OneLoginのSAML認証設定の設定方法

ID連携アプリとしてOneLoginを追加し、アプリ詳細画面を開いたら、以下の手順でSAML認証の設定を進めてください。

1. SmartHRから証明書をコピー

SmartHRのアプリ詳細画面から、SAML設定の証明書データをコピーします。 ［SAML連携情報］の［証明書］欄にある［コピー］を押すと、証明書情報がクリップボードにコピーされます。

2. OneLoginでTrusted IdP設定を作成

OneLoginの管理コンソールにログインし、［Authentication］>［Trusted IdPs］を押してTrusted IdP設定画面を開きます。

［New Trust］を押して新しいTrusted IdPの作成を開始します。［名前］に任意の名前（例：SmartHR IdP）を入力します。

3. OneLoginでSmartHRの連携情報を入力

OneLoginのTrusted IdP設定画面で、以下の情報を入力します。

OneLoginの項目	入力する内容
IdP Login URL	アプリ詳細画面の［SAML連携情報］欄に表示されている［SSO URL］
SP Entity ID	アプリ詳細画面の［SAML連携情報］欄に表示されている［エンティティID］
Trusted IdP Certificate	手順1でコピーした証明書情報

設定が完了したら、［Sign users into OneLogin］のチェックボックスにチェックを入れて［Save］を押します。

4. SmartHRのSAML認証設定を更新する

SmartHRのアプリ詳細画面に戻り、［SAML認証設定］欄にある［編集］を押して、SAML認証設定の編集画面を開きます。 下記の表に従って入力し、［更新］を押します。

SmartHRの項目	入力する内容
エンティティID	OneLoginのTrusted IdP設定画面の［SP Entity ID］に表示されている値
ACS URL	https://your-subdomain.onelogin.com/access/idp（your-subdomainは実際のOneLoginサブドメイン名）
ログインURL	入力不要
デフォルト Relay State	入力不要
NameID フォーマット	emailAddress
NameID	メールアドレス
署名方法	Assertion

5. OneLoginでSSO（シングルサインオン）を有効化する

OneLoginのTrusted IdP設定画面で以下の設定を行ないます。

• ［Login Options］セクションで［Show in Login panel］にチェックを入れて、ログイン画面にSSOオプションを表示させます。
• ［Configurations］セクションで［Email Domains］にSmartHRで利用しているメールドメインを入力します（例：example.com）。
• ［Enable Trusted IDP］のチェックボックスにチェックを入れて、有効化します。

6. OneLoginでSSOできるユーザーを設定する

OneLoginの管理コンソールで、［Users］>［All Users］を押してユーザー管理画面を開きます。

SSOを有効にしたいユーザーの［Edit User］を押します。 ［Authentication］タブで［Trusted IDP］のドロップダウンリストから、手順2で作成したTrusted IdP（SmartHR IdP）を選択し、［Save User］を押します。

SAMLを使ったJITプロビジョニング

OneLoginでは、SAMLによるJITプロビジョニングが可能です。

JITプロビジョニングが実行される際、以下の項目がOneLoginと連携されます。

• メールアドレス
• 名
• 姓

JITプロビジョニングを有効化するには、OneLoginのTrusted IdP設定画面で［JIT］を押して以下の項目を設定します。

TIDP Value	User Field
{tidp.Email}	Email
{tidp.FirstName}	Firstname
{tidp.LastName}	Lastname

設定が完了したら、Set User TIDP after user creationとEnableのチェックボックスにチェックを入れて［Save］を押します。