【SAML認証事前設定】Azure ADの設定とお送りいただく証明書

この機能は、プレミアムプランでご利用いただけます。

 

RECEPTIONISTでAzure AD環境のSAML認証をご利用いただくための各種注意事項や事前準備・設定についてご案内します。
以下それぞれ、ご確認ください。

 

Check 現在、SAML認証用アプリケーションの公開申請中です。
公開が行われるまでは、「Premium P1」または「Premium P2」アカウントにて以下の設定を行うことでSAML認証がご利用いただけます。

 

もくじ

注意事項
事前準備
情報ご提出用テンプレート
AzureADが同じテナントでRECEPTIONISTアカウントが別の場合
対応手順
SAML認証でのログイン

 

 

注意事項

1.ログイン方法について
SAML認証設定を行うと、メールアドレス・パスワードを利用したログインは行えなくなります。iPadアプリログイン用の管理者アカウントのみ、メールアドレス・パスワードでのログインになります。

 

2.SAML認証設定後の社員登録について
RECEPTIONISTに社員を追加(アカウント追加登録)できるのは管理者のみですが、SAML認証設定を行った場合は以下のようになります。
管理者が登録していないアカウントでも、連携したIdP環境にアカウントを持っている社員の場合はSAML認証でRECEPTIONISTにログインが行えます。このとき、自動的にRECEPTIONIST上にアカウントが追加されます。
(管理者の社員登録不要で、社員自らアカウントを追加することが可能です。)

 

3.SAML認証の仕様に関する注意点
1)Azure(Office365)側にログイン済みの状態で、SAML認証でRECEPTIONISTにログインすると、Azure(Office365)にログイン済みのユーザーで自動的にRECEPTIONISTにログインされます。
2)Azure(Office365)側にログインしていない状態で、SAML認証でRECEPTIONISTにログインすると、自動的にAzure(Office365)側もログインされます。
3)SAML認証でRECEPTIONISTログインし、RECEPTIONISTログアウトすると、自動的にAzure(Office365)側もログアウトされます。
4)SAML認証でRECEPTIONISTログインし、RECEPTIONISTログアウトすると、Office365のサインアウト画面で完結となります
5)SAML認証でRECEPTIONISTログインすると、アカウント情報画面にパスワード欄は表示されません。
6)RECEPTIONISTの管理画面で「名前」「First Name」「Last Name」を変更しても、SAML認証で再ログインすると、それらの項目はAzure(Office365)側の情報で上書きされます。
※詳細は以下『5.Azure ADからRECEPTIONISTに連携する項目』をご覧ください。
7)通常フローの、RECEPTIONIST側で社員追加>同じメールアドレスでAzure(Office365)側にアカウント作成>そのアカウントでSAML認証が行えます。
 ただし、一度でもSAML認証でログインすると、通常フローでRECEPTIONISTにログインできなくなり、SAML認証のみログイン可能となります。
8)SAML認証しているアカウントがメールアドレスを変更する場合は、RECEPTIONIST側とAzure(Office365)側のメールアドレスをそれぞれ変更する必要があります。
9)会社ドメインはローカルストレージ上に保存され、次回以降初期値に反映されます。

 

4.Azure ADからRECEPTIONISTに連携する項目

RECEPTIONISTの項目 Azure ADの項目
メールアドレス メールアドレス
名前 名前
First Name
※半角英数字のみで入力されている場合に連携される。
Last Name
※半角英数字のみで入力されている場合に連携される。

 

 

事前準備

iPadアプリログイン用のRECEPTIONIST管理者アカウントをご用意ください。
また、上記のアカウントであらかじめiPadアプリにログインを行ってください。
※SAML認証の設定を行うと、上記以外のアカウントはiPadアプリにログインできなくなります。
上記アカウントはSAML認証でのログインができないため、メールアドレス・パスワードでログインしてください。
※iPadログイン用の管理者アカウントは、担当者の退職等の場合に備えて個人のアカウントではなくadmin@receptionist.co.jp等の共有アカウントを推奨します。

 

 

情報ご提出用テンプレート

以下が弊社へお送りいただく情報です。
メールでお送りいただく際に、こちらのテンプレートをご利用ください。

 

項目名 ご提出内容
【1】Idpプロバイダー Azure AD
【2】設定希望日
【3】iPadログイン用管理者アカウントのメールアドレス:
こちらでご準備いただいたメールアドレスです。
【4】①基本的な SAML 構成ー①識別子 (エンティティ ID):
【5】③SAML 署名証明書ー①拇印のコピー:
【6】③SAML 署名証明書ー②証明書 (Base64): パスワードをかけたデータでお送りください
【7】④追加したアプリ(設定したアプリ名)のセットアップー①ログインURL:
【8】④追加したアプリ(設定したアプリ名)のセットアップー②ログアウトURL:

 
 

AzureADが同じテナントでRECEPTIONISTアカウントが別の場合

AzureADのどのユーザーがどちらのRECEPTIONISTアカウントに所属するか判別するために、この後の「対応手順」でRECEPTIONISTアカウント分エンタープライズアプリケーションを追加し、それぞれの【情報ご提出用テンプレート】をご提出ください。
 
また、どのアプリケーションがどちらの企業か判別するために、この後の「対応手順」の「基本的な SAML 構成」でドメイン(例:receptionist.co.jp)を設定する箇所は、ドメインにそれぞれ任意のアルファベットを追加したもの(例:marketing.receptionist.co.jp、tech.receptionist.co.jp)で設定をお願いします。
 

例)
■A社
①識別子 (エンティティ ID):marketing.receptionist.co.jp
②応答 URL:https://api.receptionist.jp/api/auth/azure/callback?namespace_name=api&resource_class=Employee&RelayState=marketing.receptionist.co.jp

④リレー状態:marketing.receptionist.co.jp
■B社
①識別子 (エンティティ ID):tech.receptionist.co.jp
②応答 URL:https://api.receptionist.jp/api/auth/azure/callback?namespace_name=api&resource_class=Employee&RelayState=tech.receptionist.co.jp

④リレー状態:tech.receptionist.co.jp

 
 

対応手順

Azure 管理画面からEnterprise applicationsを開き、「新しいアプリケーション」をクリックします。

( 画像をクリックすると拡大表示します )

 

アプリケーションの追加画面から、「ギャラリー以外のアプリケーション」をクリックします。

 

独自のアプリケーション追加画面が表示されるので、任意の名前をご入力ください。
とくに希望がなければ「RECEPTIONIST」とご入力ください。

( 画像をクリックすると拡大表示します )

 

 

アプリのSAML認証有効化
つづいて、表示されている画面左サイドバーの「シングルサインオン」をクリックし、表示される画面の「SAML」を選択してください。


( 画像をクリックすると拡大表示します )

 

 

SAMLによるシングルサインオンのセットアップ画面の
①基本的な SAML 構成
を開き、

( 画像をクリックすると拡大表示します )

 

以下をそれぞれ入力し、保存を行ってください。

( 画像をクリックすると拡大表示します )

項目名 入力内容
①識別子 (エンティティ ID): メールアドレスのドメインを入力してください
※こちらの入力内容は弊社に共有いただくためメモ等に保存をお願いいたします。
②応答 URL (Assertion Consumer Service URL): 以下URLを入力してください
https://api.receptionist.jp/api/auth/azure/callback?namespace_name=api&resource_class=Employee
 

CheckAzureADのアプリポータルをご利用の場合は、以下URLを入力してください。
https://api.receptionist.jp/api/auth/azure/callback?namespace_name=api&resource_class=Employee&RelayState=<貴社メールアドレスのドメイン※@なし>
(例)https://api.receptionist.jp/api/auth/azure/callback?namespace_name=api&resource_class=Employee&RelayState=receptionist.co.jp

③サインオン URL: 未入力でOKです
④リレー状態: ①識別子 (エンティティ ID)と同じ値を入力してください
⑤ログアウト URL: 以下URLを入力してください
https://api.receptionist.jp/api/integrations/saml/slo

 

 

続いて、弊社へご提出いただく情報のコピー・ダウンロードをお願いいたします。

 

 

③SAML 署名証明書

 

①拇印のコピー
②証明書 (Base64)
のコピー・ダウンロードをお願いいたします。

( 画像をクリックすると拡大表示します )

 

 

④追加したアプリ(設定したアプリ名)のセットアップ

 

①ログインURL
②ログアウトURL
のコピーをお願いいたします。

( 画像をクリックすると拡大表示します )

 

アプリにユーザーの割り当て
つづいて、表示されている画面左サイドバーの「ユーザーとグループ」をクリック、「+ユーザーまたはグループの追加」をクリックし、ユーザーの割り当てを行ってください。

( 画像をクリックすると拡大表示します )

Checkアプリの「プロパティ」で「ユーザーの割り当てが必要ですか?」を「いいえ」にした場合は、上記『ユーザーの割り当て』は不要です。

( 画像をクリックすると拡大表示します )

※参考:AzureADをIDプロバイダーとして使用しているアプリにユーザーを割り当てる(Microsoftサイト)

 
以上で設定は完了です。
テンプレートの記載内容の情報を弊社までお送りください。

 
 

SAML認証でのログイン

弊社でSAML認証の設定完了後、ご連絡いたします。その後、RECEPTIONIST管理画面の「SAML認証はこちら」からSAML認証でのログインをお試しください。
 
 
CheckSAML認証でのログイン時にエラーになる場合は以下ご確認ください。
・iPadログイン用管理者アカウントでSAML認証でのログインを実行されていないか
※iPadログイン用管理者アカウントはメールアドレス・パスワードでのログインとなり、SMAL認証でのログインはできません。
・AzureADのアプリに割り当てられていないユーザーでSAML認証でのログインを実行されていないか
『対応手順』の設定が誤っていないか
・弊社までお送りいただいた『情報ご提出用テンプレート』の内容が誤っていないか