Q.  SAML認証のSSOの設定方法は?【(Microsoft)Azure Active Directory】

A.
このFAQでは、Microsoftが提供する「Azure Active Directory」で、SAML認証のSSO(シングルサインオン)を行う場合の設定方法をご案内します。

SAML認証のSSOでハーモス勤怠 by IEYASUへログインしたい場合は、以下の設定をお願いします。

(Microsoft)Azure Active DirectoryのSAML認証SSOを設定するとどうなるか

Azure Active DirectoryのSAML認証によるSSO(シングルサインオン)を設定すると、簡単にハーモス勤怠 by IEYASUへログインできるようになります。

ハーモス勤怠 by IEYASUログイン画面に表示される「Microsoft Azureからログインをする方はこちら」のリンクをクリックすると、IDとパスワードを入力しなくてもハーモス勤怠 by IEYASUへログインできます。

【設定の事前準備】(Microsoft)Azure Active DirectoryのSAML認証SSO

設定の事前準備として、Azure Active Directoryとハーモス勤怠 by IEYASUに社員を登録します。

【注意】
Azure Active Directoryに登録されたメールアドレスと、ハーモス勤怠 by IEYASUに登録されたメールアドレスが一致するように登録をお願いします。

 

Azure Active Directoryの管理画面からユーザー登録

まず、管理権限のアカウントでAzure portalへログインします。

[サイドメニュー「Azure Active Directory」>ユーザー]画面から設定を行います。

画面左上にある「+新しいユーザー」ボタンからメンバーを追加します。なお、ハーモス勤怠 by IEYASUに登録したメールアドレスと一致するメールアドレスでユーザーを登録してください。

 

ハーモス勤怠 by IEYASUのシステム管理>社員画面からメンバー登録

ハーモス勤怠 by IEYASUへシステム管理者権限のアカウントでログインし、[システム管理>社員]画面からメンバーを登録します。

【設定手順】(Microsoft)Azure Active DirectoryのSAML認証SSO

【設定手順①】Azure Active Directoryで新しいアプリを登録する

Azure Active Directoryへ管理権限のアカウントでログインし、[サイドメニュー「Azure Active Directory」>エンタープライズアプリケーション]画面を開きます。

画面左上にある「+独自のアプリケーションの作成」ボタンをクリックします。アプリの名称に「HRMOS勤怠」と入力し「ギャラリーに見つからないその他のアプリケーションを統合します」にチェックを入れ、画面下の「作成」をクリックします。

【設定手順②】新しいアプリにユーザーを割り当てる

次の画面で、新しいアプリにユーザーを割り当てます。「1.ユーザーとグループの割り当て」をクリックしてください。

画面左上の「+ユーザーまたはグループの追加」ボタンをクリックし、ユーザーの項目にある「選択されていません」というテキストリンクをクリックします。ユーザー選択画面が表示されますので、対象となるユーザーを選択し、画面下の「選択」ボタンをクリックします。

画面左下の「割り当て」というボタンをクリックして、ユーザーの割り当ては完了です。

 

【設定手順③】Azure Active Directoryの情報をハーモス勤怠 by IEYASUへ登録

次にSAML認証の設定を行います。
前の画面に戻り「2.シングルサインオンの設定」をクリックし、次の画面で「SAML」をクリックします。

SAML認証の設定画面が表示されます。

【設定手順③−1】ハーモス勤怠 by IEYASUの情報をAzure Active Directoryへ登録

まず、Azure Active DirectoryのSAML設定画面「①基本的なSAML構成」の「編集」をクリックします。

この編集画面に、ハーモス勤怠 by IEYASUのシステム設定画面に表示されている「Microsoft Azureに設定する情報」を入力します。

Azure Active Directoryの項目 詳細
識別子(エンティティID) https://ieyasu.co/samls/会社独自の文字列/metadata を入力 ※
応答URL (Assertion Consumer Service URL) https://ieyasu.co/samls/会社独自の文字列/acs を入力 ※

 

※ URLに含まれる「会社独自の文字列」は、ハーモス勤怠の[システム管理>会社]画面の「ログインURL」より確認できます。

変更後、Azure Active DirectoryのSAML設定画面「①基本的なSAML構成」画面左上の「保存」をクリックします。

【設定手順③−2】署名証明書の内容を変更

まずは「③SAML 署名証明書」の「編集」をクリックし「署名アルゴリズム」を「SHA-256」へ変更してください。変更後、画面左上の「保存」をクリックします。

【設定手順③−3】ハーモス勤怠 by IEYASUシステム管理画面へ入力

Azure Active DirectoryのSAML認証の設定画面の情報を、ハーモス勤怠 by IEYASUのシステム管理画面へ入力していきます。

システム管理者権限のアカウントで ハーモス勤怠 by IEYASUへログインし[システム管理>システム設定]画面を開きます。

Azure Active DirectoryのSAML認証の設定画面に掲載されている情報を、ハーモス勤怠 by IEYASUの「システム設定」画面へ登録します。

ハーモス勤怠 by IEYASUの項目 詳細
SAML認証の設定名 「Microsoft Azure」などの適切な名称を入力
ログイン設定 「SAML認証のアカウントでログインを行う」にチェック
SSOのURL Azure Active Directoryの「④HRMOS勤怠管理のセットアップ」にある「ログインURL」をコピー&ペースト
エンティティID Azure Active Directoryの「④HRMOS勤怠管理のセットアップ」にある「AzureAD 識別子」をコピー&ペースト
証明書 Azure Active Directoryの「③SAML署名証明書」にある「証明書(Base64)」からダウンロードした証明書を添付
ハーモス勤怠 by IEYASUログイン 「ハーモス勤怠 by IEYASUのログイン機能を使わない」場合はチェックを入れます。

※チェックを入れると、一般社員がIDとパスワードでハーモス勤怠 by IEYASUへログインしようとした場合に、「アカウントIDとパスワードでのログインが許可されていません」というエラーが表示されます。

 

情報を入力し終えたあとに、ハーモス勤怠 by IEYASUの[システム管理>システム設定]画面のページ下部にある「登録する」ボタンをクリックします。

 

 

【設定手順③−4】ユーザー属性とクレームを変更

最後に、Azure Active DirectoryのSAML設定画面「②ユーザー属性とクレーム」の「編集」をクリックし、「一意のユーザーID」をクリックします。

「ソース属性」を「user.mail」に変更します。変更後、画面左上の「保存」をクリックしてください。

以上で、Azure Active DirectoryのSAML認証によるSSOの設定は完了です。

 

SAML認証のSSO以外の設定については自社環境でお確かめください

HRMOS勤怠は、標準規格「SAML2.0」でのSSO機能を提供しております。上記の設定が完了すればSAML認証のSSOが可能となります。

SAML認証のSSO以外の設定(Microsoft Authenticatorでの運用など)については、貴社のMicrosoft Azure Active Directoryの設定に準ずるため保証致しかねます。

SAML認証のSSOは、HRMOS勤怠フリープランでもご利用いただけますので、運用を開始する前にお客様の環境で運用可能かどうかご確認ください。

【関連】

Q.  SAML認証のSSOの設定方法は?【トラスト・ログイン】

この投稿は役に立ちましたか? 役に立った 役に立たなかった 3 人中 1 人がこの 投稿 は役に立ったと言っています。