このセクションの記事

マイページ上で必要な設定

 ①IdPメタデータURLを指定して設定する方法(推奨)

 ②IdPメタデータファイルをアップロードして設定する方法

IdP(認証基盤)側で必要な設定

 ①SPメタデータファイルをアップロードする

 ②各データを直接入力する

ユーザーの紐づけ方法

 ①NameIDで紐づける

 ②カスタム属性で紐づける

SP証明書の設定、ダウンロード、更新

SAML認証を使用したログイン方法

エラー時の挙動について

 

マイページでは、SAML認証(シングルサインオン)を設定することができ、社内ポータル等にログインするだけでマイページにもログインすることができます。
SAML認証を設定しても、従来のID/パスワード認証を使用してログインすることが可能です。

※2段階認証・アカウントロックについて
SAML認証でログインした場合、マイページ側の2段階認証やアカウントロックは適用されません。
これらのセキュリティチェックはIdP(認証基盤)側で管理されることを前提としています。

 

マイページ上で必要な設定

マイページ上で必要な設定は、2種類の方法でご対応いただけます。以下にそれぞれの設定方法を記載いたします。

①IdPメタデータURLを指定して設定する(推奨)

②IdPメタデータファイルをアップロードして設定する

※どちらもシステム管理者権限を持つユーザーのみ設定していただくことが可能です。

 

①IdPメタデータURLを指定して設定する方法

本方法でSAML認証を設定した場合、「メタデータ自動更新」が設定できるようになり、必要な情報(IdP Entity ID、シングルサインオンURL、IdP証明書)を自動的に取得・設定することができます。
そのため、本方法を推奨としております。

 

設定手順

  1. システム管理者権限をもつユーザーでマイページにログインし、「システム管理者設定」をクリックします。
    注意事項を確認し、「システム設定を変更する」ボタンをクリックし、設定変更画面を開きます。

     
  2. 画面上部の「SAML認証設定」タブをクリックし、SAML認証設定画面を開きます。

     
  3. 「IdPメタデータのURLを指定する」ボタンを入力し、IdPメタデータのURLを入力します。

以上でIdPメタデータURLを指定したSAML認証の設定は完了です。

IdPメタデータの自動更新を設定する場合は、以下の操作が必要となります。

  1. システム管理者設定の「SAML認証設定」タブを開き、「SAML認証設定の確認・更新」をクリックします。

     
  2. SAML認証設定確認画面で、「メタデータ自動更新」のチェックボックスを有効化します。

    有効化後、SAML認証設定画面を下部までスクロールし、「更新する」ボタンをクリックして保存します。

以上でIdPメタデータの自動更新設定は完了です。

 

②IdPメタデータファイルをアップロードして設定する方法

  1. ①IdPメタデータURLを指定して設定する方法と同様の手順でシステム管理者設定の「SAML認証設定」タブを開きます。
     
  2. 「IdPメタデータファイルをアップロードする」ボタンをクリックしてアップロード画面を開き、
    IdPメタデータファイルをアップロードをします。

    アップロード後、「インポート完了」と表示されれば、設定完了です。

 

 

IdP(認証基盤)側で必要な設定

SAML認証(シングルサインオン)を設定いただくには、ご利用いただいているIdPへマイページの情報を登録していただく必要がございます。登録に必要な情報は、SAML設定画面より取得することができます。

IdPへの登録は、ご利用のIdPに合わせて以下の2通りの方法から実行してください。以下にそれぞれの確認方法を記載いたします。

①SPメタデータファイルをアップロードする

②各データを直接入力する

 

①SPメタデータファイルをアップロードする

SAML設定画面からSPメタデータファイルをダウンロードし、IdPにアップロードします。SPメタデータファイルには、SP Entity ID、ACS URL、SP証明書などの情報がまとめて登録されているため、各情報を個別入力する必要はありません。

  1. システム管理者設定の「SAML設定」タブを開き、「SPメタデータファイルをダウンロードする」ボタンをクリックします。

    クリックすると、ファイルダウンロードが開始されます。
    ダウンロード終了後、ご利用の認証基盤にてSPメタデータファイルをアップロードしてください。

 

②各データを直接入力する

IdPがメタデータファイルのアップロードに対応していない場合は、以下の情報をSAML設定画面から取得し、ご利用のIdPへ直接入力してください。

取得する項目

項目 説明
SP Entity ID マイページの識別子
ACS URL マイページの認証応答受信先URL
SP証明書 SP署名機能が有効な場合に必要

 

  1. システム管理者設定の「SAML認証設定」タブを開きます。「SAML認証設定の確認・更新」ボタンをクリックし、各項目の値を確認します。

    ※SP証明書は、「SP署名機能を使用」チェックボックスが有効でないと、項目が表示されません。
     
  2. 各項目の値を確認し、ご利用のIdPへ入力してください。

上記①から②のいずれかの方法にて、ご利用のIdPへの設定を実行してください。

 

ユーザーの紐づけ方法

SAML認証時、「IdP上のユーザー」と「マイページ上のユーザー」を紐づける必要があります。
紐づけ方法は以下の2通りから選択してください。

①NameIDで紐づける

②カスタム属性で紐づける

※NameIDでの紐づけはSAML認証設定時、デフォルトで設定されている紐づけ方法です。

以下にそれぞれの設定方法を記載します。

 

①NameIDで紐づける

本方法は、IdPから送られてくるユーザー識別子(NameID)を、マイページのログインIDとして照合します。

  1. システム管理者設定の「SAML認証設定」タブを開き、「SAML認証設定の確認・更新」ボタンをクリックします。

     
  2. 「NameIDをログインIDとして使用」チェックボックスを有効化し、画面下部の「更新する」ボタンをクリックします。

    「更新する」ボタンのクリック後、「更新しました」と表示されれば、設定変更完了です。

 

②カスタム属性で紐づける

本方法では、IdPのNameIDがマイページにのログインIDが異なる場合に使用する紐づけ方法となります。
IdP側にマイページのログインIDに対応するカスタム属性を作成し、SAML設定画面の「ログインID属性名」にその属性名を指定します。

以下の例で設定手順を記載します。
「IdPのNameIDが user001@example.com だが、マイページのログインIDは社員番号 E12345 の場合」

  1. 社員番号employeeIdをSAMLアサーションの属性(Attribute)として送信するよう属性マッピングを設定する
  2. マイページのSAML設定画面で「ログインID属性名」に employeeId を指定
    1. システム管理者設定の「SAML認証設定」タブを開き、「SAML認証設定の確認・更新」ボタンをクリックします。
    2. 「ログインID属性名」にemployeeIdを指定します。
      「ログインID属性名」は、「NameIDをログインIDとして使用」チェックボックスを無効化することで、項目が表示され値を入力することができます。
    3. SAML認証設定確認画面下部の「更新する」ボタンをクリックし、保存します。
      「更新しました」と表示されれば、設定変更完了です。

以上の操作でIdPから送られる属性employeeIdの値E12345でマイページのユーザーを照合することができます。

 

SP証明書の設定、ダウンロード、更新

SP署名機能を有効にすると、マイページから送信される認証リクエスト(AuthnRequest)に署名が付与されます。IdP側で署名付きリクエストが求められる場合や、セキュリティポリシーに応じて有効化してください。
有効化した場合は、発行されたSP証明書をダウンロードし、IdP側にアップロードする必要があります。

※SP証明書の有効期限30日前より、システム管理者宛ての証明書更新を促すメールが送信されます。
有効期限が切れると、SAML認証を行うことができなくなるため、メールを確認しましたら、証明書の更新をしてください。

  1. システム管理者設定の「SAML認証設定」タブを開き、「SAML認証設定の確認・更新」ボタンをクリックします。


     

  2. 「SP署名機能を使用」チェックボックスを有効化することで、本機能が有効化されSP証明書が発行されます。

     

  3. 「SP証明書有効期間(年数)」を数値で入力します。

     
  4. 「SP証明書有効期間(年数)」を設定後、SAML認証設定画面の「更新する」ボタンをクリックし、保存します。
    「更新しました」と表示されれば、有効化完了となり、SP証明書が発行されます。

SP証明書の更新・ダウンロードは、「SAML認証設定」タブからも実行できます。
 

※SP証明書を更新した場合は、更新後のSP証明書をIdPにアップロードし直す必要があります。
IdP側の証明書が更新されるまでSAML認証は行えなくなるため、ご注意ください。

 

SP証明書の有効期限を変更する方法

SAML認証設定画面で「SP証明書有効期間(年数)」の値を変更することで、SP証明書の有効期限を変更することができます。

こちらで年数を数値で指定し、設定変更を保存します。
 

変更後、「SP証明書更新」ボタンを押下することで、更新時から指定の年数で有効期間が設定されます。

 

SAML認証を使用したログイン方法

SAML認証を利用したログイン方法には以下の2通りのログイン方法があります。

①マイページからログインする方法(SP-Initiated)
ユーザーがSAML用のログインURLに移動すると、IdPのログイン画面に遷移します。
IdPでの認証完了後、自動的にマイページに戻りログイン済みの状態になります。

(SP-Initiated)のURL

環境 URL
本番環境/検証環境 https://{ドメイン名}/{テナントId}/saml/initiate

 

②IdPからログインする方法
お客様の社内ポータル等でマイページのアイコンをクリックすると、認証済み状態のまま直接マイページにログインできます。

 

エラー時の挙動について

SAML認証中にエラーが発生した場合、ユーザーにはエラーページが表示されます。エラーページには認証が失敗した旨のメッセージが表示されます。

よくあるエラーの原因

・IdP側の証明書が期限切れになっている。

・マイページにユーザーが登録されていない(NameIDやログインIDが一致するユーザーがいない)

・SAML設定が無効になっている、または設定が完了していない。

・IdPから送られた認証情報の有効期限が切れている(時刻のずれなど)