本ページでは、ホットプロファイルでの基本的なSAML認証機能の利用方法についてご案内します。
※SAML認証機能をご利用の場合は別途オプション契約が必要となります。
詳細につきましては担当営業へご確認ください。
- SAML認証
- スマホアプリからのSAML認証の種類
- SAML認証の設定方法
- ホットプロファイル Webアプリへシングルサインオン
- ホットプロファイル名刺/SFAアプリ(スマホアプリ)へシングルサインオン
- 連携先が提供しているマニュアル
-
よくあるご質問
SAML認証
■SAML(Security Assertion Markup Language)とは
異なるセキュリティドメイン間で認証情報を連携するための、XMLベースの標準仕様です。
SAML認証を設定すると、社内のIdPに登録されたユーザーアカウントで、
ホットプロファイルにシングルサインオンできます。
■IdP(Identity Provider)
AD FSのように認証情報を提供する側
■SP(Service Provider)
ホットプロファイルのように認証情報を利用する側
■AD FS(Active Directory フェデレーション サービス)
Microsoftが開発した IDアクセスソリューションの1つであり、Active Directoryにサインインした後に
生成されるチケットをもとに、クラウドで利用可能なチケット(=トークン)を生成するサービス
※Active Directory / Active Directory フェデレーション サービス
/ Active Directory ドメイン サービスは
マイクロソフト コーポレーションの登録商標です。
■SSO
Single Sign-On(シングルサインオン)
■SLO
Single Logout(シングルログアウト)
※ホットプロファイルではSAML2.0を用いたシングルサインオンに対応しています。
< 認証動作の流れ >
1. ホットプロファイルへアクセス、応答
2. AD FSへ認証要求、応答
3. 認証情報送信、利用開始
スマホアプリからのSAML認証の種類
スマートフォンアプリからのSAML認証方法は以下の2通りございます。
■スマートフォンアプリのユーザーエージェント:有効
ご利用のIdPがユーザーエージェントによる制限を行っている場合、
「スマートフォンアプリのユーザーエージェント」設定を「有効」に設定する必要があります。
利用される際は「HotProfile- 」の後ろに任意の半角英数字を設定し、
そちらをIdP側のユーザーエージェントの許可リストに登録いただく必要があります。
※ユーザーエージェントによる制限は特定のIdP(例:HENNGE One等)にて提供されている機能となります。
機能の有無につきましては、ご利用のIdPにご確認をお願いいたします。
■スマートフォンアプリのユーザーエージェント:無効
ご利用のIdPにて証明書認証やデバイスによる制限をしたい場合、
「スマートフォンアプリのユーザーエージェント」設定を「無効」に設定する必要があります。
スマートフォンのブラウザアプリを使用することで、クライアント証明書を使用したSAML認証が行えます。
※ホットプロファイル Ver.8.0.0から対応
SAML認証の設定方法
< AD環境 >
AD環境を用意します。貴社IdPサーバにて情報を取得します。
IdP が署名に使用する公開鍵の証明書ファイル (.cer) を作成してください。
※公開鍵証明書をUTF-8でエンコードされたファイル形式(Base 64 encoded X.509(.CER))
<ホットプロファイル の設定>
1. [ システム設定 ] - [ ユーザー管理 ] - [ ユーザー管理 ] 各ユーザーをクリックします。
2. 各ユーザーごとに以下の項目について設定します。
・SAML認証
該当ユーザーのSAML認証を有効 / 無効にする設定です。
※SAML認証設定自体が無効な場合、本設定は設定値に関わらず無効化されます。
・SAML認証連携用ID
上記SAML認証の設定を有効に設定するとこちらの設定が表示されます。
Idp側で利用しているアカウントと紐付けするための必要な設定となりますため
設定すべき内容をIdp側へご確認頂きますようお願いいたします。
※多くの場合はIdp側で利用しているアカウントのメールアドレスを登録致します。
その場合は、ドメイン名も含めたメールアドレスを登録頂きますようお願いします。
3. 上記にて各ユーザーの設定が終了しましたら、 [ SAML認証設定 ] で機能を有効にします。
4. [ 歯車アイコン ] - [ ユーザー管理 ] - [ ユーザー管理 ] - [ SAML認証設定 ] をクリックします。
5. [ SAML認証 ] を [ 有効 ] に設定します。
6. 以下の項目について設定し、 [ 登録 ] をクリックします。
- Identity ProviderのSSOエンドポイントURL
- Identity ProviderのSLOエンドポイントURL
- Identity Providerが署名する公開鍵証明書(.cerファイル)
- スマートフォンアプリのユーザーエージェント
※ユーザーエージェント指定で認証する場合のみ有効とします。
「HotProfile- 」の後ろに任意の半角英数字を設定し、
そちらをIdp側のユーザーエージェントの許可リストに登録します。
例)
Identity ProviderのSSOエンドポイントURL:
https://000001.hotprofile.biz/adfs/ls
Identity ProviderのSLOエンドポイントURL:
https://000001.hotprofile.biz/adfs/ls
ホットプロファイル Webアプリへシングルサインオン
※URLは全て小文字で記載をお願いします。
1. ブラウザを起動、以下のURLを入力し、接続します。
https://[顧客ID].[HotProfileURL]
例)https://000001.hammock.hotprofile.biz
2. シングルサインオンログイン画面が表示されます。
3. [ ADユーザー情報 ] で [サインイン] します。
4. 「3.」で入力したユーザー情報と連携しているHotProfileのユーザーアカウントで
HotProfileにログインできます。
ホットプロファイル名刺/SFAアプリ(スマホアプリ)へシングルサインオン
※URLは全て小文字で記載をお願いします。
1. ホットプロファイル名刺/SFAアプリを起動します。
2. [ ログイン ] 画面の [ シングルサインオンでログイン ] をタップします。
3. [ シングルサインオン ] 画面の [ サーバー ] に以下の内容を入力し、 [ ログイン ] をタップします。
https://[顧客ID].[HotProfileURL]
例)https://000001.hammock.hotprofile.biz
4. シングルサインオン用画面が表示されます。
5. [ ADユーザー情報 ] で [ サインイン ] します。
6. 「5.」で入力したユーザー情報と連携しているホットプロファイルのユーザーアカウントで
ホットプロファイル名刺/SFAアプリにログインできます。
連携先が提供しているマニュアル
よくあるご質問
Q:SAML側のユーザー数とホットプロファイル側のユーザー数が異なっている場合でも連携は可能か?
A:連携が可能です。SAML認証させたいユーザーに対して
ホットプロファイル側のSAML認証設定をお願い致します。
Q:エラーが起きてSAML認証でログインできない。
A:通信制限によってSAML認証が行えない場合がございます。
その場合はこちらを参照頂きURLをホワイトリストに登録をして、動作の確認をお願いします。
また、顧客IDに英字が含まれる場合、英字を小文字にしてIdP側の設定を行ってください。
例:000001A → 000001a
Q:SSO利用時、退職者が出た際にSSO側で退職者を削除or無効化した場合、
HPF側のユーザー情報も自動的に無効化されるか。
A:SSO側で退職者を削除や無効化してもホットプロファイルのユーザーは自動で無効化されません。
SSO側で退職者を削除や無効化した後に、ホットプロファイルでも手動でユーザーを無効化
して頂きますようお願いいたします。
Q:AzureADのSAML認証設定手順を教えてほしい。
A:恐れ入りますがAzureADの設定はサポート範囲外となります。詳細はAzureAD側へご確認ください。
なお、参考として過去に確認できた設定方法をご紹介します。
本ページ下部に表示されている「AzureによるSAML認証設定手順.pdf」よりご確認ください。
※あくまでも過去事例となります。
Q:ユーザー管理の [ SAML認証設定 ] 画面で設定後に [ 登録 ] をクリックするとエラーが表示される。
エラー内容:ページを表示することが出来ませんでした。
A:設定する公開鍵証明書のファイル形式をUTF-8でエンコードされた
ファイル形式(Base 64 encoded X.509(.CER))にして再度設定をお試しください。