SAML SSOの初期設定
- Readership:
- For Administrators
- Applicable plans:
- Paid Options
SAML SSOを利用するために必要な初期設定を済ませ、企業アカウントに対してSAML SSOを有効にするまでの手順を説明します。
初期設定は、大きく分けてIdPの設定とSmartHRの設定があります。IdPの設定では、SmartHRから取得した情報をIdPに登録します。SmartHRの設定では、IdPから取得した情報をSmartHRに登録してIdPとの接続を確認し、SAML SSOを有効化します。
IdPに情報を登録する
まずはIdP側の設定に必要な情報をSmartHRから取得して、IdPに登録します。
SmartHRのSSO/SAML認証機能に対応しているIdPについては、SmartHRと連携できるIdPを参照してください。
1. アプリ一覧の[共通設定]>[SAML SSO 設定]を押す
アプリ一覧にある[共通設定]を押して共通設定画面を開き、[SAML SSO 設定]を押してSAML SSOの設定画面に移動します。
[SAML SSO 設定]は、SSO/SAML認証機能を契約している企業アカウントだけに表示されています。
2. [サービスプロバイダ情報]欄の[サービスプロバイダ情報を IdP に設定してください。]を押す
[サービスプロバイダ情報]欄の[サービスプロバイダ情報を IdP に設定してください。]を押すと、サービスプロバイダ情報の詳細画面が表示されます。
3. 画面に表示されている情報をIdPに登録する
画面に表示されている情報をIdPに登録します。必要な情報や登録方法は、各IdPの案内を参照してください。
画像を表示するメタデータファイルが必要な場合は、画面右上の[…]メニュー>[metadataのエクスポート]から書き出します。
IdP側でX.509 証明書が必要な場合
IdP側でX.509 証明書が必要な場合は、以下の手順で公開鍵ファイルをダウンロードしてください。
1. [X.509 証明書]欄の右側にある[…]メニュー>[X509 証明書の更新]を押す
サービスプロバイダ情報と同じ画面の[X.509 証明書]欄の右側にある[…]メニュー>[X.509 証明書の更新]を押すと、確認画面が表示されます。
画像を表示する2. [OK]を押す
確認画面の[OK]を押すと、X.509 証明書の公開鍵が生成されます。
3. […]メニュー>[公開鍵のエクスポート]を押して、公開鍵ファイルをダウンロードする
[X.509 証明書]欄の右側にある[…]メニュー>[公開鍵のエクスポート]を押すと、公開鍵ファイルがダウンロードされます。
画像を表示する4. IdPに公開鍵ファイルを取り込む
ダウンロードした公開鍵ファイルをIdPに取り込みます。詳しくは各IdPの案内を参照してください。
IdPの管理者でない場合の対応方法
あなたがIdPの管理者でない場合は、IdPを管理しているシステム担当者にサービスプロバイダ情報を伝え、設定を依頼してください。
IdP側でX.509 証明書が必要な場合は、ダウンロードした公開鍵ファイルもシステム担当者に渡してください。
4. IdPからメタデータを取得する
IdP側の設定が完了したら、SmartHR側の設定に必要なメタデータをIdPから取得します。
xml形式のファイルを出力できる場合、そちらを利用するのがスムーズです。
SmartHRに情報を登録する
IdPの情報をSmartHRに登録し、SmartHRとIdPを連携します。
1. アプリ一覧の[共通設定]>[SAML SSO 設定]を押す
アプリ一覧にある[共通設定]を押して共通設定画面を開き、[SAML SSO 設定]を押してSAML SSOの設定画面に移動します。
2. [SAML SSO 設定]欄の[編集]を押す
[SAML SSO 設定]欄の[編集]を押すと、SAML SSOの設定の更新画面が表示されます。
画像を表示する3. メタデータを登録する
IdPのメタデータファイルがある場合
IdPからダウンロードしたメタデータファイル(xml形式)がある場合は、[ファイルを選択]からファイルをアップロードして[登録する]を押します。
画像を表示するファイルを登録すると、メタデータの内容が下部の入力エリアに表示されるので、[更新する]を押します。 IdPの情報の登録が完了し、SAML SSOの設定画面に戻ります。
IdPのメタデータファイルがない場合
IdPのメタデータファイル(xml形式)がない場合は、[SAML SSOの設定]欄の各入力エリアに必要情報を入力して[更新する]を押します。
[Name identifier format]では、基本的に[urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress]を選択してください。
画像を表示するIdPの情報の登録が完了し、SAML SSOの設定画面に戻ります。
4. ログインボタンのラベルを設定する(任意)
[SAML SSO ログイン]欄で、ログインボタンのラベルを設定できます。
ボタンに表示したい文言を入力して[更新]を押します。
画像を表示する設定した値は、SAML SSOでログインする際のボタン内の文言になります。
画像を表示する5. 従業員側でSAML SSOを有効化できるようにするか選択する
SmartHRのアカウントとIdPアカウントとの紐づけは、SmartHRの担当者側だけでなく、従業員などアカウントの所有者自身が行なえるように設定できます。
アカウントの所有者自身でSAML SSOを有効化できるようにするには、[従業員側での SAML SSO 有効化]欄で[従業員側での SAML SSO 有効化]のチェックボックスにチェックを入れ、[更新する]を押します。
画像を表示するIdPとの接続を確認する
IdPの情報の登録が完了したら、SmartHRとIdP間の連携が正しく設定できているかを確認します。
1. [SAML SSO 設定の確認]で[設定の確認をする]を押す
[SAML SSO 設定の確認]欄で[設定の確認をする]を押すと、IdPのログイン画面に移動します。
画像を表示する2. IdPのアカウントでログインする
IdPのアカウントでログインします。 連携設定が正常な状態であれば、SmartHRのSAML SSO設定画面上に[現在、SAML SSOの連携設定は正常な状態です。]というメッセージが表示されます。
画像を表示するSAML SSOを有効化する
IdPとの接続が確認できたら、SmartHRでSAML SSOを有効化します。
1. [SAML SSO 有効化]にチェックを入れ、[更新する]を押す
[SAML SSO 有効化]欄で[SAML SSO 有効化]のチェックボックスにチェックを入れ、[更新する]を押すと、確認画面が表示されます。
画像を表示する2. [OK]を押す
確認画面で[OK]を押すと、企業アカウントに対して、SAML SSOの有効化が完了します。
企業専用ログイン画面(https://{サブドメイン}.smarthr.jp/login
)を開いて、SAML SSOでログインするためのボタンが表示されていることを確認します。