メインコンテンツへスキップ

シングルサインオン(SSO)の設定 - Google Workspace(旧 G Suite)

  • 更新
誰がこの機能を使用することができますか?
管理者/一部の権限グループ

概要

この記事では、Google Workspace(旧 G Suite)のシングルサインオン(SSO)設定手順をご説明します。

・Google WorkspaceのGoogle IdP情報画面において、「ACS URL」や「エンティティID」は下記手順に記載の通りに設定してください。
任意のURLを設定した場合、SSOでのアクセスができなくなってしまう可能性があります。
・SSOの設定後に予期せぬエラーが発生した場合等に備えて、管理者権限を保有するアカウントのうち少なくとも1名は、「認証方法」をメールアドレスに設定することを推奨します。
「認証方法」の設定については、<こちら>をご確認ください。

目次

Google WorkspaceのSSO設定
ユーザーの設定
ログインテストの実施

管理者以外の権限グループにSSO設定をさせたい場合
SSO切り替えの項目(=「認証方法」フィールド)が表示されない場合に考えられる理由

Google WorkspaceのSSO設定

1. GoogleのAdmin<https://admin.google.com>にて、「アプリ」>「SAMLアプリ」をクリックします。
mceclip1.png

2. SAMLアプリ一覧の右下に表示されている「+」をクリックします。
mceclip2.png

3. 画面下部の「カスタムアプリをセットアップ」をクリックします。
mceclip3.png

4. 「Google IdP情報」が表示されます。
のちほど画面赤枠の情報をHRMOS COREに転記しますので、画面は閉じずに別タブにてHRMOS Admin(管理画面)を開いてください。
mceclip4.png

5. HRMOS Admin(管理画面)にて、「会社」タブ >「SSOの設定」を開きます。基本情報の右側の「エンピツ」アイコンをクリックします。

6. 編集画面にて下記の情報を指定および転記し、右下の「保存」をクリックします。
・SSOの有効化:「有効」を指定
・タイプ:「カスタム」を指定
・エンティティ:Google IdP情報 >「エンティティID」
・X509証明書:Google IdP情報 >「証明書」(ダウンロードして添付)
※証明書の拡張子は「.pem」となります。「保存」をクリックすると、データ更新が成功した旨のメッセージが表示されます。
・IdPのログインURL:Google IdP情報 >「SSOのURL」
mceclip6.png

7. Google WorkspaceのGoogle IdP情報画面に戻り「次へ」をクリックすると、カスタムアプリの基本情報画面が表示されます。
「アプリケーション名」に「HRMOS」と入力して「次へ」をクリックします。
mceclip0.png

8. 「サービス プロバイダの詳細」にて下記の情報を入力し、「次へ」をクリックします。

・ACSのURL:https://ess.hrmos.co/[HRMOS COREの貴社companyID]/sso
・エンティティID:https://ess.hrmos.co/[HRMOS COREの貴社companyID]/sso
・名前ID:メールアドレスを指定
・名前IDの書式:「EMAIL」を指定
mceclip8.png

companyIDは、HRMOS COREを開くと表示されるURLの hrmos.co/ の後ろの19桁の数字を指します。

9. 「属性のマッピング」では何も入力せずに「完了」をクリックします。
mceclip9.png

10. 以下の画面が表示されますので、右下の「OK」をクリックします。
mceclip1.png

ユーザーの設定

上記を設定後、Google Workspaceの操作 → HRMOS COREの操作 の流れで、各社員ごとにSSOを有効化します。

<Google Workspaceの操作>

1. SAMLアプリ一覧に表示されているHRMOSのステータスが、この時点では「全ユーザーに対してオフ」になっていますので、クリックしてステータスを変更します。
mceclip0.png

2. 画面右上の「サービスを編集」をクリックします。
mceclip1.png

3. サービスのステータスを「オン(すべてのユーザー)」に変更し、右下の「保存」をクリックします。
以上で、Google Workspace側のユーザー設定は完了です。(反映に少々時間がかかることがあります)
mceclip2.png

<HRMOS COREの操作>

1. HRMOS Admin(管理画面)にて「社員リスト」または「社員検索」タブを開きます。SSOを有効化したい社員の顔写真をクリックし、社員詳細画面に移動します。
<「社員リスト」タブの場合>
<「社員検索」タブの場合>

2. カテゴリ「アカウント」> セクション「基本情報」の右側の「エンピツ」アイコンをクリックします。

3. 「認証方法:SSO」を指定して「保存」をクリックすると、設定完了です。設定した連携サービスにてSSOが有効化されます。
mceclip1.png

・認証方法の切り替えは、対象社員の利用状況が "招待前/利用制限/利用中/利用停止" のいずれかの状態で行ってください。
 "招待済み" の段階で切り替えを行う場合は、認証方式切り替え後に招待メールの再送が必要となります。

・アカウント単位でSSOを有効化する操作は、CSV一括インポートでの変更も可能です。
「社員の操作」>「社員の一括編集(ファイル)」にて、カテゴリ:「アカウント」、セクション:「基本情報」をご指定の上、認証方法を変更されたい社員の情報を一括アップロードしてください。

・SSOが無効の社員については、これまで通り認証メールアドレス/PWでのログインとなります。

ログインテストの実施

1. HRMOSへのログインテストを行います。
<https://ess.hrmos.co/login>にアクセスすると、HRMOSのログイン画面が表示されますので、SSO対象のユーザーのメールアドレスを入力します。
mceclip3.png

2. Googleのアカウント選択画面から、対象のメールアドレスを選択します。
この後、問題なくHRMOS Employee(社員画面)が表示されるとテスト完了となります。
mceclip4.png

SSO連携を行ってログインがうまくいかない場合は<こちら>の内容をご確認のうえ、お試しください。

管理者以外の権限グループにSSO設定をさせたい場合

SSO設定は、管理者以外の権限グループでも行えます。
※権限設定に関する詳しい操作方法は、記事<Admin(管理画面)の権限設定>をご参照ください。

例として、「情報システム部門」のグループに対して、SSOを設定する権限を付与します。

1. Admin(管理画面)にて「会社」タブを開きます。「Adminの設定」>「グループ」をクリックし、右上の ____1.PNG をクリックします。

2. 権限の編集画面が表示されますので、「SSOの操作」の閲覧・編集権限を付与します。

CSVインポートにて社員の認証方法をSSOに一括変更したい場合は、
・「社員情報のインポート」の編集
・「社員情報のエクスポート」の閲覧
の権限もあわせてご設定ください。

3. 「社員情報の権限」「部署情報の権限」において、下記のセクション・フィールドに対し、閲覧・編集権限をそれぞれ設定します。
・「アカウント > 基本情報」のセクションの編集権限
・「認証方法」のフィールドの編集権限
・「認証メールアドレス」のフィールドの閲覧権限

※「アカウント > 基本情報」のセクションに編集権限を付与すると、「利用状況」「Employeeの公開有無」も自動で編集可能に切り替わりますので、編集権限を付与する場合は十分ご留意ください。
ご利用の際は、該当権限グループの方へ「認証方法」以外のフィールドを編集されないよう事前にご周知ください。

5. 対象の社員へ、設定した「グループ」を紐づけます。
「Adminの設定」>「ユーザー」をクリックし、右上の ____1.PNG をクリックします。

6. 「社員」「グループ」「閲覧範囲」をそれぞれ選択して「保存」をクリックして完了です。
※「社員」に表示される社員は、利用状況が「利用中」の社員のみです。利用状況の確認・変更方法については、<こちら>をご参照ください。
5.png
閲覧範囲の設定については<こちら>をご参照ください。

SSO切り替えの項目(=「認証方法」フィールド)が表示されない場合に考えられる理由

SSO切り替えの項目が表示されない場合には、下記の理由が考えられます。

会社タブ >「SSOの設定」において、SSOが有効化されていない
権限グループに対し、SSOの操作設定に関する権限が付与されていない
「アカウント > 基本情報 > 認証方法」のフィールドの編集権限が付与されていない

会社タブ >「SSOの設定」において、SSOが有効化されていない

SSOをご利用いただくためには、SSOを有効化する必要があります。
SSOを有効化する手順は、本記事の目次より、設定手順に沿ってご設定ください。

権限グループに対し、SSOの操作設定に関する権限が付与されていない

SSOの設定を行うには、設定を行うAdmin権限グループに対し、SSOの操作権限を付与する必要があります。

1.「会社」タブ >「 Adminの設定」>「グループ」を開きます。
SSO設定を行わせたい権限グループにマウスオーバーし、________1.PNG をクリックします。
例として、「情報システム部門」のグループに権限を付与します。

2.「権限の編集」画面が開いたら、「SSOの操作」の閲覧・編集にチェックを入れて保存します。

 Adminの権限グループの作成手順は、<こちら>をご参照ください。

「アカウント > 基本情報 > 認証方法」のフィールドの編集権限が付与されていない

SSO設定を行うには、「会社」タブ >「Adminの設定」>「 社員情報の権限」 において、Admin権限グループに対して、下記2つを設定する必要があります。
・「アカウント > 基本情報」のセクションの編集権限
・「認証方法」のフィールドの編集権限

1.「会社タブ」>「 Adminの設定」>「社員情報の権限」を開きます。

2. カテゴリ「アカウント」> セクション「基本情報」の右側に表示されている ______.PNG をクリックします。

3. セクションの権限設定画面が開きます。「情報システム部門」のグループに対し、「セクション:編集可」を選択して「保存」をクリックします。

4. フィールド「認証方法」は必須入力項目のため、手順3で編集権限を付与すると「フィールドの権限」が自動で「閲覧+編集可」に設定されます。
※「利用状況」も自動で編集可能に切り替わりますので、編集権限を付与する場合は十分ご留意ください。
Admin権限グループの閲覧・編集権限の設定方法は<こちら>をご参照ください。

関連記事

ページトップ
 
Powered by Zendesk