シングルサインオン設定を行う前に
画面の見方
SAML
① IdP名称
カオナビ側のシングルサインオン設定の名称を入力します。(入力必須)
② タイプ
利用するシングルサインオンの方式でSAMLまたはOAuthを指定します。[SAML]
③ メール内のURLをSSO対応にする
ユーザー管理からのメールの置換タグ『ログインURL』をSSO用のURLに変えるかどうかを指定します。
④ Entity
IdPから提供された識別子を入力します。(入力必須)
⑤ SSO URL
IdPから提供されたシングルサインオンURLを入力します。(入力必須)
⑥ DirectLoginURL
HENNGE ONE利用時にHENNGE ONEから提供されるダイレクトログインURLを入力します。(HENNGE ONEのみ必須)
⑦ メールアドレス送付パラメータ
IdPから送信されるメールアドレス情報を特定する必要がある場合にキー文字列を入力します。
⑧ x509cert
IdPから提供されたSAML証明書のBase64形式の文字列を入力します。(入力必須)
※今後IdP側で証明書の更新を行った際は、x509certを更新してください。
⑨ RequestedAuthnContextの送付設定
リクエストの認証方式を指定する要素を送付するかどうかを指定します。
GoogleWorkspace(OAuth)
① IdP名称
カオナビ側のシングルサインオン設定の名称を入力します。(入力必須)
② タイプ
利用するシングルサインオンの方式でSAMLまたはOAuthを指定します。[OAuth]
③ メール内のURLをSSO対応にする
ユーザー管理からのメールの置換タグ『ログインURL』をSSO用のURLに変えるかどうかを指定します。
④ クライアントID
IdPから提供されたクライアントIDを入力します。
⑤ クライアントシークレット
IdPから提供されたクライアントシークレットを入力します。
シングルサインオン設定を追加する
実績のあるアイデンティティプロバイダ
カオナビではSAMLとOAuth(G Suiteのみ)によるシングルサインオンが利用可能です。
設定を追加したいアイデンティティプロバイダ名をクリックしてください。
※一部マニュアルがないものもあります
※カオナビのスマホアプリでは、IdP側の一部認証(生体認証、クライアント証明書認証など)を用いてのシングルサインオンが行えません。
- Microsoft Entra ID(旧:Azure AD)
- CloudGate UNO
- Extic
- GoogleWorkspace(OAuth)
- GoogleWorkspace(SAML)
- HENNGE One
- infoScoop × Digital Workforce
- KDDI Business ID
- LOCKED
- Okta Identity Cloud
- OneLogin
- OPTimID+
- SeciossLink
- トラスト・ログイン
シングルサインオン専用のURLを通知するには?
設定の際『メール内のURLをSSO対応にする』にチェックを入れると、次の機能から通知可能なURLが、シングルサインオンに対応したものに置換されるようになります。
-
スマートレビューにてメールを送信する際に利用する【評価イベントURL】やステータス更新(次のアクション者へ)によって自動送信される評価イベントURLなど
-
ユーザー管理画面からユーザーにメール送信する際の、【ログインURL】
-
ユーザー環境画面からユーザーにメール送信する際の、【ログインURL】
-
拡張アクセス設定からユーザーにメール送信する際の、【ログインURL】
-
スマートフォンアプリ管理からユーザーにメール送信する際の【ログインURL】
-
2要素認証管理からユーザーにメール送信する際の【ログインURL】
ユーザーへの通知の送付方法はこちらをご覧ください。
ログインをシングルサインオンに限定したい場合
カオナビへのログインをシングルサインオンに限定したい場合でも、通常のカオナビログイン画面 https://service.kaonavi.jp をアクセス不可にすることはできません。
代わりに、カオナビログイン画面にある「パスワードを忘れた方はこちら」で、パスワードを変更できないように設定できます。
※上記は「カオパス」アプリでも同様です。
シングルサインオン設定を削除する
設定を削除するときは、右上の『削除』をクリックします。
確認メッセージが表示されるので、確認し『削除』をクリックします。
SSOでログインができない方がいる場合
以下のご確認をお願いします。・IdP側のカオナビのログインに紐づけるアドレスやIDと、カオナビの「管理者機能>ユーザー管理」に登録されているユーザーIDが一致しているか
・エラーが発生するユーザーにてブラウザのキャッシュ、cookieクリアの実施後もログインができないか
スマートフォンアプリ専用設定
スマートフォンアプリからのシングルサインオンログイン時、クライアント証明書を利用するかどうかを設定することが出来ます。
クライアント証明書を利用する場合、「利用する」にチェックを入れてください。
設定の流れ
①シングルサイン管理画面でSAML認証でのシングルサインの設定を行う
②スマートフォンアプリ専用設定でクライアント証明書利用設定を「利用する」にする
③(お客様での作業)IdPのクライアント証明書を端末にインストール
④アプリでSSOログインをする
各設定後の動作
「利用する」に設定
アプリのログイン画面でシングルサインオンログインを行うと、外部ブラウザ(chrome, safariなど)を起動・遷移し、シングルサインオンログイン処理をこの外部ブラウザで行います。
外部ブラウザでシングルサインオンログイン処理完了後、ログインが成功するとアプリに自動で戻りTOP画面に遷移します。
「利用しない」に設定
アプリでシングルサインオンログイン時、アプリ内でWebviewを立ち上げログイン処理を行います。
注意事項
- 本設定はスマホアプリのシングルサインオンログイン専用です(PC版やスマホブラウザ版には一切影響しません)
- スマートフォンアプリ管理画面にて、スマホアプリ全体利用をONにしている場合のみ設定が有効になります
- 本設定を利用するにはシングルサインオン管理でシングルサインオンの設定が完了している、かつタイプがSAMLである場合が対象になります
- OAuthは動作保証対象外となります
- OAuthが設定されている場合、「スマートフォンアプリ専用設定」は表示されません
- 動作保証しているIdPはOneLoginのみとなります
クライアント証明書を用いたシングルサインオンログインを行うには、スマホアプリのバージョンが2.12.15以上である必要があります。アプリを最新版にアップデートしてください。