シングルサインオン 初期設定

「楽楽請求」カスタマーサクセス担当

「楽楽請求」カスタマーサクセス担当

 

概要

シングルサインオンとは

IDプロバイダー(IdP)と「楽楽請求」をSAML認証で連携することによって、シングルサインオンができるようになります。

  • 前提
    「楽楽請求」はSAML2.0に対応し、Service Provider(SP)として動作します。
     
  • 条件
    「楽楽請求」をSPとしてSAML認証で連携するには、SAML2.0に対応したIDプロバイダー(IdP)が必要です。

シングルサインオンとは

「シングルサインオン」とは、一度の認証処理で、複数のサービスにログイン可能になる機能です。
認証システムである「IDプロバイダー(IdP)」にログインしている状態であれば、「楽楽請求」にID/パスワードを入力することなく、ログインが可能です。

イメージ図1049_image_01_202160119

  • ログイン
    1. 「楽楽請求」のログイン画面へアクセスします。
    2. 「IDプロバイダー(IdP)」にログインしていない場合、表示される画面指示にしたがってIDプロバイダー(IdP)にログインします。
      ※IDプロバイダー(IdP)にログインしている状態で「楽楽請求」にアクセスすると、自動でログインできます。
    3. 認証処理が行われ、「楽楽請求」にログインできます

  • ログアウト
    シングルサインオン有効時に「楽楽請求」からログアウトした場合は、「楽楽請求」とIdPのみがログアウトされます。
    IdPで連携している全てのサービスプロバイダから同時にログアウトされる「シングルサインアウト(シングルログアウト)」には対応しておりません。

補足

「IPアドレス制限オプション」(有料オプション)との違い

 

機能概要

目的

補足

IPアドレス制限オプション

許可したIPアドレス以外からの「楽楽請求」へのアクセスを制限します

セキュリティ向上

詳細はこちらをご確認ください。

シングルサインオン

IdPにログインすることで「楽楽請求」のID/パスワードの入力なしでシームレスにログイン可能とします。

利便性の向上/セキュリティ向上

一般的にシングルサインオンは情報漏えいのリスク軽減によるセキュリティ向上が期待できます。
ただし、このシングルサインオンに利用するID/パスワードが漏えいした場合の影響範囲は大きくなるため、ワンタイムパスワードは二段階認証などの対策も組み合わせて講じていただくことをおすすめします。

 

 

設定方法

「楽楽請求」の設定と、IDプロバイダー(IdP)の設定が必要となります。

「楽楽請求」の設定手順

  1. 「設定」タブ>「システム設定」>「セキュリティ設定」をクリック
    ※「システム設定」は管理者権限のみ操作できます。
  2. 「シングルサインオン設定」>「シングルサインオンの利用」を「利用する」を選択
  3. 「IDプロバイダーのログインURL」「IDプロバイダーのログアウトURL」「IDプロバイダーの証明書」を設定

1049_seihin_01_202160119

補足

後から証明書を更新する場合も、上記画面の「IDプロバイダーの証明書」から新しい証明書を選択してください。
アップロード後に「保存」をクリックしたタイミングで新証明書に切り替わります。

 

IDプロバイダー(IdP)の設定手順

IDプロバイダー(IdP)の設定方法や証明書出力方法などの詳細は、IDプロバイダー(IdP)のマニュアルや提供元にご確認ください。

  1. .IDプロバイダーへログイン
  2. 「楽楽請求」の「設定」タブ>「システム設定」>「セキュリティ設定」>「シングルサインオン設定」画面の「メタデータ」よりダウンロードしたファイルをインポートもしくは、手動でサービスプロバイダを登録

1049_seihin_02_202160119

補足

◇「楽楽請求」のエンドポイント

エンドポイント:https://{ドメイン}/{アカウント}/api/sso/redirect
エンティティID:https://{ドメイン}/{アカウント}/

(例)https://app.rakurakuseikyu.jp/○○○○○○aの場合
ドメイン:「app.rakurakuseikyu.jp」
アカウント:「○○○○○○a」

 

 IDプロバイダーと「楽楽請求」の関連付けの手順(初回ログイン)

以下の操作を行うことで、IdPのアカウントと「楽楽請求」のユーザー情報を連携させることができます。

  1. 「楽楽請求」へアクセスすると、自動的にIDプロバイダーのログイン画面へ遷移します。
  2. IDプロバイダーのIDとパスワードを入力して認証を行います。
  3. 「楽楽請求」での認証(初回のみ)後、 「楽楽請求」のログイン画面が表示されます。
    ここで「楽楽請求」のIDとパスワードを入力してください。
上記の手順が完了すると、自動的に以下の情報が更新され、次回以降はIDプロバイダーの認証のみでログインが可能になります。
  • 更新箇所
    「設定」タブ>「組織マスタ」>「社員設定」>該当の社員マスタの詳細」画面

  • 更新項目
    「IDプロバイダーのユーザ識別子(NameID)」に識別情報が自動で反映されます。
1049_seihin_03_20260119

IDプロバイダーと「楽楽請求」の関連付けの解除

誤って関連付けをおこなってしまった場合は、IDプロバイダーのユーザ識別子(NameID)を「クリア」することで IDプロバイダーと「楽楽請求」の関連付けが解除されます。

1049_seihin_04_20260119

エラー 

エラーが発生した場合、画面にエラーメッセージが表示されます。
エラーコード/メッセージを確認して、以下の対応を行ってください。

修正対象:「楽楽請求」

「楽楽請求」の設定修正が必要です。

エラーコード

エラーメッセージ

発生条件

対応方法

00001

シングルサインオンが「利用しない」に設定されています。

・シングルサイン設定でシングルサイン機能が有効化されていない。

管理者にて「設定」タブ>「システム設定」>「セキュリティ設定」の「シングルサインオン設定>シングルサインオンの利用」設定を実施ください。

00019

セッションの有効期限が切れました。
もう一度ログインしてください。

・タイムアウト
(60分)

・ログインを最初からやり直してください。

アカウントがロックされました。
管理者にお問い合わせください。

・該当社員のアカウントがロックされている

初回ログインの失敗から、24時間以内に連続5回失敗した場合は、ロックされます。
ロックから24時間経過もしくは、パスワード再設定にて解除可能です。

ログインに失敗しました。

・入力されたIDまたはパスワードの形式が不正
・該当員のパスワードが未設定
・入力されたIDまたはパスワードが間違っている

パスワードが不明な場合、パスワードの再設定を実施ください。

 

修正対象:IDプロバイダー(IdP)

IDプロバイダー(IdP)の修正が必要です。

エラーコード

エラーメッセージ

発生条件

対応方法

00002

IdPが送信したリクエストパラメータにSAMLResponseがありません。

・IdP側から送信されたリクエストパラメータにSAMLResponseが存在しない

・IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。
・プロキシサーバー等でリクエストパラメータが改ざんされていないか確認してください。

00003

SAMLResponseの◯◯要素が存在しない、または、形式が正しくありません。

・SAML応答の形式が不正

IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。

00004

SAMLResponseのバージョンが異なります。
SAML2.0に準拠している必要があります。

・SAML応答の形式が不正
(SAML 2.0以外のバージョンで応答)

IDプロバイダーのSAML応答設定が適切に設定されているかご確認ください。

00005

IdPでエラーが発生しました。
「◯◯(※IdPが返してきたエラーメッセージが表示されます。)」

・IdP側での認証に失敗

IDプロバイダーのエラー情報(ログファイルなど)を確認してください。

00006

SAMLResponseに対応するAuthnRequestがありません。
Response要素のInResponseTo属性が、AuthnRequestのIDと一致しません。

・Response要素のInResponseTo属性が存在しない、またはAuthnRequestのIDと一致しない
・別のセッションからSAMLResponseを不正利用した

・同じWebブラウザーの複数のタブで「楽楽請求」へのログインを行おうとした可能性があります。
タブを1つだけ開いた状態で「楽楽請求」にログインしてください。
・Webブラウザーのキャッシュが影響している可能性があります。
Webブラウザーを再起動するか、Webブラウザのキャッシュを削除して、「楽楽請求」にログインしてください。

00007

SAMLResponseの送信先が正しくありません。
Response要素のDestination属性が、サービスプロバイダーの受信URLと一致しません。

・IdPのACS URLの設定ミス

「楽楽請求」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。
「楽楽請求」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードしてサービスプロバイダーとして登録してください。

00009

SAMLResponseの有効期限が切れています。Conditions要素のNotBefore属性に有効期間外の日時が指定されています。

・IdPとSPのサーバー時刻のずれにより発生

IDプロバイダーと「楽楽請求」のシステム日時がずれている可能性があります。
IDプロバイダーのシステム日時を確認してください。

00010

SAMLResponseの有効期限が切れています。Conditions要素のNotOnOrAfter属性に有効期間外の日時が指定されています。

・IdPとSPのサーバー時刻のずれにより発生
タイムアウト

Dプロバイダーと「楽楽請求」のシステム日時がずれている可能性があります。
IDプロバイダーのシステム日時を確認してください。

00011

SAMLResponseのAudience要素が正しくありません。
Audience要素に記載されているURLをご確認ください。

・IdP側のSP Entity IDの設定ミス

「楽楽請求」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。
「楽楽請求」の「システム設定>セキュリティ設定>シングルサインオン設定」でダウンロードしたメタデータを、IDプロバイダーにアップロードして、サービスプロバイダーとして登録ください。

00012

SAMLResponseのSubjectConfirmation要素のmethod属性が正しくありません。

・IdP側のSubjectConfirmation Methodの設定ミス

IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。

00013

SAMLResponseの有効期限が切れています。
SubjectConfirmation
Data要素のNotOnOrAfter属性に有効期間外の日時が指定されています。

・IdPとSPのサーバー時刻のずれにより発生
・タイムアウト

Dプロバイダーと「楽楽請求」のシステム日時がずれている可能性があります。
IDプロバイダーのシステム日時を確認してください。

00014

SAMLResponseに対応するAuthnRequestがありません。

SubjectConfirmation
Data要素のInResponseTo属性が、AuthnRequestのIDと一致しません。

・タイムアウト(60分)
・別のセッションからSAMLResponseを不正利用

・同じWebブラウザーの複数のタブで「楽楽請求」へのログインを行おうとした可能性があります。
タブを1つだけ開いた状態で「楽楽請求」にログインしてください。

・Webブラウザーのキャッシュが影響している可能性があります。
Webブラウザーを再起動するか、Webブラウザのキャッシュを削除して、「楽楽請求」にログインしてください。

00015

SAMLResponseに対応するAuthnRequestがありません。
SubjectConfirmation
Data要素のRecipient属性が、AuthnRequestのAssertionConsumer
ServiceURLと一致しません。

・IdPのACS URLの設定ミス

「楽楽請求」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。
「楽楽請求」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードしてサービスプロバイダーとして登録してください。

 

修正対象:IDプロバイダー(IdP)および「楽楽請求」

IDプロバイダー(IdP)および「楽楽請求」の両方の修正が必要です。

エラーコード

エラーメッセージ

発生条件

対応方法

00008

SAMLResponseに署名が存在しない、または無効な署名です。

・証明書の設定ミス
・証明証の有効期限切れ

・IDプロバイダーがSAMLResponseに署名を付加していない可能性があります。
IDプロバイダーの設定を確認してください。
・IDプロバイダーの公開鍵の証明書が不正な可能性があります。
「楽楽請求」のシステム設定画面で正しい証明書を添付してください。
RSAかDSAのアルゴリズムで生成されたX.509形式の証明書が利用できます。

00017

SAMLResponse内のNameIDと一致するシングルサインオン認証済みIDの社員がすでに存在します。

・紐付けしようとしているNameIDがすでに別の社員と紐付けられている
(同時に操作した場合のみ発生する)

・既に紐付いている社員のSSO連携を解除するか、IDプロバイダー側のNameIDを変更してください。
・IDプロバイダーで送信するNameIDが社員と一意になるよう設定を確認してください。

00018

この社員はすでに別のIdPユーザーとSSOで紐付いています。

・紐付けしようとしている社員が既に別のNameIDと紐付けられている

・既に紐付いている社員のSSO連携を解除するか、IDプロバイダー側のNameIDを変更してください。
・IDプロバイダーで送信するNameIDが社員と一意になるよう設定を確認してください。

 

パスワード関連

シングルサインオンを有効にした場合

「社員マスタ」にユーザーを新規登録する際、「楽楽請求」のパスワードの設定は必須です。

 
シングルサインオンを有効から無効にした場合

シングルサインオンを有効から無効にした場合、「楽楽請求」のID・パスワードでログインする挙動に戻ります。
「楽楽請求」のパスワードをお忘れの場合は、パスワードを再設定ください。

パスワード再発行手順

  1. 「設定」タブ>「組織マスタ」>「社員設定」を開く
  2. 該当の社員のチェックボックスにチェックをいれ、「パスワード設定依頼」をクリック
    1049_seihin_05_202160119
  3. 該当の社員あてにパスワード設定のメールが届きます。
    メールに記載のURLよりパスワードを設定してください。
≪完了≫

「楽楽請求」のパスワードを変更したい場合

シングルサインオンの有効無効に関係なく、これまで通り「楽楽請求」のパスワードを変更することができます。

  • シングルサインオンが有効な場合は、「楽楽請求」のパスワード変更による影響はありません。

  • シングルサインオンを誤って設定してしまった場合は、
    「楽楽請求」のURLの末尾に「/ssooff」を追加してアクセスすることでシングルサインオン無しで直接「楽楽請求」にアクセス可能です。
    詳細はこちらをご確認ください。

(記事ID:1049)
「楽楽請求」カスタマーサクセス担当
「楽楽請求」カスタマーサクセス担当
「楽楽請求」のカスタマーサクセス担当です。
請求書処理の業務効率化に役立つ情報を発信してまいります!

「その他」の関連記事一覧

こちらの記事もあわせてご確認ください

他のカテゴリから探す