シングルサインオン(SSO)の設定方法 – HRMOSタレントマネジメント

誰がこの機能を使用することができますか？
管理者／一部の権限グループ

概要

HRMOS COREでは一部サービスによるシングルサインオン（SSO）機能を提供しています。
この記事では、代表的な設定方法をご説明します。

動作確認済みのSSO連携サービス一覧

・Google Workspace(旧 G Suite)
・ Microsoft Entra ID (旧 Azure Account Directory / Azure AD）

SSOを設定する際、SSOの設定後に予期せぬエラーが発生した場合等に備えて、管理者権限を保有するアカウントのうち少なくとも1名は、「認証方法」をメールアドレスに設定することを推奨します。
「認証方法」の設定については、＜こちら＞をご確認ください。

連携サービス側の設定方法

連携サービス側にて、下記4点の情報を設定します。

・ACSのURL：https://ess.hrmos.co/[HRMOS COREの貴社専用companyID]/sso
・エンティティID：https://ess.hrmos.co/[HRMOS COREの貴社専用companyID]/sso
・Name ID：メールアドレスを指定
・Name IDの書式：Email形式を指定

companyIDは、HRMOS COREを開くと表示されるURLの hrmos.co/ の後ろの19桁の数字を指します。

HRMOS CORE側の設定方法

1. Admin（管理画面）にて「会社」タブ＞「SSOの設定」を開きます。基本情報の右上の「エンピツ」アイコンをクリックします。

2. 編集画面にて、「SSOの有効化：有効」「タイプ：フェデレーション」を選択します。
「CORE用URL」には、SSO対象サービス側のXML情報を入力します。
右下の「保存」をクリックするとCORE側の設定は完了です。

HRMOS COREにてアカウント単位でSSOを有効化

上記連携が完了しましたら、HRMOS CORE側にて各社員ごとにSSOを有効化します。

1. Admin（管理画面）にて「社員リスト」または「社員検索」タブを開きます。
SSOを有効化したい社員の顔写真をクリックし、社員詳細画面に移動します。

＜「社員リスト」タブの場合＞

＜「社員検索」タブの場合＞

2. カテゴリ「アカウント」＞セクション「基本情報」の右側の「エンピツ」アイコンをクリックします。

3. 「認証方法」を「SSO」に変更します。
右下の「保存」をクリックすると、設定した連携サービスにてSSOが有効化されます。

※1. アカウント単位でSSOを有効化する操作は、CSV一括インポートでの変更も可能です。
「社員の操作」＞「社員の一括編集（ファイル）」にて、カテゴリ：「アカウント」、セクション：「基本情報」をご指定の上、認証方法を変更されたい社員の情報を一括アップロードしてください。

※2. SSOが無効の社員については、これまで通り認証メールアドレス/PWでのログインとなります。

ログイン方法をSSOに設定している場合でも、「社員の招待」より、社員の初回ログイン案内のメールの送付は必須となります。
「社員の招待」の操作方法については＜こちら＞をご確認ください。
初回ログイン完了後は、SSOにてログインできるようになります。
SSOでのログイン方法については＜こちら＞をご確認ください。

SSO連携を行ってログインがうまくいかない場合は＜こちら＞の内容をご確認のうえ、再度お試しください。

管理者以外の権限グループにSSO設定をさせたい場合

SSO設定は、管理者以外の権限グループでも行えます。
※権限設定に関する詳しい操作方法は＜こちら＞をご参照ください。

例として、「情報システム部門」のグループに対して、SSOを設定する権限を付与します。

1. Admin（管理画面）にて「会社」タブを開きます。「Adminの設定」＞「グループ」をクリックし、右上のをクリックします。

2. 権限の編集画面が表示されますので、「SSOの操作」の閲覧・編集権限を付与します。

CSVインポートにて社員の認証方法をSSOに一括変更したい場合は、
・「社員情報のインポート」の編集
・「社員情報のエクスポート」の閲覧
の権限もあわせて設定してください。

3. 「社員情報の権限」「部署情報の権限」において、下記のセクション・フィールドに対し、閲覧・編集権限をそれぞれ設定します。
・「アカウント＞基本情報」のセクションの編集権限
・「認証方法」のフィールドの編集権限
・「認証メールアドレス」のフィールドの閲覧権限

※「アカウント＞基本情報」のセクションに編集権限を付与すると、「利用状況」「Employeeの公開有無」も自動で編集可能に切り替わりますので、編集権限を付与する場合は十分ご留意ください。
ご利用の際は、該当権限グループの方へ「認証方法」以外のフィールドを編集されないよう事前にご周知ください。

5. 対象の社員へ、設定した「グループ」を紐づけます。
「Adminの設定」＞「ユーザー」をクリックし、右上のをクリックします。

6. 「社員」「グループ」「閲覧範囲」をそれぞれ選択して「保存」をクリックして完了です。
※「社員」に表示される社員は、利用状況が「利用中」の社員のみです。利用状況の確認・変更方法については、＜こちら＞をご参照ください。

閲覧範囲の設定については＜こちら＞をご参照ください。

SSO切り替えの項目（＝「認証方法」フィールド）が表示されない場合に考えられる理由

SSO切り替えの項目が表示されない場合には、下記の理由が考えられます。

・会社タブ＞「SSOの設定」において、SSOが有効化されていない
・権限グループに対し、SSOの操作設定に関する権限が付与されていない
・「アカウント＞基本情報＞認証方法」のフィールドの編集権限が付与されていない

会社タブ＞「SSOの設定」において、SSOが有効化されていない

SSOをご利用いただくためには、SSOを有効化する必要があります。
SSOを有効化する手順は、本記事の目次より、設定手順に沿ってご設定ください。

権限グループに対し、SSOの操作設定に関する権限が付与されていない

SSOの設定を行うには、設定を行うAdmin権限グループに対し、SSOの操作権限を付与する必要があります。

1.「会社」タブ＞「 Adminの設定」＞「グループ」を開きます。
SSO設定を行わせたい権限グループにマウスオーバーし、をクリックします。
例として、「情報システム部門」のグループに権限を付与します。

2.「権限の編集」画面が開いたら、「SSOの操作」の閲覧・編集にチェックを入れて保存します。

Adminの権限グループの作成手順は＜こちら＞をご参照ください。

「アカウント＞基本情報＞認証方法」のフィールドの編集権限が付与されていない

SSO設定を行うには、「会社」タブ＞「Adminの設定」＞「社員情報の権限」において、Admin権限グループに対して、下記2つを設定する必要があります。
・「アカウント＞基本情報」のセクションの編集権限
・「認証方法」のフィールドの編集権限

1.「会社タブ」＞「 Adminの設定」＞「社員情報の権限」を開きます。

2. カテゴリ「アカウント」＞セクション「基本情報」の右側に表示されているをクリックします。

3. セクションの権限設定画面が開きます。「情報システム部門」のグループに対し、「セクション：編集可」を選択して「保存」をクリックします。

4. フィールド「認証方法」は必須入力項目のため、手順3で編集権限を付与すると「フィールドの権限」が自動で「閲覧＋編集可」に設定されます。
※「利用状況」も自動で編集可能に切り替わりますので、編集権限を付与する場合は十分ご留意ください。
Admin権限グループの閲覧・編集権限の設定方法は＜こちら＞をご参照ください。

・シングルサインオン(SSO)の設定 - Google Workspace(旧 G Suite)

・シングルサインオン(SSO)の設定 - Entra ID (旧 Azure AD)