最終更新:2023/06/19
誰がこの機能を使用することができますか?
管理者
目次
- システム概要
-
注意事項
└連携前
└連携後 -
SSOを設定する(IdP側の設定)
・操作例)Google Workspace
・操作例)Microsoft Entra ID - SSOを設定する(HRMOS採用側の設定)
- SSOを解除する
- SSOを使用してログインする
システム概要
・SAML2.0を用いたSP-Initiated SSOのログイン機能
※「IdP-initiated SSO」には対応しておりません
・SSOの設定機能
-ご利用中のGoogle WorkspaceやMicrosoft Entra ID、CloudGateUNOなどのSAML2.0をサポートしているIdPから
「IdPメタデータ」を取得し、そのファイルをアップロードすることで
HRMOS採⽤でのSSOの設定を⾏うことができます。
・SAML (Security Assertion Markup Language) とは:
SSOで利用される標準規格です。デジタル署名が施されたXML文書を用いて認証情報の交換を行います。
参考ページ
http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html
・SP-Initiated SSOとは:
HRMOS採用などのサービスを提供するアプリケーションにアクセスし、そこからお客様が利用しているIdPに認証情報を問い合わせる方式です。
・IdP(Identity Provider)とは:
ユーザーがSSOを使用して他のWebサイトにアクセスできるようにするために認証情報を提供するものです。
例)Google Workspace、Microsoft Entra ID
注意事項
【連携前】
・HRMOS採用側の設定は「管理者」権限をお持ちの方のみ行うことができます。
・IdP側の設定は企業様ごとでルールが異なる場合があります。貴社情報システム部門の方にご相談の上、設定してください。
・SSOを設定すると、HRMOS採用に登録している全ユーザーにSSOログインが適用されます。
(PC・モバイル共に)接続テスト終了後、ログイン操作が変わることを社内周知をし連携開始してください。
※SSOを利用してのログイン画面・操作はご利用のIdPによって異なります。情報システム部門の方に確認してください。
・SSOの適用範囲は以下の通りです。
役割 | 適用 |
---|---|
Idp側で認証情報がある全ユーザー | 〇 |
Idp側で認証情報がないユーザー ※1 | × |
エージェント |
※1
Idp側とHRMOS採用のユーザーアカウントのアカウントのメールアドレスは一致している必要があります。
メールアドレスが異なる場合は、マッピング設定ができません。
【連携後】
・SSO連携後に新たにユーザーを追加した際、認証メールより登録手続きをしなくてもHRMOSへログインすることは可能です。
しかし、アカウントのステータスが「登録待ち」となり何らかの原因でSSO連携を解除した際にIDとパスワードを使ったログインができなくなります。
そのため、認証メールから登録手続きをすることをおすすめします。
認証メール内のリンクをシークレットウィンドウで開いて登録手続きを完了してください。
(シークレットウィンドウで開かないと、登録手続きの画面が開きません)
※認証メールが見つからない・有効期限が切れている場合は「認証メールの有効期限が切れてしまった(認証メールを紛失してしまった)」を参考にしてください。
・何らかの原因によりSSOを使用してHRMOS採用へログインできなくなってしまった場合は、弊社側で解除することが可能です。HRMOS採用画面上のチャットボタンよりご連絡ください。
SSOを設定する(IdP側の設定)
1. ご利用中のIdPのガイドラインに沿ってHRMOS採用をSAMLアプリとして登録します。
参考ページ
・Google Workspace :https://support.google.com/a/answer/6087519・Microsoft Entra ID :https://learn.microsoft.com/ja-jp/entra/identity/enterprise-apps/view-applications-portal
SAMLアプリの設定項目
・「ACS URL」
・「エンティティID」
は、HRMOS採⽤ 左メニュー「設定」をクリックし、セキュリティの項⽬にある「シングルサインオン」をクリックして、「HRMOS採用のプロバイダ情報」をご確認ください。
また、
・Name ID:メールアドレス
・Name IDの書式:Email形式
を指定してください。
2. ご利⽤中のIdPからHRMOS採⽤にアップロードするIdPメタデータ(XMLファイル)をダウンロードします。これでIdP側の設定は完了です。
操作例)Google Workspace
① 参考ページ の手順11「サービスプロバイダの詳細」画面の
・「ACS の URL」
・「エンティティID」
欄に「HRMOS採用のプロバイダ情報」で取得した値を入力します。
②・「名前 ID」- 基本情報/メインのメールアドレス
・「名前 IDの書式」- EMAIL
を選択します。
③「証明書を管理」をクリックし、「IDPメタデータをダウンロード」をクリックしてXMLファイルがダウンロードできたら完了です。
操作例)Microsoft Entra ID
①「Microsoft Entra 管理センター」からエンタープライズアプリケーションを開き、「新しいアプリケーションを選択」をクリックします。
②「独自のアプリケーションを作成」をクリックします。
③ 必要情報を入力の上、「作成」をクリックします。
④「シングルサインオン」をクリックし、「SAML」をクリックします。
⑤「基本的な SAML構成」セクションの
・「識別子(エンティティID)」
・「応答 URL (Assertion Consumer Service URL)」 ※ACS URL
欄に 「HRMOS採用のプロバイダ情報」で取得した値を入力します。
⑥「ユーザー属性とクレーム」セクションの「一意のユーザーID」欄に「メールアドレスが設定されている属性値(例 user.mail)」を指定します。
⑦「SAML 署名証明書」セクションの「フェデレーションメタデータXML」の「ダウンロード」をクリックしてXMLファイルがダウンロードできたら完了です。
SSOを設定する(HRMOS採用側の設定)
1. 左メニュー「設定」をクリックし、セキュリティの項⽬にある「シングルサインオン」をクリックします。
2. 「IdPメタデータ」右横の「鉛筆マーク」をクリックします。
3. 手順「① IdP側の設定 手順2」でダウンロードしたIdPメタデータ(XMLファイル)をアップロードして「保存」をクリックします。
4. 「連携をテスト」をクリックします。その後、別ウインドウで開かれるIdPのログインを試行してください。
SSOの設定が正常に⾏えている場合は、HRMOS採⽤へログインすることができそのままダッシュボード画⾯が表⽰されます。
ダッシュボード画⾯に遷移せずにエラーが表⽰される場合は、IdPの設定などに不備があるため、修正を⾏い再度「連携をテスト」を試⾏してください。
注意事項
・必ず「連携をテスト」を行ってから「連携開始」をしてください
5. テスト終了後「連携開始」をクリックし、「開始」をクリックするとすべてのユーザーの認証がSSOに切り替わります。
注意事項
・何らかの原因によりSSOを使用してHRMOS採用へログインできなくなってしまった場合は、弊社側で解除することが可能です。HRMOS採用画面上のチャットボタンよりご連絡ください。
SSOを解除する
SSOを解除して、全ユーザーをID・パスワードでのログイン方法に戻すことができます。
「解除」をクリックしたら完了です。
SSOを使用してログインする
1. メールアドレスを入力し、「続行」をクリックします。
2.IdPの認証情報を入力すると、ログインすることができます。
▼ 例)Google Workspaceの場合