SAML認証:Okta の事前設定

この機能は、プレミアムプランでご利用いただけます。

 

RECEPTIONISTで Okta の SAML認証 をご利用いただくための、各種注意事項や事前準備・設定についてご案内します。
以下それぞれご確認ください。

もくじ

1.注意事項
2.事前準備
3.対応手順
RECEPTIONISTをサービスプロバイダーに登録
作成したApplication情報にSAML認証情報を登録
SAML認証をするユーザーを追加
「情報ご提出用テンプレート」用の情報について
4.情報ご提出用テンプレート
5.SAML認証でログイン(ログインエラーになるとき)

 

1.注意事項(必ずお読みください)

1.ログイン方法について
SAML認証設定を行うと、メールアドレス・パスワードを利用したログインはご利用いただくことができなくなります。iPadアプリログイン用の管理者アカウントのみ、メールアドレス・パスワードでのログインでご利用いただきます。

 

2.SAML認証設定後の社員登録について
RECEPTIONISTに社員を追加(アカウント追加登録)できるのは管理者のみですが、SAML認証設定を行った場合は以下のようになります。
管理者が登録していないアカウントでも、連携したIdP環境にアカウントを持っている社員の場合はSAML認証でRECEPTIONISTにログインが行えます。このとき、自動的にRECEPTIONIST上にアカウントが追加されます。
Tips 管理者の社員登録不要で、社員自らアカウントを追加することが可能です。

 

3.SAML認証の仕様に関する注意点
1) Okta 側にログイン済みの状態で、SAML認証でRECEPTIONISTにログインしようとすると、 Okta にログイン済みのユーザーで自動的にRECEPTIONISTにログインされます(SSO)
2) Okta 側にログインしていない状態で、SAML認証でRECEPTIONISTにログインすると、自動的に Okta 側もログインされます。
3) SAML認証でRECEPTIONISTにログイン>RECEPTIONISTにログアウトすると、自動的に Okta 側もログアウトされます。
5) SAML認証でRECEPTIONISTにログインすると、アカウント情報画面にパスワード欄はありません。
6) 通常フローでRECEPTIONISTに側で社員追加>同じメールアドレスで Okta 側にアカウント作成>そのアカウントでSAML認証できます。ただし、一度でもSAML認証でログインすると、通常フローでRECEPTIONISTにログインできなくなり、SAML認証のみログイン可能となります。
7) SAML認証しているアカウントがメールアドレスを変更する場合は、RECEPTIONISTに側と Okta 側のメールアドレスをそれぞれ変更する必要があります。
8) 会社ドメインは次回以降、初期値として反映されます。

 

 

2.事前準備

RECEPTIONIST主管理者でiPadアプリにログインしてください。
※主管理者は、担当者の退職等に備えて個人のメールアドレスではなく、共有メールアドレスでの登録を推奨します。
※SAML認証の設定を行うと、主管理者以外のアカウントはiPadアプリにログインできなくなります。
主管理者はSAML認証でのログインができないため、メールアドレス・パスワードでログインしてください。

 
 

3.対応手順

1.Okta 管理画面に管理者でログインします。
TipsOkta ヘルプページ(外部ページ)

2.ログイン後、画面右上から「管理者」をクリックします。

( 画像をクリックすると拡大表示します )

 

RECEPTIONISTをサービスプロバイダーに登録

 

3.左メニュー「Applications」>「Applications」をクリックします。

( 画像をクリックすると拡大表示します )

4.「Create App Integration」をクリックします。

( 画像をクリックすると拡大表示します )

5.「SAML 2.0」を選択して「Next」をクリックします。

( 画像をクリックすると拡大表示します )

6.「App name」に「RECEPTIONSIT」など任意のわかりやすい名称を入力し「Next」をクリックします。
Tips任意で「App logo」に以下などのわかりやすい画像をアップロードしてください

1クリックダウンロード
Icon_reception_512

( 画像をクリックすると拡大表示します )

7.以下情報を入力後、画面最下部から「Next」をクリックします。

( 画像をクリックすると拡大表示します )


項目名 入力内容
① Single sign on URL https://api.receptionist.jp/api/auth/okta/callback?namespace_name=api&resource_class=Employee」を入力
② チェックボックス Use this for Recipient URL and Destination URL」にチェック
※すでにチェックされている場合はそのままでOKです
③ Audience URI (SP Entity ID) 暫定的に適当な文字列を入力 ※「abc」「123」など何でも問題ございません。後ほど手順16で正しい情報に修正します。
 
 
8.I’m an Okta customer adding an internal app」にチェックをして、「Finish」をクリックします。(表示されるアンケートの回答は任意です)。
 
 

( 画像をクリックすると拡大表示します )

 

作成したApplication情報にSAML認証情報を登録

 

9.Sign On」タブをクリックします。

( 画像をクリックすると拡大表示します )

 

10.画面を下部にスクロールして「SAML Setup」>「 View SAML setup instructions」をクリックします。

( 画像をクリックすると拡大表示します )

 

11.別ウィンドウで開いた「How to Configure SAML 2.0 for receptionist Application」の画面を開いておきます。
以降の設定で必要な情報となります。

( 画像をクリックすると拡大表示します )

 

12.画面を下にスクロールして「③X.509 Certificate:」>「Download certificate」をクリックして「okta.cert」ファイルをダウンロードしておきます。

( 画像をクリックすると拡大表示します )

 

13.10.を操作した元の画面に戻り、画面上部にスクロールして「General」タブをクリックします。

( 画像をクリックすると拡大表示します )

 

14.画面を下部にスクロールして「SAML Settings」>「Edit」をクリックします。

( 画像をクリックすると拡大表示します )

 

15.「Next」をクリックします。

( 画像をクリックすると拡大表示します )

16.以下の情報を入力します。

( 画像をクリックすると拡大表示します )

項目名 入力内容
① Audience URI (SP Entity ID) ※先ほど手順7で「abc」など適当に入力した文字列を削除して、以下の情報を入力

手順11
別ウィンドウで開いた「How to Configure SAML 2.0 for receptionist Application」の画面を開いておきます。
こちらの「②Identity Provider Issuer:」に記載の「http://www.okta.com/XXXXX

② Name ID format EmailAddress」を選択

 
 

17.Show Advanced Settings」をクリック>下部にスクロールして以下の情報を入力します。

( 画像をクリックすると拡大表示します )

項目名 入力内容
① Enable Single Logout Allow application to initiate Single Logout」にチェックする
Tips ①をチェックすると②以降の項目が表示します
② Single Logout URL https://app.receptionist.jp/sign_in」を入力
③ SP Issuer 手順11
別ウィンドウで開いた「How to Configure SAML 2.0 for receptionist Application」の画面を開いておきます。
こちらの「②Identity Provider Issuer:」に記載の「http://www.okta.com/XXXXX」
④ Signature Certificate 手順12
画面を下にスクロールして「③X.509 Certificate:」>「Download certificate」をクリックして「okta.cert」ファイルをダウンロードしておきます。
こちらでダウンロードした「okta.cert」ファイルを「Browse」から参照して「Upload Certificate」をクリック
 
Tipsファイルの認証が成功すると以下の「Certificate uploaded!」のメッセージが表示します

( 画像をクリックすると拡大表示します )

 
 

18.下にスクロールして「Attribute Statements (optional)」に以下を入力・追加して「Next」をクリックします。

( 画像をクリックすると拡大表示します )

項目名 入力内容
Add Another」をクリックして項目を追加
「Name」に「RelayState」を入力
「Value」に「“XXXXX.com”」「“XXXXX.co.jp”」など、SAML認証でのログインで使用するドメインを入力 ※ドメインを「””」で囲います
「Name」に「email」を入力
「Value」に「user.email」を入力 ※③と異なり「””」囲いは不要です

 

 
19.Edit SAML Integration」の画面で何も変更せず「Finish」をクリックします。

 

SAML認証をするユーザーを追加

20.Assignments」タブ>「Assign」から「Assign to People」または「Assign to Groups」をクリックします。
Tipsユーザ1名づつの追加は「Assign to People」を、ユーザグループ単位一括の追加は「Assign to Groups」を選択します

( 画像をクリックすると拡大表示します )

21.(「Assign to People」で1名づつ追加するケース)「Search」で追加したいユーザ名を検索し、表示されたデータの「Assign」をクリックします。

( 画像をクリックすると拡大表示します )

22.任意で「User name」を変更し「Save and Go Back」をクリックします。

( 画像をクリックすると拡大表示します )

23.追加したいユーザが「Assigned」になっていることを確認し「Done」をクリックします。

( 画像をクリックすると拡大表示します )

24.追加したユーザが「Assignments」タブに反映していることを確認します。※追加したいユーザ分、19〜22の操作を実行します。

( 画像をクリックすると拡大表示します )

 

 

「情報ご提出用テンプレート」用の情報について

 

25.左メニューから「Applications」>「Applications」をクリックして、一覧から先ほど作成したAppilication設定をクリックします。

( 画像をクリックすると拡大表示します )

 

26.Sign On」タブをクリックします。

( 画像をクリックすると拡大表示します )

 

27.画面を下部にスクロールして「SAML Setup」>「 View SAML setup instructions」をクリックします。

( 画像をクリックすると拡大表示します )

 

28.別ウィンドウで開いた「How to Configure SAML 2.0 for receptionist Application」の画面から以下の情報をコピーして「情報ご提出用テンプレート」に記入をお願いします。

( 画像をクリックすると拡大表示します )

項目名 コピー内容
① Identity Provider Single Sign-On URL: テンプレート【4】Identity Provider Single Sign-On URL: に記入
② Identity Provider Single Logout URL: テンプレート【5】Identity Provider Single Logout URL: に記入
③ Identity Provider Issuer: テンプレート【6】Identity Provider Issuer: に記入
④ X.509 Certificate: テンプレート【7】証明書(.certファイル) に該当しますので、対応手順>12でダウンロードしたファイルを添付にてご送付ください ※パスワードをかけてお送りください。

 
 
設定は以上となります。
以下「情報ご提出用テンプレート」をご記入の上、弊社までお送りください。
 

 

4.情報ご提出用テンプレート

以下テンプレートをご記入の上、「3.対応手順」の12でダウンロードした証明書(.certファイル)と共に弊社までお送りください。弊社で設定完了後に、ご連絡させていただきます。
Check「SAML認証でのログインで使用するドメイン」が複数の場合は、弊社設定に1週間程度お時間をいただきますので予めご了承ください。

 

項目名 ご提出内容
【1】Idpプロバイダー: Okta とご記入ください
【2】設定希望日:
【3】iPadログイン用管理者アカウントのメールアドレス:
こちらでご準備いただいたメールアドレスです
【4】Identity Provider Single Sign-On URL: 記入内容は「情報ご提出用テンプレート」用の情報についてをご参照ください
【5】Identity Provider Single Logout URL: 記入内容は「情報ご提出用テンプレート」用の情報についてをご参照ください
【6】Identity Provider Issuer: 記入内容は「情報ご提出用テンプレート」用の情報についてをご参照ください
【7】証明書(.certファイル)
※パスワードをかけてお送りください。
添付するファイルは「情報ご提出用テンプレート」用の情報についてをご参照ください
【8】SAML認証でのログインで使用するドメイン: 複数ある場合は、全て記載してください
【9】SAML認証でのログイン時に「会社ドメイン」に入力したいドメイン:: 複数のドメインがある場合のみ、記載してください。
ログイン画面は複数ドメインに非対応のため、【8】のうち1つのドメインを指定してください。

 
 
 

5.SAML認証でログイン(ログインエラーになるとき)

弊社でSAML認証の設定完了後、ご連絡いたします。その後、RECEPTIONIST管理画面の「SAML認証はこちら」からSAML認証でのログインをお試しください。

SAML認証でのログイン時にエラーになる場合は以下ご確認ください。

・主管理者でSAML認証でのログインを実行されていないか
※主管理者はメールアドレス・パスワードでのログインとなり、SMAL認証でのログインはできません。

『SAML認証をするユーザーを設定』を行っていないユーザーでSAML認証でのログインを実行されていないか

『3.対応手順』の設定が誤っていないか

・弊社までお送りいただいた『4.情報ご提出用テンプレート』の内容が誤っていないか