シングルサインオン（SSO）の設定方法

シングルサインオン（SSO）の設定方法#管理者向け 

この記事では、あしたのクラウドのシングルサインオン設定について説明します。

01┃連携可能なIdP
	Microsoft Entra ID（旧称　AzureAD）
	Google Work space
	HENNGE One
	Okta
	OneLogin 
	GMOトラスト・ログイン
	その他、SAML2.0によるシングルサインオンが可能なアプリケーション

02┃事前準備
SSO（シングルサインオン）設定を利用されたい場合は、
あしたのチーム担当者または、あしたのクラウド上にあるチャットよりご連絡ください。

03┃あしたのクラウドへ情報を入力
【STEP1】画面左メニュー一覧　＞「システム設定」＞「企業情報設定」＞右下の『編集』をクリック

【STEP2】各項目の設定
※一番下の画像と番号が連携しているので参照してください※
❶「シングル・サイン・オン(SAML2.0)設定項目」の「利用する」を選択
❷IDプロバイダ名称
		手入力（例：OneLogin 、Microsoft Entra ID等 ）　
❸アプリケーションID
		IDをコピーし、どこかに保存してください
❹応答URL
		URLをコピーし、どこかに保存してください
❺メタデータURL　
❻エンドポイントURL 
		各IdP情報を確認してください。こちらで確認することはできません。

◇Microsoft Entra ID（旧称　AzureAD）
		SAML Single Sign-on Service URL
		https://login.microsoftonline.com/~~~~~~~~~~ （企業ごとに違います）
◇Google Workspace
		SSOのURL
		https://accounts.google.com/o/saml2/idp?idpid=~~~~~~　（企業ごとに違います）
◇HENNGE One
		テナントIDを含むURL
		https://ap.ssso.hdems.com/portal/~~~~~~/login （企業ごとに違います）
◇Okta
		Identity provider Single sign-on url
		https://xxxxx.okt.com/app/~~~~~~/~~~~~~/sso/saml 　（企業ごとに違います）
◇OneLogin
		SAML 2.0 Endpoint (HTTP)
		https://xxx.onelogin.com/trust/saml2/http-post/sso/~~~~~~　（企業ごとに違います）
◇GMOトラスト・ログイン
		IDプロバイダーURL
		https://portal.trustlogin.com/~~/~~/~~/saml/auth　（企業ごとに違います）
❼ログアウト後の遷移先URL
		必要に応じて入力
❽証明書
		証明書（各IdPから取得した証明書）をテキストで開き、表示された文字列を入力します
		証明書の取得方法は各IdPのマニュアルを確認してください

【STEP3】通常ログインの許可を指定する
シングルサインオンを使ったログインだけでなく、企業URLからもログインできるユーザーを指定します
	全員許可する場合：「通常ログインを全員許可する」にチェック
	数名に許可する場合：「通常ログインを許可するユーザー」から該当者を選択
	許可しない場合：チェック、ユーザーの指定をしない

【STEP4】右下の『更新する』をクリック


04┃IdPへ情報の入力
あしたのクラウドから取得した情報（❸アプリケーションID、❹応答URL）をIdPの入力画面に登録します
詳細は各IdPのマニュアルを確認してください

◇Microsoft Entra ID（旧称　AzureAD）
		識別子：アプリケーションID（❸）
		応答 URL：応答URL（❹）
◇Google Workspace
		ACSのURL：応答URL（❹）
		エンティティID：アプリケーションID（❸）
◇Okta
		Single sign on URL：応答URL（❹）
		Audience URI(SP Entity ID)：アプリケーションID（❸）
◇OneLogin 　
		Audience：アプリケーションID（❸）
		Recipient：応答URL（❹）
		ACS（Consumer）URL *：応答URL（❹）
		ACS（Consumer）URL Validator*：「.*」を入力　　
◇HENNGE One
		ACS URL：応答URL（❹）
		Entity ID：アプリケーションID（❸）
◇GMOトラスト・ログイン　
		ログインURL：応答URL（❹）
		エンティティID：アプリケーションID（❸）
		サービスへのACS URL：応答URL（❹）
※各IdPの更新状況により名称が異なる場合があります


POINT----------------------------------
Q1.　連携可能なIdPに記載のないアプリケーションも連携可能ですか？
SAML2.0によるシングルサインオンが可能なアプリケーションの場合、連携が可能です。
詳細は各IdPのマニュアルを確認してください。

Q2.　証明書切り替えのタイミングで新・旧両方の証明書を設定することはできますか？
出来ません。
証明書は一つしか設定できないので、新しい証明書のみ設定してください。
その際、ユーザーがあしたのクラウドへログインしない時間帯を作ってください。
-----------------------------------------

関連記事： 企業情報設定の編集
関連記事：期日管理メール（チャット）の設定
関連ページ
