メインコンテンツへスキップ

シングルサインオン(SSO)の設定 - Entra ID (旧 Azure AD)

  • 更新
誰がこの機能を使用することができますか?
管理者/一部の権限グループ

概要

この記事では、 Microsoft Entra ID (旧 Azure Account Directory / Azure AD)のシングルサインオン(SSO)設定手順をご説明します。

・SAMLの設定画面において、「識別子(エンティティID)」や「応答URL(ACS URL)」は下記手順に記載の通りに設定してください。
任意のURLを設定した場合、SSOでのアクセスができなくなってしまう可能性があります。
・SSOの設定後に予期せぬエラーが発生した場合等に備えて、管理者権限を保有するアカウントのうち少なくとも1名は、「認証方法」をメールアドレスに設定することを推奨します。
「認証方法」の設定については、<こちら>をご確認ください。

目次

Entra IDの設定
HRMOSの設定
ユーザーの設定
ログインテストの実施

管理者以外の権限グループにSSO設定をさせたい場合
SSO切り替えの項目(=「認証方法」フィールド)が表示されない場合に考えられる理由

Entra IDの設定

以下の手順にて、Entra ID側の設定を行います。

1. 「Azure Active Directory」>「エンタープライズアプリケーション」 をクリックします。
1.png

2. 画面上部の「新しいアプリケーション」をクリックします。
2.png

3. 画面上部の「独自のアプリケーションの追加」をクリックすると、画面右側に作成画面が表示されます。
以下を選択して「作成」をクリックします。
・お使いのアプリの名前は何ですか?:任意のアプリ名称を入力
・アプリケーションではどのような操作を行いたいですか?:「ギャラリーに見つからないその他のアプリケーションを統合します」を選択

例では、お使いのアプリの名前は何ですか?に「HRMOS SSO」 と入力します。
mceclip0.png

4. 「概要」にて「シングルサインオンの設定」をクリックします。
4.PNG

5. 「シングル サインオン方式の選択」にて「SAML」をクリックします。
5.PNG

6. SAMLの設定画面が表示されます。「①基本的なSAML構成」 の 「編集」をクリックします。
「識別子」と「応答 URL」に下記情報を入力して、「保存」をクリックします。

・識別子(エンティティID)
 https://ess.hrmos.co/[HRMOS COREの貴社companyID]/sso
・応答URL(Assertion Consumer Service URL)
 https://ess.hrmos.co/[HRMOS COREの貴社companyID]/sso
mceclip0.png

companyIDは、HRMOS COREを開くと表示されるURLの hrmos.co/ の後ろの19桁の数字を指します。

7. 「②ユーザ属性とクレーム」の「編集」をクリックします。
7.PNG

8. ユーザー属性とクレームの設定画面が表示されます。
クレーム名(赤枠)をクリックし、編集画面にて「ソース属性:user.mail」を選択して「保存」をクリックします。
8.PNG

9. 「③SAML署名証明書」に表示されている「アプリのフェデレーション メタデータURL」の値をコピーしてください。
コピーした値は、メモなどに保存しておいてください。
9.PNG

HRMOSの設定

以下の手順にて、HRMOS側の設定を行います。

1. HRMOS COREにログインし、Admin(管理画面)を開きます。
「会社」タブ >「SSOの設定」をクリックし、画面右上の「エンピツ」アイコンをクリックします。

2. 基本情報の編集画面にて、下記情報を入力して「保存」をクリックします。
・SSOの有効化:有効
・タイプ:フェデレーション
CORE用URL:<Entra IDの設定>の手順9でコピーしたURL
SSO.png

ユーザーの設定

上記を設定後、Entra IDの操作 → HRMOS COREの操作 の流れで、各社員ごとにSSOを有効化します。

<Entra IDの操作>

1. 「Entra IDの設定」にて追加したアプリを開き、「ユーザとグループ」または「1.ユーザーとグループの割り当て」のいずれかをクリックします。
10.PNG

2. 「ユーザーまたはグループを追加」をクリックし、SSOを設定したいユーザー或いはグループを設定します。
以上で、Entra IDの設定は全て完了です。(反映に少々時間がかかることがあります)
※ご利用中のActive Directoryのプランによっては、グループの追加が許可されていないケースもございます。
11.PNG

<HRMOS COREの操作>

1. HRMOS Admin(管理画面)にて「社員リスト」または「社員検索」タブを開きます。SSOを有効化したい社員の顔写真をクリックし、社員詳細画面に移動します。
<「社員検索」タブの場合><「社員リスト」タブの場合>

2. カテゴリ「アカウント」> セクション「基本情報」の右上の「エンピツ」アイコンをクリックします。

3. 「認証方法:SSO」を指定して「保存」をクリックすると、設定完了です。設定した連携サービスにてSSOが有効化されます。

・認証方法の切り替えは、対象社員の利用状況が "招待前/利用制限/利用中/利用停止" のいずれかの状態で行ってください。
 "招待済み" の段階で切り替えを行う場合は、認証方式切り替え後に招待メールの再送が必要となります。

・アカウント単位でSSOを有効化する操作は、CSV一括インポートでの変更も可能です。
「社員の操作」>「社員の一括編集(ファイル)」にて、カテゴリ:「アカウント」、セクション:「基本情報」をご指定の上、認証方法を変更されたい社員の情報を一括アップロードしてください。

・SSOが無効の社員については、これまで通り認証メールアドレス/PWでのログインとなります

ログインテストの実施

1. HRMOSへのログインテストを行います。
<https://ess.hrmos.co/login>にアクセスすると、HRMOSのログイン画面が表示されますので、SSO対象のユーザーのメールアドレスを入力します。
mceclip1.png

2. Microsoftのアカウント選択画面から、対象のメールアドレスを選択します。
この後、問題なくHRMOS Employee(社員画面)が表示されるとテスト完了となります。
12.PNG

SSO連携を行ってログインがうまくいかない場合は<こちら>の内容をご確認のうえ、お試しください。

管理者以外の権限グループにSSO設定をさせたい場合

SSO設定は、管理者以外の権限グループでも行えます。
※権限設定に関する詳しい操作方法は、記事<Admin(管理画面)の権限設定>をご参照ください。

例として、「情報システム部門」のグループに対して、SSOを設定する権限を付与します。

1. Admin(管理画面)にて「会社」タブを開きます。「Adminの設定」>「グループ」をクリックし、右上の ____1.PNG をクリックします。

2. 権限の編集画面が表示されますので、「SSOの操作」の閲覧・編集権限を付与します。

CSVインポートにて社員の認証方法をSSOに一括変更したい場合は、
・「社員情報のインポート」の編集
・「社員情報のエクスポート」の閲覧
の権限もあわせてご設定ください。

3. 「社員情報の権限」「部署情報の権限」において、下記のセクション・フィールドに対し、閲覧・編集権限をそれぞれ設定します。
・「アカウント > 基本情報」のセクションの編集権限
・「認証方法」のフィールドの編集権限
・「認証メールアドレス」のフィールドの閲覧権限


※「アカウント > 基本情報」のセクションに編集権限を付与すると、「利用状況」「Employeeの公開有無」も自動で編集可能に切り替わりますので、編集権限を付与する場合は十分ご留意ください。
ご利用の際は、該当権限グループの方へ「認証方法」以外のフィールドを編集されないよう事前にご周知ください。

5. 対象の社員へ、設定した「グループ」を紐づけます。
「Adminの設定」>「ユーザー」をクリックし、右上の ____1.PNG をクリックします。

6. 「社員」「グループ」「閲覧範囲」をそれぞれ選択して「保存」をクリックして完了です。
※「社員」に表示される社員は、利用状況が「利用中」の社員のみです。利用状況の確認・変更方法については、<こちら>をご参照ください。
5.png
閲覧範囲の設定については<こちら>をご参照ください。

SSO切り替えの項目(=「認証方法」フィールド)が表示されない場合に考えられる理由

SSO切り替えの項目が表示されない場合には、下記の理由が考えられます。

会社タブ >「SSOの設定」において、SSOが有効化されていない
権限グループに対し、SSOの操作設定に関する権限が付与されていない
「アカウント > 基本情報 > 認証方法」のフィールドの編集権限が付与されていない

会社タブ >「SSOの設定」において、SSOが有効化されていない

SSOをご利用いただくためには、SSOを有効化する必要があります。
SSOを有効化する手順は、本記事の目次より、設定手順に沿ってご設定ください。

権限グループに対し、SSOの操作設定に関する権限が付与されていない

SSOの設定を行うには、設定を行うAdmin権限グループに対し、SSOの操作権限を付与する必要があります。

1.「会社」タブ >「 Adminの設定」>「グループ」を開きます。
SSO設定を行わせたい権限グループにマウスオーバーし、________1.PNG をクリックします。
例として、「情報システム部門」のグループに権限を付与します。

2.「権限の編集」画面が開いたら、「SSOの操作」の閲覧・編集にチェックを入れて保存します。

 Adminの権限グループの作成手順は、<こちら>をご参照ください。

「アカウント > 基本情報 > 認証方法」のフィールドの編集権限が付与されていない

SSO設定を行うには、「会社」タブ >「Adminの設定」>「 社員情報の権限」 において、Admin権限グループに対して、下記2つを設定する必要があります。
・「アカウント > 基本情報」のセクションの編集権限
・「認証方法」のフィールドの編集権限

1.「会社タブ」>「 Adminの設定」>「社員情報の権限」を開きます。

2. カテゴリ「アカウント」> セクション「基本情報」の右側に表示されている ______.PNG をクリックします。

3. セクションの権限設定画面が開きます。「情報システム部門」のグループに対し、「セクション:編集可」を選択して「保存」をクリックします。

4. フィールド「認証方法」は必須入力項目のため、手順3で編集権限を付与すると「フィールドの権限」が自動で「閲覧+編集可」に設定されます。
※「利用状況」も自動で編集可能に切り替わりますので、編集権限を付与する場合は十分ご留意ください。
Admin権限グループの閲覧・編集権限の設定方法は<こちら>をご参照ください。

関連記事

ページトップ
 
Powered by Zendesk