サポートサイト

管理者機能

シングルサインオン(SSO)の設定方法

管理者その他

シングルサインオン(SSO)の設定方法
この記事の内容
  • あしたのクラウドではシングルサインオン(SSO)の設定が可能です。
  • 設定する際には、あしたのクラウド側とldp側双方で設定が必要です。
  • この記事は約5分で読めます。

目次

    この記事では、あしたのクラウドのシングルサインオン(SSO)設定について説明します。
    ※一部のユーザーのみシングルサインオンを連携することはできません。連携は全社員が対象になります。

    連携可能なIdP一覧

    ・Microsoft Entra ID(旧称 AzureAD)
    ・Google Work space
    ・HENNGE One
    ・Okta
    ・OneLogin
    ・GMOトラスト・ログイン

    その他、SAML2.0によるシングルサインオンが可能なアプリケーション

    あしたのクラウドへ情報を入力

    【STEP1】画面左メニュー一覧 >「システム設定」>「企業情報設定」>右下の『編集』をクリック

    【STEP2】「追加機能」>シングル・サイン・オン(SAML2.0)設定項目を「利用する」に変更

    ※「シングル・サイン・オン(SAML2.0)設定項目」が表示されない場合は、あしたのチーム担当者または、あしたのクラウド上にあるチャットよりご連絡ください。

    【STEP3】各項目の設定

    ※下の画像と番号が連動しているので参照してください。
    ❶IDプロバイダ名称
      手入力します。(例:OneLogin 、Microsoft Entra ID等 ) 
    ❷アプリケーションID
      IDをコピーし、どこかに保存してください。
    ❸応答URL
      URLをコピーし、どこかに保存してください。
    ❹メタデータURL
      URLをコピーし、どこかに保存してください。ldp側で設定が不要な場合もあります。必要に応じて保存してください
    ❺エンドポイントURL
      各IdP情報を確認してください。こちらで確認することはできません。
      ◇Microsoft Entra ID(旧称 AzureAD)
        SAML Single Sign-on Service URL
        https://login.microsoftonline.com/~~~~~~~~~~ (企業ごとに違います)
      ◇Google Workspace
        SSOのURL
        https://accounts.google.com/o/saml2/idp?idpid=~~~~~~ (企業ごとに違います)
      ◇HENNGE One
        テナントIDを含むURL
        https://ap.ssso.hdems.com/portal/~~~~~~/login (企業ごとに違います)
      ◇Okta
        Identity provider Single sign-on url
        https://xxxxx.okt.com/app/~~~~~~/~~~~~~/sso/saml  (企業ごとに違います)
      ◇OneLogin
        SAML 2.0 Endpoint (HTTP)
        https://xxx.onelogin.com/trust/saml2/http-post/sso/~~~~~~ (企業ごとに違います)
      ◇GMOトラスト・ログイン
        IDプロバイダーURL
        https://portal.trustlogin.com/~~/~~/~~/saml/auth (企業ごとに違います)
    ❻ログアウト後の遷移先URL
      必要に応じて入力してください。
    ❼証明書
      証明書(各IdPから取得した証明書)をテキストで開き、表示された文字列を入力します。
      証明書の取得方法は各IdPのマニュアルを確認してください。

    【STEP4】通常ログインの許可を指定する

    「通常ログイン」を許可すると、シングルサインオン経由のログインだけでなく、企業URLからログインID・パスワードを入力してログインすることも可能となります。
     ・全員許可する場合:「通常ログインを全員許可する」にチェック
     ・数名に許可する場合:「通常ログインを許可するユーザー」から該当者を選択
     ・許可しない場合:チェック、ユーザーの指定をしない

    【STEP5】右下の『更新する』をクリック

    IdPへ情報の入力

    【STEP3】の画像と番号が連動しているので参照してください。
    あしたのクラウドから取得した情報(❸アプリケーションID、❹応答URL)をIdPの入力画面に登録します
    詳細は各IdPのマニュアルを確認してください。
    ※各IdPの更新状況により名称が異なる場合があります。

    Microsoft Entra ID(旧称 AzureAD)

      識別子:アプリケーションID(❸)
      応答 URL:応答URL(❹)

    Google Workspace

      ACSのURL:応答URL(❹)
      エンティティID:アプリケーションID(❸)

    Okta

      Single sign on URL:応答URL(❹)
      Audience URI(SP Entity ID):アプリケーションID(❸)

    OneLogin  

      Audience:アプリケーションID(❸)
      Recipient:応答URL(❹)
      ACS(Consumer)URL *:応答URL(❹)
      ACS(Consumer)URL Validator*:「.*」を入力  

    HENNGE One

      ACS URL:応答URL(❹)
      Entity ID:アプリケーションID(❸)

    GMOトラスト・ログイン 

      ログインURL:応答URL(❹)
      エンティティID:アプリケーションID(❸)
      サービスへのACS URL:応答URL(❹)

    Q1. 連携可能なIdPに記載のないアプリケーションも連携可能ですか?

    SAML2.0によるシングルサインオンが可能なアプリケーションの場合、連携が可能です。
    詳細は各IdPのマニュアルを確認してください。

    Q2. 証明書切り替えのタイミングで新・旧両方の証明書を設定することはできますか?

    できません。
    証明書は一つしか設定できないので、新しい証明書のみ設定してください。
    その際、ユーザーがあしたのクラウドへログインしない時間帯を作ってください。

    Q3. アプリケーションのIDに標準の値がすでに入っていますが、任意の値に変えても問題ないでしょうか?

    問題ありません。

    Q4. SSOを設定する場合も社員情報を登録する際に、任意のパスワード設定は必須ですか?

    必須です。パスワードがないと登録ができません。
    ただし、シングルサインオンでログインできるため、そのパスワードを使わなくてもあしたのクラウドの利用が可能です。

    カテゴリ: その他

    参考になりましたか?

    この記事は参考になりましたか?

    前の記事

    前の記事
    アカウント数のカウントと追加契約

    次の記事

    Slackの連携方法
    次の記事

    OTHER POSTその他の記事はこちら。