シングルサインオン(SSO)の設定方法
この記事では、あしたのクラウドのシングルサインオン設定について説明します。
01┃連携可能なIdP
Microsoft Entra ID(旧称 AzureAD)
Google Work space
HENNGE One
Okta
OneLogin
GMOトラスト・ログイン
その他、SAML2.0によるシングルサインオンが可能なアプリケーション
02┃事前準備
SSO(シングルサインオン)設定を利用されたい場合は、
あしたのチーム担当者または、あしたのクラウド上にあるチャットよりご連絡ください。
03┃あしたのクラウドへ情報を入力
【STEP1】画面左メニュー一覧 >「システム設定」>「企業情報設定」>右下の『編集』をクリック
【STEP2】シングル・サイン・オン(SAML2.0)設定項目を「利用する」に変更
【STEP3】各項目の設定
※一番下の画像と番号が連携しているので参照してください※
❶「シングル・サイン・オン(SAML2.0)設定項目」の「利用する」を選択
❷IDプロバイダ名称
手入力(例:OneLogin 、Microsoft Entra ID等 )
❸アプリケーションID
IDをコピーし、どこかに保存してください
❹応答URL
URLをコピーし、どこかに保存してください
❺メタデータURL
❻エンドポイントURL
各IdP情報を確認してください。こちらで確認することはできません。
◇Microsoft Entra ID(旧称 AzureAD)
SAML Single Sign-on Service URL
https://login.microsoftonline.com/~~~~~~~~~~ (企業ごとに違います)
◇Google Workspace
SSOのURL
◇HENNGE One
テナントIDを含むURL
https://ap.ssso.hdems.com/portal/~~~~~~/login (企業ごとに違います)
◇Okta
Identity provider Single sign-on url
https://xxxxx.okt.com/app/~~~~~~/~~~~~~/sso/saml (企業ごとに違います)
◇OneLogin
SAML 2.0 Endpoint (HTTP)
◇GMOトラスト・ログイン
IDプロバイダーURL
https://portal.trustlogin.com/~~/~~/~~/saml/auth (企業ごとに違います)
❼ログアウト後の遷移先URL
必要に応じて入力
❽証明書
証明書(各IdPから取得した証明書)をテキストで開き、表示された文字列を入力します
証明書の取得方法は各IdPのマニュアルを確認してください
【STEP4】通常ログインの許可を指定する
「通常ログイン」を許可することで、シングルサインオン経由のログインだけでなく、企業URLからのログインも可能となります。
全員許可する場合:「通常ログインを全員許可する」にチェック
数名に許可する場合:「通常ログインを許可するユーザー」から該当者を選択
許可しない場合:チェック、ユーザーの指定をしない
【STEP5】右下の『更新する』をクリック
POINT----------------------------------
Q. 一部のユーザーのみ連携することは可能ですか?
一部のユーザーのみ連携することはできません。連携は全社員が対象になります。
-----------------------------------------
04┃IdPへ情報の入力
あしたのクラウドから取得した情報(❸アプリケーションID、❹応答URL)をIdPの入力画面に登録します
詳細は各IdPのマニュアルを確認してください
◇Microsoft Entra ID(旧称 AzureAD)
識別子:アプリケーションID(❸)
応答 URL:応答URL(❹)
◇Google Workspace
ACSのURL:応答URL(❹)
エンティティID:アプリケーションID(❸)
◇Okta
Single sign on URL:応答URL(❹)
Audience URI(SP Entity ID):アプリケーションID(❸)
◇OneLogin
Audience:アプリケーションID(❸)
Recipient:応答URL(❹)
ACS(Consumer)URL *:応答URL(❹)
ACS(Consumer)URL Validator*:「.*」を入力
◇HENNGE One
ACS URL:応答URL(❹)
Entity ID:アプリケーションID(❸)
◇GMOトラスト・ログイン
ログインURL:応答URL(❹)
エンティティID:アプリケーションID(❸)
サービスへのACS URL:応答URL(❹)
※各IdPの更新状況により名称が異なる場合があります
POINT----------------------------------
Q1. 連携可能なIdPに記載のないアプリケーションも連携可能ですか?
SAML2.0によるシングルサインオンが可能なアプリケーションの場合、連携が可能です。
詳細は各IdPのマニュアルを確認してください。
Q2. 証明書切り替えのタイミングで新・旧両方の証明書を設定することはできますか?
出来ません。
証明書は一つしか設定できないので、新しい証明書のみ設定してください。
その際、ユーザーがあしたのクラウドへログインしない時間帯を作ってください。
Q3. アプリケーションのIDに標準の値がすでに入っていますが、任意の値に変えても問題ないでしょうか?
問題ありません。
Q4. SSOを設定する場合も社員情報を登録する際に、任意のパスワード設定は必須ですか?
必須です。パスワードがないと登録ができません。
ただし、シングルサインオンでログインできるため、そのパスワードを使わなくてもあしたのクラウドの利用が可能です。
-----------------------------------------
関連記事: 企業情報設定の編集
関連記事:期日管理メール(チャット)の設定