本ページでは、ホットプロファイルでの基本的なSAML認証機能の利用方法について
ご案内いたします。
※SAML認証機能をご利用の場合は別途オプション契約が必要となります。
詳細につきましては担当営業へご確認ください。
- SAML認証
- スマホアプリからのSAML認証の種類
- SAML認証の設定方法
- ホットプロファイル Webアプリへシングルサインオン
- ホットプロファイル名刺/SFAアプリ(スマホアプリ)へシングルサインオン
- 連携先が提供しているマニュアル
- よくある問い合わせ
SAML認証
■SAML(Security Assertion Markup Language)とは
異なるセキュリティドメイン間で認証情報を連携するための、XMLベースの標準仕様です。
SAML認証を設定すると、社内のIdPに登録されたユーザーアカウントで、
HotProfileにシングルサインオンできます。
■IdP(Identity Provider)
AD FSのように認証情報を提供する側
■SP(Service Provider)
HotProfileのように認証情報を利用する側
■AD FS(Active Directory フェデレーション サービス)
Microsoftが開発した IDアクセスソリューションの1つであり、Active Directoryにサインインした後に
生成されるチケットをもとに、クラウドで利用可能なチケット(=トークン)を生成するサービス
※Active Directory / Active Directory フェデレーション サービス
/ Active Directory ドメイン サービスは
マイクロソフト コーポレーションの登録商標です。
■SSO
Single Sign-On(シングルサインオン)
■SLO
Single Logout(シングルログアウト)
ホットプロファイルではSAML2.0を用いたシングルサインオンに対応しています。
(IdPとしてADFSに対応)
※SAML2.0対応したSSOソリューション、クラウドサービス等への接続テストを継続的に実施し、
正式に対応を表明するIdPについて継続的に増やしてまいります。
< 認証動作の流れ >
1. HotProfileへアクセス、応答
2. AD FSへ認証要求、応答
3. 認証情報送信、利用開始
スマホアプリからのSAML認証の種類
スマホアプリからのSAML認証方法は以下の2通りです。
〇ユーザーエージェント指定でIdp認証する場合
→ スマホアプリからユーザーエージェント指定でIdp認証
〇証明書認証でIdp認証する場合
スマホアプリからクライアント証明書を使用したSAML認証が行えます
※ホットプロファイル バージョン8.0.0から対応
→ スマホアプリから認証を行う場合に、ホットプロファイルWebアプリを経由してIdp認証
Idp認証時に証明書が必要な場合はこちらを指定してください。
※Idp認証時にスマートフォンのクライアント証明書を利用し認証が行われます
SAML認証の設定方法
※本機能のご利用はお申し込みが必要です。
< AD環境 >
AD環境を用意します。
貴社IdPサーバにて情報を取得します。
IdP が署名に使用する公開鍵の証明書ファイル (.cer) を作成してください。
<ホットプロファイル の設定>
1. [ システム設定 ] - [ ユーザー管理 ] - [ ユーザー管理 ] 各ユーザーをクリックします。
2. 各ユーザーごとに以下の項目について設定します。
・SAML認証
該当ユーザーのSAML認証を有効 / 無効にする設定です。
※SAML認証設定自体が無効な場合、本設定は設定値に関わらず無効化されます。
3. 上記にて各ユーザーの設定が終了しましたら、 [ SAML認証設定 ] で機能を有効にします。
4. [ 歯車アイコン ] - [ ユーザー管理 ] - [ ユーザー管理 ] - [ SAML認証設定 ] をクリックします。
5. [ SAML認証 ] を [ 有効 ] に設定します。
6. 以下の項目について設定し、 [ 登録 ] をクリックします。
- Identity ProviderのSSOエンドポイントURL
- Identity ProviderのSLOエンドポイントURL
- Identity Providerが署名する公開鍵証明書(.cerファイル)
- スマホアプリのユーザーエージェント
※ユーザーエージェント指定で認証する場合のみ有効とします。
「HotProfile- 」の後ろに任意の半角英数字を設定し、
そちらをIdp側のユーザーエージェントの許可リストに登録頂きます。
例)
Identity ProviderのSSOエンドポイントURL:
https://000001.hotprofile.biz/adfs/ls
Identity ProviderのSLOエンドポイントURL:
https://000001.hotprofile.biz/adfs/ls
ホットプロファイル Webアプリへシングルサインオン
※URLは全て小文字で記載をお願いします。
1. ブラウザを起動、以下のURLを入力し、接続します。
https://[顧客ID].[HotProfileURL]
例)https://000001.hammock.hotprofile.biz
2. シングルサインオンログイン画面が表示されます。
3. [ ADユーザー情報 ] で [サインイン] します。
4. 「3.」で入力したユーザー情報と連携しているHotProfileのユーザーアカウントで
HotProfileにログインできます。
ホットプロファイル名刺/SFAアプリ(スマホアプリ)へシングルサインオン
※URLは全て小文字で記載をお願いします。
1. ホットプロファイル名刺/SFAアプリを起動します。
2. [ ログイン ] 画面の [ シングルサインオンでログイン ] をタップします。
3. [ シングルサインオン ] 画面の [ サーバー ] に以下の内容を入力し、 [ ログイン ] をタップします。
https://[顧客ID].[HotProfileURL]
例)https://000001.hammock.hotprofile.biz
4. シングルサインオン用画面が表示されます。
5. [ ADユーザー情報 ] で [ サインイン ] します。
6. 「5.」で入力したユーザー情報と連携しているホットプロファイルのユーザーアカウントで
ホットプロファイル名刺/SFAアプリにログインできます。
連携先が提供しているマニュアル
よくあるお問い合わせ
Q:SAML側のユーザー数とホットプロファイル側のユーザー数が異なっている場合でも連携は可能か?
A:連携が可能です。SAML認証させたいユーザーに対して
ホットプロファイル側のSAML認証設定をお願い致します。
Q:エラーが起きてSAML認証でログインできない。
A:通信制限によってSAML認証が行えない場合がございます。
その場合はこちらを参照頂きURLをホワイトリストに登録をして、動作の確認をお願いします。
また、顧客IDに英字が含まれる場合、英字を小文字にしてIdP側の設定を行ってください。
例:000001A → 000001a
Q:SSO利用時、退職者が出た際にSSO側で退職者を削除or無効化した場合、
HPF側のユーザー情報も自動的に無効化されるか。
A:SSO側で退職者を削除や無効化してもホットプロファイルのユーザーは自動で無効化されません。
SSO側で退職者を削除や無効化した後に、ホットプロファイルでも手動でユーザーを無効化
して頂きますようお願いいたします。
Q:AzureADのSAML認証設定手順を教えてほしい。
A:恐れ入りますがAzureADの設定はサポート範囲外となります。詳細はAzureAD側へご確認ください。
なお、参考として過去に確認できた設定方法をご紹介します。
本ページ下部に表示されている「AzureによるSAML認証設定手順.pdf」よりご確認ください。
※あくまでも過去事例となります。