公開
マニュアル一覧へ

ご契約者向け
マニュアル一覧へ

IIJ IDサービス 外部サービス連携設定例マニュアル

paperlogic

【参考】

2023年1月31日時点での情報で掲載しています。

「paperlogic」との認証連携を設定します。

【注意】

  • paperlogicがSAMLで認証するキーは「メールアドレス」です。
  • IIJ IDサービス内の各ユーザ共通のユーザ属性にpaperlogicの「メールアドレス」と同一の値を保持しておく必要があります。
  • IIJ IDサービスのマイアプリケーション画面から再認証なしでログインさせるIDプロバイダInitiated SSOには対応していません。
  • 現時点では、paperlogicの認証をIIJ IDサービスのみに限定することはできません。そのため、SAML認証設定後もpaperlogic自身のID及びパスワードで引き続きログインできます。
    必要に応じて、以下の対策が講じることができるかpaperlogicを提供するベンダーにご相談ください。
    • paperlogic側のパスワードをエンドユーザに教えない
    • paperlogic側のパスワードをエンドユーザに設定させない

1. IIJ IDサービスにSAMLアプリケーションを登録する

1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。

2. 「アプリケーションを追加する」をクリックし、「カスタムアプリケーションを追加する」をクリックします。

3. 「SAMLアプリケーション」を選択し、「次に進む」をクリックします。

4. アプリケーション情報を入力し、「アプリケーションを追加する」をクリックします。

項目 内容 備考
アプリケーション名 例)paperlogic 必須
アプリケーションの説明 例)請求書、納品書など契約以外もすべて電子化 任意
アプリケーションロゴ (ファイルアップロード) 任意
IDプロバイダの選択 「アプリケーション専用のエンティティIDを利用」を選択 必須
2. IIJ IDサービスのIDプロバイダ情報を取得する

1. 作成されたアプリケーションの「編集する」をクリックします。

2. 「IDプロバイダ情報」をクリックします。

3. 表示された「SSOエンドポイントURL (Redirectバインディング)」、「エンティティID」、及び「PEM」の値を控えます。

【参考】

  • 「PEM」は、必ず「-----BEGIN CERTIFICATE-----」からはじまり「-----END CERTIFICATE-----」で終わる形式です。
  • 「PEM」に書かれている値を改行などせずにそのままファイルに書き出して控えてください。
  • 「PEM」情報は連携先サービスの該当設定画面に貼り付ける必要があります。

3. paperlogicのSAML設定を実施する

1. paperlogicに管理者としてログインします。

2. 上部ツールバーのアイコンをクリックし、「マイページ」をクリックします。

3. 設定メニュー一覧の「SSO設定」をクリックします。

4.「SSOを使用する」を有効にし、「サービス エンドポイントURLで指定」を選択します。

5. 以下のとおり設定し、「確定」をクリックします。

項目 内容 備考
エンティティID

手順2-3で確認した「エンティティID」の値
エンドポイントURL

手順2-3で確認した「SSOエンドポイントURL(Redirectバインディング)」の値
公開鍵 手順2-3で確認した「PEM」の値
ログアウト遷移URL 例)https://new.paperlogic.jp/dashboard
識別子(ドメイン) 例)example.com 現在ご利用中のドメインを入力します
4. IIJ IDサービスのSAMLアプリケーションを設定する

1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。

2. アプリケーションの「編集する」をクリックします。

3. 「フェデレーション設定」をクリックします。

4. 以下のとおり設定し、「変更を適用する」をクリックします。

項目 内容 備考
SAML基本情報





 SAML情報を入力する 「SAML情報を入力する」をチェック
シングルサインオンURL

https://pl-auth-production.auth.ap-northeast-1.amazoncognito.com/saml2/idpresponse


エンティティ ID

urn:amazon:cognito:sp:ap-northeast-1_XuhtHdLhK
NameIDフォーマット

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
検証後の遷移先(RelayState) (空欄)
アプリケーションのトップページURL

https://new.paperlogic.jp/dashboard
アサーションの署名アルゴリズム 例)
RSA-SHA256
ユーザ識別子(NameID)の指定 関連付けるユーザ属性 例)
ID

paperlogicの「ユーザID」の値が格納されている属性を指定します
属性値関連付け(ユーザ属性) http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 例)
ID		 paperlogicの「ユーザID」の値が格納されている属性を指定します

【参考】

「アサーションの署名アルゴリズム」は連携先サービス側で指定などがない場合、デフォルト値の「RSA-SHA256」を選択してください。

「RSA-SHA256」を指定して動作しない場合及び連携先サービス側で明示的にそれ以外のものが指定されている場合は、「RSA-SHA512」、または「RSA-SHA1」に変更し、連携を確認してください。

【参考】

  • 「ユーザ識別子(NameID)」の指定は、ユーザ単位ではなくSAMLアプリケーション単位でのみ設定できます。
  • 「ユーザ識別子(NameID)」の指定した属性にユーザが値を保持していない場合は SAML連携は失敗します。
  • 「ユーザ識別子(NameID)」にID以外の複数の値を持つ属性で指定する方法は以下のとおりです。
    例として、IIJ IDサービスの各ユーザの属性「Entitlements」に以下のように値が設定されています。

    • 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro@iij.ad.jp」の場合は、「プライマリの値を使用する」をチェックします。
    • 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro」の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_ID」を指定します。

【注意】

  • 「ユーザ識別子(NameID)」としてID以外の属性を指定していると、IIJ IDサービスに対する更新処理でその属性の値が更新される場合があります。ただし、その更新は連携先サービスまで伝搬されないため、IIJ IDサービス側の属性の値が更新されると、連携していたアカウントに接続できなくなります。「ユーザ識別子(NameID)」としている属性の値が更新される場合は、連携先サービス側で紐づく属性(多くの場合、ユーザID)を忘れずに更新してください。
  • 以下の画像のように複数のタイプに「SaaS_ID」が設定されている場合、「ユーザ識別子(NameID)」に「SaaS_ID」を指定すると、サービスマニュアルに記載されているルールに基づいていずれかの単数値だけが採用されます。連携対象のサービスに管理者の意図しないアカウントがSAML連携される危険性があります。対象となる各ユーザにおいて、「ユーザ識別子(NameID)」として指定するタイプが複数個存在しないように注意してください。

5. 「利用者設定」をクリックします。

6. 「利用者を追加する」をクリックし、アプリケーションにシングルサインオンさせたいグループ及びユーザを指定します。

【参考】

利用者に登録していないユーザにもこのアプリケーションを利用させたい場合は、「アプリケーションへのログイン」の「編集」をクリックします。

「利用者でないユーザも、アプリケーションへのログインを許可する」を選択し、「変更を適用する」をクリックします。

【参考】

  • paperlogicはIDプロバイダInitiated SSOには対応していません。また、paperlogicが指定するURLからのシングルサインオンも提供されていません。
    そのため、IIJ IDサービスのマイアプリケーションページにpaperlogicのアイコンが設置され、アイコンをクリックしてもシングルサインオンをすることはできません。
  • paperlogicにログインする際には、paperlogicのログイン画面にて「SSOログイン」をクリックしてください。
    表示された「SSOログイン」のウィンドウにて、手順3-4で設定した「識別子(ドメイン)」の値を入力し、「ログイン」をクリックすることで、IIJ IDサービスを用いたシングルサインオンが開始されます。