SAML連携

  • 更新

クライゼルの管理画面へのログインについて、シングルサインオンできるようにします。

 

このページの概要

管理画面のSAML連携概要 SAML連携についての概要を説明します。
管理画面のSAML連携を設定する SAML連携設定手順の説明です。
他社IdP連携検証資料 クライゼルのSAML機能を利用してSSOを設定できることを確認した履歴のあるIdPについての情報を紹介いたします。

注意

この設定メニューはシステム管理者のみ操作できます。

管理画面のSAML連携概要

[SAML連携](サムル連携)は、クライゼル管理画面へのログインについてシングルサインオン(SSO)を有効化できる機能です。

たとえば、クライゼルログイン画面で、ログイン名とパスワードの入力無しで認証できるようになります。

シングルサインオン(SSO)のためのSAML連携を設定する(有効時の例).png

SAML認証では、「IdP」と「SP」があり、クライゼルは「SP」に該当します。

  • IdP・・・認証するクラウドサービスやログインアカウントをまとめて管理するためのサービス。
  • SP・・・認証ログインし、利用したいクラウドサービス。このサービスにも利用ユーザのアカウントが登録されている必要がある。
シングルサインオン(SSO)のためのSAML連携を設定する(SAML連携イメージ).png

クライゼルのSAML連携では、下記のIdPから取得した情報を登録する必要があります。

  • エンティティID
  • エンドポイントURL( = シングルサインオンURL = サインインURL)
  • 証明書
シングルサインオン(SSO)のためのSAML連携を設定する(設定画面概要).png

 

管理画面のSAML連携を設定する

操作手順

1 [システム]>[SAML連携]を開きます。

シングルサインオン(SSO)のためのSAML連携を設定する:手順1.png

2 「SAML全般設定」項目を行います。

[SSO(シングルサインオン)設定] 下記の選択肢から指定します。
  • 無効
  • 有効(パスワードログイン有効)
    シングルサインオン(SSO)のためのSAML連携を設定する:手順2(有効).png
  • 有効(パスワードログイン無効)
    シングルサインオン(SSO)のためのSAML連携を設定する:手順2(無効).png
[利用するIdP情報] 利用するIdPの仕様等にあわせて下記の選択肢から指定します。
  • NameID
  • 属性情報
[利用する属性情報] 前項目(利用するIdP情報)で[属性情報]を選択した場合に表示される項目です。
IdPから要求する属性の名前を定義します。IdP側でも同名で定義してある必要があります。
[利用するアカウント情報] 通常のクライゼルのログイン名はメールアドレスですが、利用するIdPの仕様等にあわせて下記の選択肢から指定します。
  • ログイン名(メールアドレス)
    ・・・メールアドレス
  • ログイン名(メールアドレス)のローカルパート
    ・・・メールアドレスの@の前部分

3 「IdP設定(連携システムの情報を入力してください)」部分では、IdP側の管理画面を開き、SPの設定を追加する画面等より、下記の情報を確認して登録してください。

[エンティティID] IdP管理画面で発行されている当連携用の値を確認して入力してください。
[エンドポイントURL] シングルサインオンURLサインインURLとも言われます。
IdP管理画面より該当する値を確認して入力してください。
[証明書] IdP管理画面より証明書を取得して貼付してください。
  • ヘッダ・フッタ(-----BEGIN CERTIFICATE-----のような部分)の有無はどちらでも可
  • 証明書のフォーマットのバリデーションチェックがされ、エラー時は「エラー: 証明書のフォーマットが正しくありません。」と表示されます。
  • 補足:ここで設定した証明書の有効期限が切れた場合でも、認証は無効化されない仕様としておりますが、セキュリティ上期限内に更新いただくようお願いいたします。

4 「SP設定(連携システムに、この情報を入力して下さい)」部分に表示される内容を、IdP側の管理画面の登録欄に設定してください。

[エンティティID] クライゼルが発行したIDが表示されていますので、IdP管理画面上でSP側のエンティティIDを入力する欄に設定してください。
[ACS URL]
(Assertion Consumer Service URL) 		SP側のエンドポイントURL(シングルサインオンURL)です。
IdP管理画面上のSP側の情報としてエンドポイントURLを入力する欄に設定してください。
[NameID] NameIDのフォーマットです。クライゼルでは「urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified」固定としています。IdP側では形式を定義し、SP側はその形式を受け入れ、必要なサービスをユーザに提供することとなります。
[RelayState] SAMLログイン後遷移する専用URLのことです。クライゼルではログイン後自動で状況に合わせたページへ遷移させますので、設定の必要はありません。
※KRバージョン1.40より、タイムアウト時はログイン後タイムアウト時のページへ戻ります。

5 「高度な設定」「その他」部分は任意で設定・入力します。

[利用するハッシュアルゴリズム] 利用するIdPの仕様等にあわせて下記の選択肢から指定します。
  • SHA-256
  • SHA-384
  • SHA-512

※本項目はVer.202503より「SAML全般設定」欄から移動されました。
[IdPへのRequestedAuthnContext送信] 利用するIdPの仕様等にあわせて下記の選択肢から指定します。
  • 送信しない
  • 送信する

「送信する」の場合、SAML認証リクエストに、以下の要素が含まれます。
IdPで、パスワード認証以外の端末認証等を認証方法に設定している場合は「送信しない」に設定することでエラーが解消される可能性があります。
<samlp:RequestedAuthnContext Comparison="exact">
  <saml:AuthnContextClassRef>   urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport   </saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>
※本項目はVer.202503より追加されました。2025年3月25日のバージョンアップより前に設定された場合の初期値は「送信する」、以降の初期値は「送信しない」となります。
[備考] システム管理者自身向けのメモ。SAML連携システム名や、システム管理者が変更された場合などの後任者への引き継ぎ事項等をメモを残すのにご利用ください。

参考

  • 監査ログでは「SAML設定更新」という種別で記録されます。ログの内容としてはSAML連携の有効・無効のみです。
  • SAMLでのログインのみが許可されている場合
    • [アカウント]のアカウント作成時の[パスワード通知]は非表示となります。パスワードは送信されません。
    • ログイン画面のパスワード再発行機能は使用できません。表示文言「パスワードによるログインは停止されています。」
      ただしAPIオプションをご利用の場合はパスワード再発行機能が利用でき、API用アカウントのみパスワードログインが可能です。

注意

SAMLでのログインのみが許可されている場合に、システム管理者アカウントでのログインができなくなった場合など、SAML連携設定を無効化する必要が出た場合はトライコーンカスタマーサポートへご連絡ください。

他社IdP 連携検証資料

クライゼルのSAML機能を利用してSSOを設定できることを確認した履歴のあるIdPについての情報を、ご参考までにご紹介いたします。

連携について検証済みのサービス

連携について検証済みのサービス
  • Google Workspace
  • Salesforce
  • Onelogin
  • Okta
  • トラスト・ログインbyGMO(SKUID byGMO )
  • Extic
  • IIJ IDサービス
  • CloudGate UNO

※過去に検証実績があったものを記載しており、KREISEL および他社サービスの最新版同士での連携検証を常にしているものではありません。

検証時の設定例

他社のIdPサービスとの連携テストを行った際の設定例を、参考までにご紹介いたします。
検証時はクライゼルとのSAML連携を成立させることを目的としており、他の条件が絡むことで連携可否が変わる場合がありましたら何卒ご容赦ください。
なお、下記の設定例について一切の責任を負いかねます。また下記以上の情報提供も難しいため、IdP側の設定に関しては、必ず貴社の責任において設定方法を確認し、設定いただくようお願いいたします。

Salesforce
  • Salesforce側の設定
      • [設定]>[ID]>[IDプロバイダ]にて[ID プロバイダの設定]を有効化
      • [証明書のダウンロード]ボタンより証明書をダウンロード
      •  「接続アプリケーションでサービスプロバイダが作成されました。こちらをクリックしてください。」>[接続アプリケーションの設定]にて
          • 基本情報「接続アプリケーション名」「API 参照名」「取引先責任者 メール」を任意で指定
          • Web アプリケーション設定
          •  [開始URL]:空欄
          • [SAML の有効化]:チェック(有効化すると以下項目が開く)
          • [エンティティ ID]:クライゼル「SAML連携」の「SP設定」の[エンティティID]値
          • [ACS URL]:クライゼル「SAML連携」の「SP設定」の[ACS URL]値
          • [名前 ID 形式]:クライゼル「SAML連携」の「SP設定」の[NameID]値
          •  [件名種別]:「統合ID」
          •  [発行者]:ご利用のSalesforceのドメイン(例:https://ドメイン名.my.salesforce.com)
          • [IdP 証明書]:前段でダウンロードした証明書の名称を選択
          •  [要求署名を確認]:空欄
          •  [SAMLレスポンスを暗号化]:空欄
          • [SAML メッセージの署名アルゴリズム]:SHA256
      • [ユーザ]>対象者の[ユーザの編集]
          • [シングルサインオン情報]>[統合ID]にてクライゼルログインアカウントの使用メールアドレスを指定
      • [Manage]>[プロファイル]>[プロファイルを管理する]にて「システム管理者」「標準ユーザ」どちらかを設定
  • クライゼル側の設定
      • 「SSO(シングルサインオン)設定」
          • [連携で利用するIdP情報]:「NameID」
          • [連携で利用するアカウント情報]:「ログイン名(メールアドレス)」
          • [利用するハッシュアルゴリズム]:「SHA-256」
          • [IdPエンティティID]:Salesforceのドメイン(「発行者」と同じもの)
          • [IdPのエンドポイントURL]:
            SalesforceのURL + 「/idp/endpoint/HttpRedirect」
            (例:https://ドメイン名.my.salesforce.com/idp/endpoint/HttpRedirect)
          • [証明書]:Salesforceからダウンロードした証明書の中身
Okta
  • Okta側の設定
      • Directory -> People の Add Personをクリック
          • User NameにKRと同じメアドを入力
          • Send user activation email nowを選択しアクティベートしておく
      • Applications -> Applications のAdd Application
          • Create New Appをクリック
          • SAML2.0を選択してCreate
          • General Settings
              • App Nameに「KREISEL」等入力
          • Configure SAML
              • Single sign on URL にKREISELのACS URLを記入
              • Use this for Recipient URL and Destination URLにチェック
              • Audience URI (SP Entity ID) にKREISELのエンティティIDを記入
              • Name ID format を Unspecified に設定
              • Application username をokta usernameに
          • Feedback
              • Finishを選択
      • Sign Onタブの「View Setup Instructions」をクリック
          • クライゼル側へ入力する情報が表示される
      • Assignments
          • Assign -> Assign to Peopleをクリック
              • Assignから対象ユーザをクリック
            • peopleの自分のユーザの鉛筆マークをクリック
                • User Name をKRのユーザ名に
  • クライゼル側の設定
      •  [連携で利用するIdP情報]:NameIDにチェック
      • [連携で利用するアカウント情報]:ログイン名(メールアドレス)にチェック
      • [利用するハッシュアルゴリズム]:SHA-256を選択
      • [IdPエンティティID]:OktaのIdentity Provider Issuer
      • [IdPのエンドポイントURL]:OktaのIdentity Provider Single Sign-On URL
      • [IdP証明書入力欄]:X.509 Certificateをコピーして貼り付け
Onelogin
  • Onelogin側
      • Applications -> Applications のAdd Appをクリック
          • Seatch...に「SAML Test」と入力、SAML Test Connector (Advanced)を選択
          • Display Nameを「KREISEL SAML」などに変更、SAVEをクリック
      • Users -> Users から自分のユーザをクリック
          • 左のタブから Applications を選択、Applications から「KREISEL SAML」を選択、Save Userをクリック
          • すでにユーザが設定されてる場合は必要なし
      • Applications -> Applications 「KREISEL SAML」を選択
          • Configuration を選択
              • ACS (Consumer) URL Validator にKREISELのACS URLを正規表現に直したものを記入
              • ACS (Consumer) URL にKREISELのACS URLを記入
              • Login URL にKREISELのエンティティIDを記入
              • SAML nameID format を Unspecified に設定
          • Parameters を選択
              • NameID value がemailになってることを確認
              • 一旦Saveをクリック
          • USERSを選択
              • 設定したユーザが表示されていることを確認
  • KR側
      •  [連携で利用するIdP情報]:NameIDにチェック
      • [連携で利用するアカウント情報]:ログイン名(メールアドレス)にチェック
      • [利用するハッシュアルゴリズム]:SHA-256を選択
      • [IdPエンティティID]:OneloginのSSOの Issuer URL
      • [IdPのエンドポイントURL]:OneloginのSSOの SAML 2.0 Endpoint (HTTP)
      • [IdP証明書入力欄]:先程コピーしたものを貼り付け
IIJ IDサービス
  • IIJ IDサービス側
    • アプリケーションの管理 -> アプリケーションの追加 -> カスタムアプリケーションの追加をクリック
      • SAMLアプリケーションを選択
      • アプリケーション名を「KREISEL SAML」などに変更
      • 「アプリケーション専用のエンティティIDを利用」を選択
    • アカウント -> ユーザの管理
      • 連携したいユーザの通知先メールアドレスをKREISELのログイン名と同じメールアドレスであることを確認
    • アプリケーションの管理 -> 作成したアプリの「編集する」をクリック
      • フェデレーション設定 -> SAML情報を入力する
        • シングルサインオンURL にKREISELのACS URLを記入
        • エンティティ ID にKREISELのエンティティIDを記入
        • NameIDフォーマット を Unspecified に設定
        • 属性値関連付け「メールアドレスのローカルパート」等で「通知先メールアドレス」を設定
      • 利用者設定 -> 利用者を追加する -> 利用者
        • タブをユーザにし、連携したいユーザを入力し追加
      • IDプロバイダ情報
        • 必要な情報をメモ
  • KR側
    • [連携で利用するIdP情報]:属性情報にチェック
    • [連携で利用する属性情報]:属性値関連付けで設定した「メールアドレスのローカルパート」等を入力
    • [連携で利用するアカウント情報]:ログイン名(メールアドレス)にチェック
    • [利用するハッシュアルゴリズム]:SHA-256を選択
    • [IdPエンティティID]:IIJ IDサービスのエンティティID
    • [IdPのエンドポイントURL]:IIJ IDサービスのSSOエンドポイントURL (Redirectバインディング)
    • [IdP証明書入力欄]:IIJ IDサービスのPEM
トラスト・ログインbyGMO(SKUID byGMO)
  • トラスト・ログインbyGMO(SKUID byGMO)側
    トラスト・ログインのマニュアルを元に設定
  • クライゼル側
    • [ログインURL][エンティティID]:KREISELのエンティティID
    • [ネームID用値]:メンバーのemail
    • [ネームIDフォーマット]:unspecified
    • [サービスへのACS URL]:HTTP-REDIRECTにしてKREISELのACS URL