MAJOR FLOW Z CLOUD
【参考】
2021年12月17日時点での情報で掲載しています。
「MAJOR FLOW Z CLOUD」との認証連携を設定します。
【注意】
- MAJOR FLOW Z CLOUDがSAMLで認証するキーは「メールアドレス」もしくは「ログインID」です。
- IIJ IDサービス内のユーザ属性にMAJOR FLOW Z CLOUDの「メールアドレス」もしくは「ログインID」と同一の値を保持しておく必要があります。
- MAJOR FLOW Z CLOUDのSAML認証可能なURLは「MFZC(申請・承認)」、「MFZT(就業管理)」、及び「MFZK(経費管理機能画面 )」です。
- 複数のURLとSSO連携する場合は、それぞれのURLに対して本手順を実施ください。本手順は「MFZC(申請・承認)」を設定した場合の例となります。
1. IIJ IDサービスにSAMLアプリケーションを登録する
1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。
2. 「アプリケーションを追加する」をクリックし、「カスタムアプリケーションを追加する」をクリックします。
3. 「SAMLアプリケーション」を選択し、「次に進む」をクリックします。
4. アプリケーション情報を入力し、「アプリケーションを追加する」をクリックします。
| 項目 | 内容 | 備考 |
|---|---|---|
| アプリケーション名 | 例)MAJOR FLOW Z CLOUD(申請・承認) | 必須 |
| アプリケーションの説明 | 例)バックオフィス業務を効率化するクラウドサービス | 任意 |
| アプリケーションロゴ | (ファイルアップロード) | 任意 |
| IDプロバイダの選択 | 「アプリケーション専用のエンティティIDを利用」を選択 | 必須 |
2. IIJ IDサービスのIDプロバイダ情報を確認する
1. 作成されたアプリケーションの「編集する」をクリックします。
2. 「IDプロバイダ情報」をクリックします。
3. 表示された「SSOエンドポイントURL (Redirectバインディング)」、及び「PEM」の値を控えます。
4. 「PEM」の値をファイルに書き出した後、先頭行、最終行、及びすべての改行を削除して保存します。
【参考】
「PEM」の値から「-----BEGIN CERTIFICATE-----」、「-----END CERTIFICATE-----」、及びすべての改行を削除し、一行の文字列としてファイルに保存します。
【注意】
「MFZT(就業管理)」の設定を行なう場合は、更に「PEM」の値の先頭文字に「1」、末尾文字に「2」を加えてファイルに保存します。
例)
| 1ABC123DE456~~~~~~~~ABC789def2 |
【参考】
- 「MFZT(就業管理)」、及び「MFZK(経費管理機能画面 )」を連携をさせたい場合は、それぞれに対して同じ作業を繰り返します。
- IIJ IDサービスでは、「MFZC(申請・承認)」、「MFZT(就業管理)」、及び「MFZK(経費管理機能画面 )」それぞれに専用のSAMLアプリケーションを作成します。
その際、「PEM」の値を保存する各ファイルの中身はすべて異なります。手順4-3でMAJOR FLOW Z CLOUD側の取り込み作業時に、ファイルをアップロードする際は注意してください。
3. MAJOR FLOW Z CLOUDのSAML設定を実施する
1. MAJOR FLOW Z CLOUDの管理者画面にログインします。
2. 「システム管理」の「システム設定」をクリックします。
3. 「システムパラメタ」をクリックします。
4. 「システムカテゴリ」の「SAML認証設定」を選択します。
5. 「SAML認証設定」の「CertificationSetting」の項目にある「編集」をクリックします。
6. 以下のとおり設定し、「登録」をクリックします。
| 項目 | 内容 |
|---|---|
| SAML認証利用可否 | 1 |
| IdP設定 | 2 |
7. 「確定」をクリックします。
8. 「SAML認証設定」の「GsuiteSetting」の項目にある「編集」をクリックします。
9. 以下のとおり設定し、「登録」をクリックします。
| 項目 | 内容 | 備考 |
|---|---|---|
| SSO URL | 手順2-3で確認した「SSOエンドポイントURL(Redirectバインディング)」の値の後ろに「?1=1」を加えたもの 例) https://www.auth.iij.jp/idp/SSORedirect/metaAlias/asiida-000000000000A/-/XXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX?1=1 | |
| エンティティID | 例)MFZCEntity | 手順5-4でIIJ IDサービスにも同じ値を設定します |
| 認証設定 | 例)1 | SAMLで認証するキーを「メールアドレス」にする場合は「1」、「ログインID」にする場合は「2」を設定します |
| 応答URL | SamlAcs/Acs | |
| 認証用メールアドレス設定 | 例)1 | 認証設定で「1(メールアドレスをSAMLで認証するキー)」にした場合に、1~3のどのメールアドレスで認証するか設定します |
【参考】
SAMLで認証するキーを「メールアドレス」にした場合は、MAJOR FLOW Z CLOUDのユーザにメールアドレスを設定する必要があります。
ユーザ管理画面にてメールアドレスを登録し、アドレス欄の右側のチェックボックスにチェックを入れます。
以下の例では、認証用メールアドレス設定にて「1」を選択した際に、該当することになる「e-mail1」にメールアドレスを設定しています。
10. 「確定」をクリックします。
11. 「SAML認証設定」の「CertificationSetting」の項目にある「編集」をクリックします。
12. 以下のとおり設定し、「登録」をクリックします。
| 項目 | 内容 |
|---|---|
| 証明書ヘッダー | (空欄) |
| 証明書フッダー | (空欄) |
12. 「確定」をクリックします。
4. MAJOR FLOW Z CLOUDにIDプロバイダの証明書を登録する
1. 管理画面から「システム管理」の「証明書設定」をクリックします。
2. 「証明書登録」をクリックします。
3. 以下のとおり設定し、「取込開始」をクリックします。
【参考】
- 「MFZT(就業管理)」で設定を行なう場合は、対象アプリに「MFZT_SAML」を選択してください。
- 「MFZK(経費管理機能画面 )」で設定を行なう場合は、対象アプリに「MFZK_SAML」を選択してください。
| 項目 | 内容 |
|---|---|
| 対象アプリ | 「MFZC_SAML」を選択 |
| ファイル名 | 手順2-4で取得した証明書ファイルをアップロード |
4. 「内容反映」をクリックします。
5. 「戻る」をクリックします。
5. IIJ IDサービスのSAMLアプリケーションを設定する
1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。
2. アプリケーションの「編集する」をクリックします。
3. 「フェデレーション設定」をクリックします。
4. 以下のとおり設定し、「変更を適用する」をクリックします。
| 項目 | 内容 | 備考 | ||
|---|---|---|---|---|
| SAML基本情報 | SAML情報を入力する | 「SAML情報を入力する」をチェック | ||
| シングルサインオンURL |
| [サーバ名]、及び[テナント ID]はお客様環境内で確認してください | ||
| エンティティ ID | 例) MFZCEntity | 手順3-8でMAJOR FLOW Z CLOUDに設定したエンティティIDと同じ値を設定します | ||
| NameIDフォーマット | urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress | |||
| 検証後の遷移先(RelayState) | (空欄) | |||
| アプリケーションのトップページURL | (空欄) | |||
| アサーションの署名アルゴリズム | 例) RSA-SHA256 | |||
| ユーザ識別子(NameID)の指定 | 関連付けるユーザ属性 | 例) |
| |
【参考】
「アサーションの署名アルゴリズム」は連携先サービス側で指定などがない場合、デフォルト値の「RSA-SHA256」を選択してください。
「RSA-SHA256」を指定して動作しない場合及び連携先サービス側で明示的にそれ以外のものが指定されている場合は、「RSA-SHA512」、または「RSA-SHA1」に変更し、連携を確認してください。
【参考】
- 「ユーザ識別子(NameID)」の指定は、ユーザ単位ではなくSAMLアプリケーション単位でのみ設定できます。
- 「ユーザ識別子(NameID)」の指定した属性にユーザが値を保持していない場合は SAML連携は失敗します。
- 「ユーザ識別子(NameID)」にID以外の複数の値を持つ属性で指定する方法は以下のとおりです。
例として、IIJ IDサービスの各ユーザの属性「Entitlements」に以下のように値が設定されています。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro@iij.ad.jp」の場合は、「プライマリの値を使用する」をチェックします。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro」の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_ID」を指定します。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro@iij.ad.jp」の場合は、「プライマリの値を使用する」をチェックします。
【注意】
- 「ユーザ識別子(NameID)」としてID以外の属性を指定していると、IIJ IDサービスに対する更新処理でその属性の値が更新される場合があります。ただし、その更新は連携先サービスまで伝搬されないため、IIJ IDサービス側の属性の値が更新されると、連携していたアカウントに接続できなくなります。「ユーザ識別子(NameID)」としている属性の値が更新される場合は、連携先サービス側で紐づく属性(多くの場合、ユーザID)を忘れずに更新してください。
- 以下の画像のように複数のタイプに「SaaS_ID」が設定されている場合、「ユーザ識別子(NameID)」に「SaaS_ID」を指定すると、サービスマニュアルに記載されているルールに基づいていずれかの単数値だけが採用されます。連携対象のサービスに管理者の意図しないアカウントがSAML連携される危険性があります。対象となる各ユーザにおいて、「ユーザ識別子(NameID)」として指定するタイプが複数個存在しないように注意してください。
5. 「利用者設定」をクリックします。
6. 「利用者を追加する」をクリックし、アプリケーションにシングルサインオンさせたいグループ及びユーザを指定します。
【参考】
利用者に登録していないユーザにもこのアプリケーションを利用させたい場合は、「アプリケーションへのログイン」の「編集」をクリックしします。
「利用者でないユーザも、アプリケーションへのログインを許可する」を選択し、「変更を適用する」をクリックします。
