シングルサインオン(SSO)の設定をおこなう
このページでは、管理者によるシングルサインオン(SSO)の設定方法を解説します。
1.IDプロバイダーにbellFaceのサービスプロバイダー情報を登録する
bellFaceをサービスプロバイダーとして設定するための情報を、IDプロバイダー側に登録します。
手順1.
管理画面メニュー > [管理者メニュー] > [シングルサインオン設定]にアクセスし、[パスワード及びSAML認証]を選択します。
補足
※ 初期設定時は「パスワード及びSAML認証」にて設定をおこないます
- [SAML認証のみ]は、初期設定完了後にシングルサインオンでログインしている状態でなければ設定できません。
手順2.
サービスプロバイダー情報やシングルサインオン(SSO)の設定項目が下部に表示されます。
手順3.
「サービスプロバイダー情報」に表示される以下の3項目を、IDプロバイダーへ登録してください。
- ①:bellFaceのエンティティID
- ②:bellFaceのAssertion Consumer ServiceのURL
- ③:bellFaceのSingle Logout EndpointのURL(任意)
- シングルログアウト(SLO)を利用する場合のみ、IDプロバイダーへ登録してください。
補足
※ [SP メタデータをダウンロード]クリックにて、登録情報をメタデータで取得することができます
2.bellFaceにIDプロバイダーの情報を登録する
手順1.
管理画面メニュー > [管理者メニュー] > [シングルサインオン設定]にて、「シングルサインオンの設定」と「IDプロバイダーの証明書を登録」の各項目に以下の情報を入力します。
- ①.IDプロバイダーのエンティティID
- IDプロバイダーのエンティティIDを入力します。
- ②.IDプロバイダーのSSO Endpoint URL
- IDプロバイダーのSSO Endpoint URLを入力します。
- ③.証明書の追加
- IDプロバイダーにてダウンロードした証明書をコピー・ペーストします。
- 証明性は最大2つまで登録することができます。
- 証明書の期限が90日以内になるとアラートが表示されます(「※図1」参照)。
▼ 「※図1」
手順2.
bellFaceでシングルログアウト(SLO)を利用するかによって、以下の手順をご確認ください。
bellFaceにてシングルログアウトを利用する場合
bellFaceにてシングルログアウトを利用する場合は、続いてbellFaceのシングルログアウト設定をおこないます。
3.bellFaceのシングルログアウトの設定をおこなうに進んでください。
bellFaceにてシングルログアウトを利用しない場合
設定画面最下部の[変更を保存する]をクリックし、設定は完了となります。
注意点
※ 設定完了後は必ずシングルサインオンでのログイン動作を確認してください
>>シングルサインオン(SSO)の動作環境・動作確認済みIDプロバイダー
※ ご利用のメールアドレスに変更があった場合、SAML認証でのログインができなくなる可能性があります
補足
※ ログイン方法を「SAML認証のみ」に変更したい場合、初回シングルサインオンでのログイン後、ログイン方法を変更することが可能です
3.bellFaceのシングルログアウトの設定をおこなう
手順1.
管理画面メニュー > [管理者メニュー] > [シングルサインオン設定]にて、「ログアウトの設定」に以下の情報を入力してください。
- ①:シングルログアウトを有効にする
- クリックして、チェックを入れます。
- ②:bellFaceからのログアウト後に遷移するURL
- bellFaceからのログアウト後に遷移するURLを入力します。
手順2.
設定画面最下部の[変更を保存する]をクリックします。
4.ログイン方法を「パスワード及びSAML認証」または「SAML認証のみ」に変更する
4-1.ログイン方法を「パスワード及びSAML認証」に設定する手順
手順1.
管理画面メニュー > [管理者メニュー] > [シングルサインオン設定]にて、[パスワード及びSAML認証]を選択します。
手順2.
設定画面最下部の[変更を保存する]をクリックします。
4-2.ログイン方法を「SAML認証のみ」に設定する手順
本設定をおこなうには、初期設定後にシングルサインオンでログインする必要があります。
手順1.
管理画面メニュー > [管理者メニュー] > [シングルサインオン設定]にて、[SAML認証のみ]を選択します。
手順2.
設定画面最下部の[変更を保存する]をクリックします。
5.IDプロバイダーの証明書を更新する
登録しているすべての証明書の期限が切れた場合、シングルサインオン(SSO)でログインすることができなくなります。
証明書の期限に関するメールが通知されたタイミングで、IDプロバイダーの証明書を更新してください。
証明書の期限に関する通知は、管理者ユーザーの登録メールアドレス宛に配信がされます
- メール配信のタイミングは以下の通りです
- 期限切れの60日前
- 期限切れの30日前
- 期限切れの14日前
- 期限切れの7〜1日間
- メールの配信を停止するには以下の条件を満たす必要があります
- 有効期限が60日以上の証明書を登録する
- 期限が近づいている証明書を削除する
5-1.証明書の登録が1つの場合
手順1.
管理画面メニュー > [管理者メニュー] > [シングルサインオン設定]にて、「IDプロバイダーの証明書を登録」の[+ 証明書を追加する]をクリックします。
手順2.
証明書の入力枠が表示されます。
新しい証明書を登録してください。
手順3.
設定画面最下部の[変更を保存する]をクリックします。
手順4.
期限が近づいている証明書の[削除]をクリックしてチェックを入れます。
手順5.
再度、設定画面最下部の[変更を保存する]をクリックし設定は完了となります。
5-2.証明書の登録が2つの場合
手順1.
管理画面メニュー > [管理者メニュー] > [シングルサインオン設定]にアクセスします。
手順2.
期限が近づいている証明書の[削除]をクリックしてチェックを入れます。
手順3.
証明書の下部に[+証明書を追加する]ボタンが表示されます。
[+証明書を追加する]ボタンをクリックします。
手順4.
証明書の入力枠が表示されます。
新しい証明書を登録してください。
手順5.
設定画面最下部の[変更を保存する]をクリックし、設定は完了となります。
6.シングルサインオン利用中にメールアドレスの変更があった際の注意点/推奨対処手順
6-1.前提となる仕様
本ページでおこなう推奨対処は、以下のシングルサインオンの仕様を前提としています。
- シングルサインオンでの初回ログイン時は、IDプロバイダー/bellFace双方に登録しているメールアドレスが合致している必要があります。
- シングルサインオンでの初回ログイン時に、IDプロバイダー/bellFace双方のメールアドレスが合致していればメールアドレスを識別子として双方のアカウントが紐づけされます。
- bellFaceにはユーザー側の操作でアカウントの紐づけを解除する機能はありません。
- bellFaceのアカウントを停止しても、アカウントの紐づけは解除されません。
- IDプロバイダー/bellFaceどちらかのアカウントを削除することで、アカウントの紐づけを解除することができます。
6-2.発生する事象
以下の条件が揃っている場合、IDプロバイダーのアカウントは停止したbellFaceアカウントと紐づいている状態のため、シングルサインオンでのログインができません。
- IDプロバイダー側
- メールアドレスの変更有無にかかわらず、既存アカウントを継続して利用する
- bellFace側
- IDプロバイダーと紐づいたbellFaceアカウントを停止する
- 別メールアドレスで新規bellFaceアカウントを招待する
6-3.事象への推奨対処手順
メールアドレスの変更があった場合は、下記どちらかの方法で設定をおこなうことを推奨しています。
- 既存アカウントのメールアドレスを変更する
- すでに紐づけ済のIDプロバイダー/bellFaceのアカウントを継続して利用します。
- IDプロバイダー/bellFace双方の既存アカウントのメールアドレスを新しいメールアドレスに変更します。
- 既存アカウントを削除する
- IDプロバイダー/bellFaceどちらかのアカウントを削除することで紐づけを解除します。
- IDプロバイダー/bellFaceどちらかの既存アカウントを削除して、新しいメールアドレスでのアカウント作成/登録メールアドレスの変更をおこないます。
- bellFaceアカウントの削除は、管理者/組織管理者ユーザーよりチャットサポートまでご連絡ください。