAML設定に登録する [レシートポスト]

(5) 接続確認をする [レシートポスト]

(6) IPアクセス制限スキップ機能 [レシートポスト] ※オプション

(7) SAML連携アカウントを設定 [レシートポスト] ※オプション

(8) 作成したSAML設定の有効化 [レシートポスト] 

 

 

(1) サブドメインを登録する [レシートポスト]

1.事業所設定>セキュリティ設定>サブドメイン に進む


2.ご希望のサブドメインを登録する。
 編集ボタンで開くサブドメイン編集モーダルから、サブドメインを新規登録できます。



※サブドメインは弊社サービス内で重複させることが不可能なので、
 他利用者様が既にご利用中の文字列は登録することができません。
※[使用可能か確認する]ボタンで、文字列が使用可能か確認できます。


3.ログインURLを控えておく
 ログインURLは、下記で使用します。
 ・IdPへの登録 →(3)に記載
 ・レシートポストを利用する際の新しいログインURLとして社内通知する(次手順に記載)

 

4.新しいログインURLを社内通知する
 手順2.でサブドメインを登録することで、次回以降レシートポストにログインする際のURLが変更されます。


  設定前:https://secure.keihi.com/subdomains/sign_in
  設定後:https://(サブドメイン).secure.keihi.com/subdomains/sign_in

(2) SAML設定を作成する [レシートポスト]

1.事業所設定>セキュリティ設定>SAML設定に進む


2.設定名、説明を登録する。
 [作成する]ボタンからSAML設定作成モーダルを開き下記を入力する。
 ・設定名
 ・説明

※ 「設定名」に入力した文字が、ログイン画面のボタンとして表示されます。
  短く適切な名称を入力してください。



3.設定名をクリックし、SAML設定詳細に進む。


4.サービスプロバイダ情報欄の Entity ID、ACS URL 、ログアウトURLを控えておく。
 ※これらの情報は、IdPに登録します。 →(3)に記載



(3) 連携先IdPにレシートポストの情報を登録するのエンタープライズアプリケーションを設定する [IdP]

 

IdPのポータルサイト上で、レシートポストと接続するために下記作業を実施する。

・IdPに、(1)(2)で取得したレシートポストの情報を登録する

・IdPのメタデータ(XMLファイルまたはURL)を取得する
→取得したメタデータは(4)でレシートポストに登録する

 

※詳細な手順はIdP毎に異なります。
 ポータルサイトの動作については、各IdPベンダーにお問い合わせください。

 

動作確認済IdPの操作手順

【Microsoft Azureを利用する場合】

1.Microsoft Azureのポータルにログインする

2.エンタープライズアプリケーションに、RECEIPT POSTを追加する

3.シングルサインオン(SSO)設定に、レシートポストで取得した情報を登録する。

 ※(1)(2)参照
 ・Entitiy ID
 ・ACS URL
 ・ログインURL
 ・ログアウトURL

4.ユーザー属性とクレームを下記の通り変更する
 クレーム名: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
 ソース属性: user.userprincipalname

5.メタデータを取得する
 下記いずれかの方法が選択可能
 ・メタデータXMLファイルをダウンロードする
 ・メタデータURLをコピーする

 

(4)  IdPのメタデータをSAML設定に登録する [レシートポスト]

 

1.事業所設定>セキュリティ設定>SAML設定に進む
2.メタデータを登録する
 [編集する]ボタンから開くモーダルに(3)で取得したメタデータを登録する。


 ・メタデータXMLをダウンロードした場合
  →[ファイルを選択]ボタンから、XMLファイルをアップロードする
 ・メタデータURLをコピーした場合
  →[メタデータのURL]欄にコピーしたURLをペーストする

 

 XMLの登録が成功すると、SAML設定画面内の表示が変化します。
 ※「しばらく待ってから操作してください」というメッセージが表示された場合は、1分程度待ち、再度メタデータを登録してください。

【登録前】


【登録後】

 

(5)  接続確認をする [レシートポスト]

 

 ここまでに登録した内容に問題が無いか確認することができます。
 [設定を確認する]ボタンで、現在の設定内容でIdPへの接続が可能かの確認を行います。

 

【接続確認】


 ページ上部に
 「SAML接続に成功しました」
 と表示されていれば、SAML設定がご利用いただけます。

【接続成功時の表示】

 

(6)  IPアクセス制限スキップ機能 [レシートポスト] ※オプション

 

 

※本手順は、下記条件に合致するお客様のみが対象です

IPアクセス制限機能をご利用中のお客様
 →[IPアドレスによるアクセス制限]

 

 本機能を有効にすると、SAML認証によってログインする従業員は、
 IPアクセス制限機能の影響を受けなくなります。



 (使用例)
基本的には社内PCからのアクセスのみを許可するが、外出先からもアクセスしたいケース。
 →メールアドレス認証とSAML認証を併用し、下記の通り運用する。
 ・設定
  - IPアクセス制限設定
   社内PCからのアクセスで利用されるIPアドレスを許可対象として設定
 ・運用
  - 社内PCを利用する従業員:メールアドレス認証を利用する。
  - 外出先から利用する従業員:SAML認証によるログインを利用する。
   →IPアクセス制限機能は有効のまま、制限を受けることなく利用可能。

 

 

(7)  SAML連携アカウントを設定 [レシートポスト] ※オプション

 

※本手順は、下記条件に合致するお客様のみが対象です

 同一人物でIdPとレシートポストのメールアドレスが異なる従業員が存在し、その従業員がSAML認証を利用したい場合

 

 

本設定でそれぞれのメールアドレスを紐付けること(マッピング)ができます。
これにより、レシートポストで利用するメールアドレスは現在の設定のまま、別のメールアドレスでSAML認証をご利用いただくことができます。

 

(使用例)
・レシートポストのメールアドレス
 ooguma@example.com
・IdPのメールアドレス
 koguma@example.onmicrosoft.com

→認証情報としては[IdPのメールアドレス]を利用するが、ログインした従業員は
 [レシートポストのメールアドレス]が割り当てられたユーザーとして操作が可能。

 

1.事業所設定>セキュリティ設定>SAML連携アカウントに進む
2.メールアドレスのマッピングを行いたい従業員欄の、連携アイコン(鎖マーク)をクリックする


3.入力欄にIdPのメールアドレスを入力し、[連携]ボタンをクリックする


→この設定により、IdPにkoguma@example.onmicrosoft.com
ログインした従業員がSAML認証によるログインを行うと、
レシートポストには自動的にooguma@example.comとしてログインするようになる。


【連携後の一覧画面】

 

(8) 作成したSAML設定の有効化 [レシートポスト] 

下記を行うことで、従業員がSAML認証によるログインを利用可能になる。


1.[SAML]認証有効化を行う
 事業所設定>セキュリティ設定>SAML設定画面から、
 [SAML認証有効化]のスイッチをONに切り替える。



2.許可ログイン方法の設定変更
 事業所設定>セキュリティ設定>サブドメイン画面から、
 [許可ログイン方法]の設定欄の[編集する]ボタンをクリックする。
 作成したSAML設定名にチェックを入れて保存する。



  →ログイン画面に作成したSAML設定名のボタンが表示されるようになる。