「SSO(SAML)設定」は、セキュリティオプションをご契約いただいているお客様のみご利用いただけます。 ===お申し込みはこちら=== 「SSO (SAML) 設定」オプションについて問い合わせる
このガイドでは、Azure ADをSAML 2.0のIdentity Provider(以下、IdP)として、バクラクシリーズにSSOを設定する方法を説明します。
※こちらのSAMLオプションは、SCIM(複数のドメイン間でユーザー認証情報をやり取りするためのプロトコル/プロビショニング)には対応しておらず、バクラクへのアカウント作成・削除は対応していません。
※IdP側からバクラクにログイン(IdP-Initiatedログイン)することも可能です。
目次
Step1:バクラクシリーズ側の設定
- バクラク共通管理にログイン
- 画面左側メニューの[認証設定管理]をクリック
- [認証設定]が開きます。
- [SAMLを有効化]のボタンをONにします。
- IdP情報の入力項目、Service Providerの情報が表示されます。
- ここで一度、Azure AD側の設定に進みます。
※Azure AD側の設定で、Service Providerの情報が必要になるので、画面は閉じずに作業を進めます。
Step2:Azure AD側の設定
- Azure ADにログイン
- Azure AD上にて、[Azureサービス]→[エンタープライズアプリケーション]をクリック
- 画面上にある[Applications]をクリック
- アプリケーション一覧の画面が開くので、[新しいアプリケーション]をクリック
- アプリケーションの検索をする画面[Azure ADギャラリーの参照]が開く
- 上部にある[独自のアプリケーションの作成]をクリック
- [独自のアプリケーションの作成]画面が表示されるので、必要事項を入力していきます。
項目 入力内容 お使いのアプリの名前は何ですか?
一覧に表示されるので、任意の名前を入力 例:「バクラク」「bakuraku」アプリケーションでどのような操作を行いたいですか?
[ギャラリーに見つからないその他の・・・]を選択する。 - 入力画面右下にある[作成]をクリック
- しばらく待つと、7で入力した名称が記載された[概要]画面が開く
- [2.シングルサインオンの設定]ボタンにある、[作業の開始]をクリック
- [シングルサインオン方式の選択]に移動するので、[SAML]をクリック
- [1 基本的なSAML構成]の右上にある[編集]をクリック
- [基本的なSAML構成]の詳細を入力する画面が、右側に開く
- [識別子の追加][応答URL]をクリックし、入力フォームを開く
- バクラク共通管理画面で取得した値を、転記
表示項目 入力内容/バクラク共通管理に表示されている内容 識別子 (エンティティ ID)
EntitiyID応答 URL (Assertion Consumer Service URL)
ACS URL - [保存]をクリックし、[SAMLベースのサインオン]に戻る
- [3.SAML署名証明書]の欄にある[フェデレーション メタデータ XML]からダウンロードをクリック
- [エンタープライズアプリケーション]→[概要]のページに戻り、[1.ユーザーとグループの割り当て]をクリック
- [ユーザーとグループ]が表示されます。
- [ユーザーまたはグループの追加]をクリックし、ユーザーを追加
- 以上で、Azure AD設定は完了です。
Step3:バクラクシリーズ側の設定
- 先ほど閉じずに開いたままにしておいた、バクラク共通管理の[認証設定]画面に戻る
- [外部Identity Providerの情報 (必須)]に、先ほど作成したメタデータをファイル選択で選ぶ
- [保存]をクリックすると、[SAMLを設定してよろしいですか?]と警告文が表示されます。
問題ない場合は[OK]をクリック - 画面上部に[SAML設定を編集しました]と表示
- 以上で、Azure ADをIdPとしたSAML設定は完了です。
運用開始時の注意
複数環境でSAMLログインを有効化している場合、会社IDの入力を求められる場合があります。
詳細は複数環境でSAML認証を行う場合の注意点をご参照いただき、従業員の皆様への運用周知をお願いいたします。