Q. SAML認証のSSOの設定方法は?【(Microsoft)Azure Active Directory】
A.
このFAQでは、Microsoftが提供する「Azure Active Directory」で、SAML認証のSSO(シングルサインオン)を行う場合の設定方法をご案内します。
SAML認証のSSOでハーモス勤怠 へログインしたい場合は、以下の設定をお願いします。
(Microsoft)Azure Active DirectoryのSAML認証SSOを設定するとどうなるか
Azure Active DirectoryのSAML認証によるSSO(シングルサインオン)を設定すると、簡単にハーモス勤怠 へログインできるようになります。
ハーモス勤怠 ログイン画面に表示される「Microsoft Azureからログインをする方はこちら」のリンクをクリックすると、IDとパスワードを入力しなくてもハーモス勤怠 へログインできます。
【設定の事前準備】(Microsoft)Azure Active DirectoryのSAML認証SSO
設定の事前準備として、Azure Active Directoryとハーモス勤怠 に社員を登録します。
【注意】
Azure Active Directoryに登録されたメールアドレスと、ハーモス勤怠 に登録されたメールアドレスが一致するように登録をお願いします。
Azure Active Directoryの管理画面からユーザー登録
まず、管理権限のアカウントでAzure portalへログインします。
[サイドメニュー「Azure Active Directory」>ユーザー]画面から設定を行います。
画面左上にある「+新しいユーザー」ボタンからメンバーを追加します。なお、ハーモス勤怠 に登録したメールアドレスと一致するメールアドレスでユーザーを登録してください。
ハーモス勤怠 のシステム管理>社員画面からメンバー登録
ハーモス勤怠 へシステム管理者権限のアカウントでログインし、[システム管理>社員]画面からメンバーを登録します。
【設定手順】(Microsoft)Azure Active DirectoryのSAML認証SSO
【設定手順①】Azure Active Directoryで新しいアプリを登録する
Azure Active Directoryへ管理権限のアカウントでログインし、[サイドメニュー「Azure Active Directory」>エンタープライズアプリケーション]画面を開きます。
画面左上にある「+独自のアプリケーションの作成」ボタンをクリックします。アプリの名称に「HRMOS勤怠」と入力し「ギャラリーに見つからないその他のアプリケーションを統合します」にチェックを入れ、画面下の「作成」をクリックします。
【設定手順②】新しいアプリにユーザーを割り当てる
次の画面で、新しいアプリにユーザーを割り当てます。「1.ユーザーとグループの割り当て」をクリックしてください。
画面左上の「+ユーザーまたはグループの追加」ボタンをクリックし、ユーザーの項目にある「選択されていません」というテキストリンクをクリックします。ユーザー選択画面が表示されますので、対象となるユーザーを選択し、画面下の「選択」ボタンをクリックします。
画面左下の「割り当て」というボタンをクリックして、ユーザーの割り当ては完了です。
【設定手順③】Azure Active Directoryの情報をハーモス勤怠 へ登録
次にSAML認証の設定を行います。
前の画面に戻り「2.シングルサインオンの設定」をクリックし、次の画面で「SAML」をクリックします。
SAML認証の設定画面が表示されます。
【設定手順③−1】ハーモス勤怠 の情報をAzure Active Directoryへ登録
まず、Azure Active DirectoryのSAML設定画面「①基本的なSAML構成」の「編集」をクリックします。
この編集画面に、ハーモス勤怠 のシステム設定画面に表示されている「Microsoft Azureに設定する情報」を入力します。
| Azure Active Directoryの項目 | 詳細 |
| 識別子(エンティティID) | https://ieyasu.co/samls/会社独自の文字列/metadata を入力 ※ |
| 応答URL (Assertion Consumer Service URL) | https://ieyasu.co/samls/会社独自の文字列/acs を入力 ※ |
※ URLに含まれる「会社独自の文字列」は、ハーモス勤怠の[システム管理>会社]画面の「ログインURL」より確認できます。
.png)
変更後、Azure Active DirectoryのSAML設定画面「①基本的なSAML構成」画面左上の「保存」をクリックします。
【設定手順③−2】署名証明書の内容を変更
まずは「③SAML 署名証明書」の「編集」をクリックし「署名アルゴリズム」を「SHA-256」へ変更してください。変更後、画面左上の「保存」をクリックします。
【設定手順③−3】ハーモス勤怠 システム管理画面へ入力
Azure Active DirectoryのSAML認証の設定画面の情報を、ハーモス勤怠 のシステム管理画面へ入力していきます。
システム管理者権限のアカウントで ハーモス勤怠 へログインし[システム管理>システム設定]画面を開きます。
Azure Active DirectoryのSAML認証の設定画面に掲載されている情報を、ハーモス勤怠 の「システム設定」画面へ登録します。
| ハーモス勤怠 の項目 | 詳細 |
| SAML認証の設定名 | 「Microsoft Azure」などの適切な名称を入力 |
| ログイン設定 | 「SAML認証のアカウントでログインを行う」にチェック |
| SSOのURL | Azure Active Directoryの「④HRMOS勤怠管理のセットアップ」にある「ログインURL」をコピー&ペースト |
| エンティティID | Azure Active Directoryの「④HRMOS勤怠管理のセットアップ」にある「AzureAD 識別子」をコピー&ペースト |
| 証明書 | Azure Active Directoryの「③SAML署名証明書」にある「証明書(Base64)」からダウンロードした証明書を添付 |
| ハーモス勤怠 ログイン | 「ハーモス勤怠 のログイン機能を使わない」場合はチェックを入れます。
※チェックを入れると、一般社員がIDとパスワードでハーモス勤怠 へログインしようとした場合に、「アカウントIDとパスワードでのログインが許可されていません」というエラーが表示されます。 |
情報を入力し終えたあとに、ハーモス勤怠 の[システム管理>システム設定]画面のページ下部にある「登録する」ボタンをクリックします。
【設定手順③−4】ユーザー属性とクレームを変更
最後に、Azure Active DirectoryのSAML設定画面「②ユーザー属性とクレーム」の「編集」をクリックし、「一意のユーザーID」をクリックします。
「ソース属性」を「user.mail」に変更します。変更後、画面左上の「保存」をクリックしてください。
以上で、Azure Active DirectoryのSAML認証によるSSOの設定は完了です。
SAML認証のSSO以外の設定については自社環境でお確かめください
HRMOS勤怠は、標準規格「SAML2.0」でのSSO機能を提供しております。上記の設定が完了すればSAML認証のSSOが可能となります。
SAML認証のSSO以外の設定(Microsoft Authenticatorでの運用など)については、貴社のMicrosoft Azure Active Directoryの設定に準ずるため保証致しかねます。
SAML認証のSSOは、HRMOS勤怠フリープランでもご利用いただけますので、運用を開始する前にお客様の環境で運用可能かどうかご確認ください。
【関連】
