メインコンテンツへスキップ

SmartHR SAML2.0 コネクタ サブドメイン再設定のお願い

Salesforce SSO時のMFA必須化に対するOneLoginの修正対応(6月9日更新)

Sansan - SAML認証

ペンティオ サポート担当者
  • 作成日
  • 更新日

本記事では、OneLoginからSansanへのSAML シングルサインオン(SSO)の設定手順をご案内します。

 

目次

前提条件

SAML連携の設定

1. Sansan側の操作

2. OneLogin側の設定

3. Sansan側の設定

SAML SSOの動作確認

1. OneLoginのユーザーポータルからのSAML SSO

2. Sansan スマートフォンアプリからのSAML SSO

3. PKI証明書によるデバイストラストをご利用の場合

SAML SSOの無効化

トラブルシュート

 

前提条件

  • OneLoginのライセンスが StarterEnterpriseUnlimited または SSOAdvancedProfessional(新料金体系)のいずれかであること
  • OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
  • Sansanの管理者権限をお持ちであること

 

SAML連携の設定

1. Sansan側の操作

  1. Sansanに管理者でログインします


     
  2. 右上のアイコン > 管理者設定 > セキュリティ設定 を選択します


     
  3. SAML認証]をクリックします


     
  4. SAML認証の設定 > IdP設定 > [新規IdP設定追加]をクリックします


     
  5. SAML認証の設定:IdP設定 > 設定名 を入力します
    例)OneLogin


     
  6. 1. IdP側 > 利用IdP より、 OneLogin を選択します


     
  7. 1. IdP側 > IdPに設定する情報 より、[設定を保存して表示]をクリックします


     
  8. 以下のようなポップアップが表示されるので、応答URL(Assertion Consumer Service URL) の下記部分の文字列をコピーします
    例)応答URLが https://ap.sansan.com/v/saml2/lean_0PStfAGKH0/acs の場合、lean_0PStfAGKH0をコピーします。

 

2. OneLogin側の設定

  1. OneLoginに管理者でログインし、[管理]をクリックします


     
  2. Applications メニューから[Applications]を選択します


     
  3. Add App]をクリックします


     
  4. Sansan と検索し、SAML2.0 のコネクタを選択します
    sansan_1.png

     
  5.  [Save] をクリックします
    sansan_2.png

     
  6. Configuration タブに移動し、Account IDSansan側の設定 手順8 でコピーした値を貼り付けます
    sansan_4.png

     
  7. SSO タブに移動し、SAML Signature AlgorithmSHA-256 に変更します
    sansan_29_1.png

     
  8. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
    Sansan-13.png

     
  9. SSO タブに移動し、Issuer URLSAML2.0 Endpoint (HTTP) をクリップボードへコピーします
    sansan_13_1.png

     
  10. View Details をクリックします
    sansan_11.png


  11. Download]をクリックし、保存された onelogin.pem の拡張子を onelogin.cer に変更します

 

3. Sansan側の設定

  1. IdPの各種設定 に以下のような値を設定します


    <Sansan に設定する値一覧>

    Sansan の項目 OneLogin の項目
    IdPの識別名

    手順15 の Issuer URL

    https://app.onelogin.com/saml/metadata/*****
    ログインURL

    手順15 の SAML2.0 Endpoint (HTTP)

    https://{subdomain}.com/trust/saml2/http-post/sso/*****
    ログアウトURL OneLogin ポータル画面の URL
    https://{subdomain}.onelogin.com/portal/
    ファイルを選択 手順17 の 拡張子が .cer の X.509 証明書ファイル

     

  2. 値が入力できたら、 3. 設定の検証 より [実行] をクリックします


     
  3. 動作テストが完了すると以下のような黄色いポップアップが現れることを確認します


     
  4. 左下の [保存] をクリックして設定を保存します


     
  5. 以下のようなポップアップが表示されるので、 [OK] をクリックします
    Sansan-17.png

     
  6. 全社共通の設定 > SAML認証を利用する にチェックを入れ、手順9で設定したIdPを選択します
    例)OneLogin


     
  7. 保存]をクリックします

     
  8. 契約数が1つのお客様はこちらの手順はお飛ばしください
    Sansanでは契約ごとにID・パスワード認証なのか、SAML認証なのかを選択することができますSAML認証に関してはどのIdPをご利用いただくかまで選択することができます

    設定方法は、契約別の設定 > あなたが管理しているアカウント範囲に限定した設定ができます。 の 有効化する にチェックを入れていただき、全社共通の設定と同様の手順で設定します
    ※全社共通の設定と契約別の設定を同時に行った場合は 契約別の設定 が優先されます


     
  9. Sansanでは、ユーザーごとにSAML認証を要求するか、ID・パスワードでの認証を要求するか設定できます。設定する場合は、ユーザー別の設定 > [追加]をクリックします


     
  10. 認証の設定を行うユーザーが所属する部署、ユーザー、認証方式を選択し、[保存]をクリックすることで設定が可能です

 

SAML連携の設定は以上です。

 

SAML SSOの動作確認

1. OneLoginのユーザーポータルからのSAML SSO

  1. 実際にシングルサインオン (SSO) ができるかどうかを確認する為に、OneLogin のポータル画面に移動して、 Sansan をクリックします
    Sansan-25.png

     
  2. Sansan のページが開き、ログインができることが確認できます
    Sansan-26.png

 

2. Sansan スマートフォンアプリからのSAML SSO

  1. スマートフォンのホーム画面のアプリケーションの中から Sansan のアプリをタップします
    design___1_1_-2.png

     
  2. SSOでログイン]をクリックします


     
  3. メールアドレスを入力し、[続行]をクリックします


     
  4. OneLogin にリダイレクトされますので、ユーザー名、パスワードを入力し、[続行する]をクリックします
    design___1_5_.png


    design___1_6_.png

     
  5. MFAを登録している場合はMFA認証を行います
    design___1_7_.png

     
  6. 以下の画面が表示されると、認証が完了になります
    design___1_8_.png

 

3. PKI証明書によるデバイストラストをご利用の場合

上記の設定では、スマートフォンアプリからのシングルサインオン時にSansanの内部ブラウザを使用します。そのため、スマートフォンにインストールしているクライアント証明書を利用することができません。下記手順で設定を追加していただくことで、証明書による認証を行うことができます。

  1. Sansanに管理者としてログインし、管理者設定 から下にスクロールし セキュリティ設定 をクリックします


     
  2. SAML認証]をクリックします


     
  3. 利用しているIdP設定の[編集]をクリックします


     
  4. Sansan側 > MDM利用する にチェックを入れます
    ※ iOS端末のデフォルトブラウザ > Safari以外を利用する無効にするようお願いいたします。Google Chromeのスマートフォンアプリケーションでは、クライアント証明書の利用ができずシングルサインオンに失敗いたします。


     
  5. 保存]をクリックします


     
  6. 動作確認のため、スマートフォンからSansanアプリを開きます
    design___1_1_-2.png

     
  7. SSOでログイン]をクリックします


     
  8. メールアドレスを入力し、[続行]をクリックします


     
  9. 外部ブラウザに遷移し、OneLoginのログイン画面が表示されるためユーザー名を入力して[続行する]をクリックします


     
  10. パスワードを入力して、[続行する]をクリックします


     
  11. クライアント証明書の提示が求められるため、正しい証明書が選択されていることを確認し、[続ける]をクリックします


     
  12. Sansanのスマートフォンアプリケーションにもどり、ログインに成功することを確認します
    design___1_8_.png

 

SAML SSOの動作確認は以上です。

 

SAML SSOの無効化

  1. OneLogin に管理者でログインし、 Sansan をクリックします
    Sansan-27.png

     
  2. 右上のアイコンより、 管理者設定 から下にスクロールし セキュリティ設定 をクリックします
    sansan_3.png

     
  3. SAML認証 をクリックします
    sansan_21.png

     
  4. Sansanでは認証方法をSAML認証からID・パスワード認証への変更がSAML連携を解除方法です
    したがって、SAML認証の設定 > 全社共通の設定 > ID・パスワード認証を利用する にチェックを入れ、[保存]します
    Sansan-30.png

     
  5. 以下のようなポップアップが表示されるので、 [OK] をクリックします
    Sansan-31.png

     
  6. 動作テストが完了すると以下のような黄色いポップアップが現れます
    この際、下図のように ID・パスワード認証を利用する にチェックが入っていれば完了です
    Sansan-32.png

     
  7. OneLoginのポータル画面に戻り、Sansanをクリックします
    Sansan-33.png

     
  8. 以下のようなエラーが発生し、ログインできないことを確認します
    Sansan-34.png

     
  9. メールアドレスとパスワードを用いて、ID・パスワード認証を試みます
    Sansan-35.png
     
  10. 無事にログインができれば、SAML連携の解除は完了です
    Sansan-36.png

 

SAML SSOの無効化は以上です。

 

トラブルシュート

関連記事

運営会社: ペンティオ株式会社サービス利用規程

CONFIDENTIAL

当ウェブサイトに掲載されている情報は一般公開されているコンテンツを除き、当社の承諾なくご契約者様以外への開示・転送・転載することはできません