はじめに
この度は、Web電話帳「PHONE APPLI PEOPLE」(以降「PA PEOPLE」と表記します)をご利用いただきまして、誠にありがとうございます。本書は、「PA PEOPLE」の「SAML認証」または「OpenID Connect」をご利用いただく際の設定・操作ガイドです。
1. 認証方式の切り替え
1.1. 認証方式について
PA PEOPLEでは、認証方式を以下の3種類に切り替えることができます。
-
ローカル認証 & M365 SSO
PA PEOPLE内でパスワードを管理するローカル認証と、Microsoft 365を利用したシングルサインオンを併用できます。デフォルトではこちらが選択されています。 -
SAML認証
特定の認証サービス(以下、IdPと表記します)に対してSAMLによる認証を実行します。さらに、SAML認証を設定後、特定のユーザのみローカル認証を行うこともできます。
※ 動作確認を実施しているIdPは「SAML認証において動作確認済みのIdP」を参照ください。 -
OpenID Connect(以下、OIDCと表記します)
特定のIdPに対してOIDCによる認証を実行します。さらに、OIDCを設定後、特定のユーザのみローカル認証を行うこともできます。
※ ID/PWを用いた標準的なOIDCで動作確認を実施しているIdPは「CloudGate UNO」のみとなります。
本書では、上記より「2.SAML認証」と「3.OpenID Connect」におけるService Provider(以下、SPと表記します)としての仕様と、PA PEOPLE管理者側での設定、並びにユーザによる認証手順について説明します。
※ 本機能は、連携するIdPの情報が必須となります。どのような情報が必要かは、IdP担当者にご確認ください。
※ IdPの仕様によっては連携できない場合があるため、担当営業にご相談ください。
※ 認証設定が完了すると、管理者アカウントもSAML認証、またはOIDCによる認証を行うようになります。IdP側に、管理者アカウントと同等のアカウントを用意してください。
※ フォンアプリ「Card Assist」(PACA)、MFP連携機能、また一部の連携機能はSAML認証、およびOIDCに対応していないため、認証設定が完了すると利用不可となります。
※ PA PEOPLE iPhoneアプリはクライアント(デバイス)証明書を利用したSAML認証、およびOIDCに対応しておりません。
※ IdPとしての機能(端末制限など)を組み合わせた場合の動作確認は実施しておりません。
1.2. 動作確認済みIdP
以下が動作確認済みのIdPとなります。ただし、ID/PWを用いた標準的な認証のみ動作を確認しております。IdP側の機能と組み合わせた場合の動作は未確認であるため、必ずご利用前に実環境での動作確認を行ってください。
1.2.1. SAML認証において動作確認済みのIdP
認証サービス(IdP) |
PA PEOPLEクライアント |
|||
|---|---|---|---|---|
Microsoft Edge |
Google Chrome |
iOS *1 |
Android *1 |
|
CloudGate UNO |
○ |
○ |
○ |
○ |
HENNGE One |
○ |
○ |
○ |
○ |
Azure AD |
○ |
○ |
○ *2 |
○ *2 |
ADFS |
○ *3 |
○ |
○ |
× *4 |
Google Workspace |
× |
○ |
○ |
○ |
Workspace ONE |
× |
○ |
○ |
○ |
Okta |
○ |
○ |
○ |
○ |
-
*1 PA PEOPLEの各ユーザガイドの動作環境に記載のあるバージョンで確認しています。
-
*2 Azure ADのSAML認証機能でワンタイムパスワードを有効にしている場合、PA PEOPLEのスマートフォンアプリでのワンタイムパスワード入力が正常に動作しないことを確認しています。
-
*3 ADFSは環境(Windowsとしての機能)の影響を受けるため、必ずご利用前に実環境での動作確認を行ってください。
-
*4 Androidアプリは自己証明書に対応しておりません(アプリケーションとしてご利用になれません)。
-
※ 以下のIdPは、ベンダ様やお客様から動作の確認が報告されています。
-
IceWall SSO
-
ID Federation
-
Auth0
-
トラスト・ログイン
-
OTSUKA GATE
-
Nextset
-
2. Service Providerとしての仕様
PA PEOPLEのSPとしての仕様について記載します。認証方式変更前に、必ず本項とIdP側の仕様を照らし合わせ、連携可能か確認してください。
2.1. SAML認証時のSPとしての仕様
| 項目 | 説明 |
|---|---|
対応認証形式 |
※SAML 2.0 に準拠しています。 |
SAML認証完了後に表示されるPA PEOPLEのURL |
https://<お客様環境URL>/front/top |
メタデータ有無 |
あり |
対応しているNameID Format |
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified |
SPエンティティID |
PA PEOPLE管理者が任意で指定可能。 |
アサーションコンシューマサービスURL |
https://<お客様環境URL>/front/saml/acs |
ログアウトURL |
https://<お客様環境URL>/front/logout |
SAML Request時のUser-Agent |
|
SAML Response時、署名に用いる 鍵情報 |
x509証明書 |
SAML Responseから鍵情報を用いた署名を読み取る箇所 |
IdP側の仕様に準拠し、以下から選択。
※「レスポンス内&アサーション内」はアンド条件となるため、両方に署名がある前提となります。片側にしか署名がない場合、SPとして署名の読み取りは失敗したと判断しログインできません。 |
SAML Response時、「Name ID」以外に追加の属性要否 |
不要 |
SAML Responseに含める必要のあるユーザ属性 |
なし |
クライアント証明書への対応 |
PCブラウザ版、Androidアプリはクライアント証明書に対応して認証を実施できますが、iPhoneアプリは対応していないため、認証できません。 |
2.2. OIDC時のSPとしての仕様
| 項目 | 説明 |
|---|---|
OIDCのログインURL |
https://<お客様環境URL>/front/login |
OIDCのリダイレクトURL |
https://<お客様環境URL>/front/oidc/processCode |
OIDCのログアウトURL |
https://<お客様環境URL>/front/logout |
クライアント証明書への対応 |
PCブラウザ版、Androidアプリはクライアント証明書に対応して認証を実施できますが、iPhoneアプリは対応していないため、認証できません。 |
3. 管理者設定
SAML認証およびOIDCの設定について説明します。
-
※ 設定手順の詳細は、 「PHONE APPLI PEOPLE 管理者ガイド」認証方式の設定 open_in_new をご参照ください。
-
※ ログアウトおよびセッションタイムアウト後URLについては 「PHONE APPLI PEOPLE 管理者ガイド」URLの設定 open_in_new をご参照ください。
ただし、Microsoft Teams デスクトップ版でPA PEOPLEをご利用の場合は、仕様としてログアウト/セッションアウト後はログイン画面に遷移します。
3.1. SAML認証の設定
SAML認証を利用する際の設定手順は次のとおりです。
-
画面右上の[設定]ボタンをクリックします。
-
[管理]をクリックします。
-
[企業情報]タブ>[社名/ロゴ]タブを選択すると、画面内に「認証設定」のセクションが表示されます。
-
「認証方式」から[SAML認証]を選択します。
-
表示される各種設定項目を入力し[更新]ボタンをクリックします。
| 項目名 | 説明 |
|---|---|
SSOエンドポイントURL |
SAMLリクエストの送信先となるIdPのURLです。 |
IdPエンティティID |
IdP側で発行して入力してください。 |
SPエンティティID |
PA PEOPLEとしては任意の値となります。 |
IdPの署名の位置 |
IdP側の仕様に準拠し、以下から選択してください。
※「レスポンス内&アサーション内」はアンド条件となるため、両方に署名がある前提となります。片側にしか署名がない場合、SPとして署名の読み取りは失敗したと判断しログインできません。 |
IdP公開鍵証明書 |
IdPで発行した証明書(pemファイル)をアップロードしてください。 |
-
メタデータについて
SAML認証の設定が完了すると、「認証方式」のセクションからメタデータがダウンロードできるようになります。IdP側で必要な場合、ダウンロードしてご利用ください。
3.2. OIDC の設定
OIDCを利用する際の設定手順は次のとおりです。
-
画面右上の[設定]ボタンをクリックします。
-
[管理]をクリックします。
-
[企業情報]タブ>[社名/ロゴ]タブを選択すると、画面内に「認証設定」のセクションが表示されます。
-
「認証方式」から[OpenID Connect]を選択します。
-
表示される各種設定項目を入力し[更新]ボタンをクリックします。
| 項目名 | 説明 |
|---|---|
認可エンドポイントURL |
IdPの認証URLです。 |
トークンエンドポイントURL |
OIDCトークンURLです。 |
クライアントID / クライアントキー |
IdP側の値です。 |
クライアントシークレット |
IdP側の値です。 |
レスポンスモード |
「query」と「form_post」から、IdPが対応している方を選択します。 |
アカウントIDのJWTクレーム |
IdPからのtoken APIのレスポンスにおいて、アカウントIDが含まれるJWT Claimを入力します。 |
nonceを検証 |
チェックを入れることで、OIDC時、IdPから受け取るID Tokenが正しい値か検証するようになります。 |
4. SAML認証やOIDC利用時のユーザの認証について
SAML認証やOIDCを利用する場合、基本的にすべてのユーザは連携設定を投入したIdPに対して認証を行うようになります。
ただし、一部のユーザがPA PEOPLEのローカル認証を利用したい場合、管理者側で設定ができます。
4.1. SAML認証やOIDC利用時のユーザ単位でのローカル認証設定
以下の設定を行います。
-
画面右上の[設定]ボタンをクリックします。
-
[管理]をクリックします。
-
[ユーザ]タブ>[ユーザ管理]タブを選択し、ローカル認証をさせたいユーザの氏名をクリックします。
-
[ローカル認証]の項目にチェックを入れ、[更新]をクリックします。
※ [新規登録]時も同様のオペレーションでローカル認証ユーザを作成できます。
※ ユーザインポート時は「LOCAL_AUTH」列を“1”と指定することで、ローカル認証ユーザとすることができます。
※ [ローカル認証]の項目は、認証設定が「ローカル認証 & M365 SSO」を選択されていても表示され、また、エクスポート時に列として出力されます。ただし、その時は当該項目にどんな値が入っていても、ローカル認証を行う動作となります。
注意事項
管理者アカウントは、ローカル認証を利用できません。認証設定において「SAML認証」か「OpenID Connect」を設定すると、管理者アカウントでのログイン時はIdPに対して認証を行うようになります。
そのため、必ず、IdP側に管理者アカウントと同等のアカウントを用意してください。
IdP側に管理者アカウントと同等のアカウントを用意できない場合は、別途、各種管理権限を付与したローカル認証ユーザを作成し、運用してください。
5. スマホアプリからのログイン状態保持期間について
ユーザがSAML認証やOIDCを利用してスマートフォンアプリからログインした場合、そのログイン状態の保持期間はIdPの設定に依存しません。ログイン状態の保持期間は、PA PEOPLE管理者側で明示的に定義する必要があります。
5.1. スマホアプリからのログイン状態保持期間の変更
[設定]>[管理]>[企業情報]>[スマートフォン]の順に画面遷移をします。
「スマートフォンアプリ(SAML/OIDC)のログイン状態保持期間」で指定した期間、スマホアプリのログイン状態が保持されます。
なお、期間を満了すると夜間の定時処理により、スマホアプリからログアウト状態になり、ユーザは次のアクセスから改めてSAML/OIDCによるログインを求められます。
※本処理はSAML/OIDC利用時のみの動作となります。
※ ユーザ情報更新やTSVインポート機能などを用いてユーザのパスワードが変更された場合、本設定に関わらずログイン状態は破棄され、再ログインが要求されます。
6. ユーザのログイン操作
認証設定において「ローカル認証 & M365 SSO」以外が設定されていて、ログインを試みるユーザの「ローカル認証」にチェックが入っていない場合、ログイン操作は以下の手順となります。
6.1. PCブラウザでのログイン手順
※ Microsoft Teams デスクトップ版にも対応しています。
以下の手順でログインをします。
-
PCブラウザにて以下のURLにアクセスします。
https://<お客様環境URL>/sso -
ログインIDを入力します。
-
[次へ]をクリックします。
-
IdPのログイン画面が表示されるため、IDとPWを入力します。
-
認証成功により、PA PEOPLEのログイン後の初期画面に遷移します。
ログイン時の注意事項
一度「https://<お客様環境URL>/sso」にアクセスすると、元々ご利用になっていたログイン画面にはアクセスできなくなるためご注意ください。
※ ブラウザのローカルストレージに保存された以下の値を削除し、「https://<お客様環境URL>/front/login」にアクセスすることで通常のログイン画面に遷移します。
login:mode
6.2. スマホアプリでのログイン手順
以下の手順でログインをします。
-
スマホアプリのログイン画面にて、ログインIDとサーバ(PA PEOPLEのURL)を入力し、[次へ]をタップします。
-
認証サービスのログイン画面が表示されるため、IDとPWを入力します。
-
認証成功により、PA PEOPLEのログイン後の画面に遷移します。
※ スマホアプリで初めてアクセスする場合、サービス利用規約への同意を求めるポップアップが表示されます。
ログイン時の注意事項
一度スマートフォンアプリからログインを行うと、「スマホアプリからのログイン状態保持期間の変更」で定義した期間は、常にログイン状態となります。IdP側でアカウントの停止や、PWの変更をする場合は、PA PEOPLE管理者が以下手順にて、該当ユーザをログアウト状態に変更してください。
-
PCブラウザ版より管理者ログイン後、画面右上の[設定]ボタンをクリックします。
-
[管理]をクリックします。
-
[ユーザ]タブ>[ユーザ管理]タブを選択し、該当のユーザの氏名をクリックします。
-
「スマートフォンアプリ(SAML/OIDC)」の項目の横に表示されている[ログアウトさせる]にチェックを入れ、[更新]をクリックします。
本操作により、該当のユーザはモバイルからログアウト状態となります。
改訂履歴表
| 改訂年月日 | 項番/項目 | 改訂内容 |
|---|---|---|
2019.02.25 |
新規作成 |
|
2019.04.03 |
8.1 |
SSO用ログインのURLを修正 |
2019.04.03 |
8.1 |
SSO用ログイン画面から通常ログイン画面への戻り方を追加 |
2019.04.22 |
8.1 |
SSO用ログインのURLを修正 |
2019.04.22 |
3.1 |
“SAML Request時のUser-Agent”情報を追加 |
2019.04.22 |
2.2.1 |
対応IdPを追加 |
2019.04.22 |
7 |
「スマホアプリからのログイン状態保持期間について」を追加 |
2019.04.22 |
7.1 |
画面修正に合わせて内容を修正 |
2019.07.31 |
2.1 |
「② SAML認証」において検証済み認証サービスに「ID Federation」を追加 |
2019.08.08 |
4.1 |
画面ショットを修正 |
2019.11.30 |
全体 |
SAML Response内の署名位置対応改修に伴い全体を修正 |
2020.05.15 |
全体 |
Office 365→Microsoft 365 変更 |
2020.07.31 |
2.1 |
注意事項を追加 |
4.1 |
ログアウトおよびセッションタイムアウト後URLについての追記 |
|
2020.03.25 |
7.1 |
スマホアプリからのログイン状態保持期間の変更について追記 |
2020.04.23 |
3.1 |
「SAML認証時のSPとしての仕様」対象認証形式に追記 |
2021.10.01 |
7.1 |
設定方法変更にともなう修正 |
2022.03.30 |
4 |
Microsoft Teams 対応を追記 |
2023.08.31 |
1.2 |
認証サービスを追記 |