マニュアル

シングルサインオン 初期設定

作成者: 「楽楽請求」カスタマーサクセス担当|2026.02.18

 

概要

シングルサインオンとは

IDプロバイダー(IdP)と「楽楽請求」をSAML認証で連携することによって、シングルサインオンができるようになります。

  • 前提
    「楽楽請求」はSAML2.0に対応し、Service Provider(SP)として動作します。
     
  • 条件
    「楽楽請求」をSPとしてSAML認証で連携するには、SAML2.0に対応したIDプロバイダー(IdP)が必要です。

シングルサインオンとは

「シングルサインオン」とは、一度の認証処理で、複数のサービスにログイン可能になる機能です。
認証システムである「IDプロバイダー(IdP)」にログインしている状態であれば、「楽楽請求」にID/パスワードを入力することなく、ログインが可能です。

イメージ図

  • ログイン
    1. 「楽楽請求」のログイン画面へアクセスします。
    2. 「IDプロバイダー(IdP)」にログインしていない場合、表示される画面指示にしたがってIDプロバイダー(IdP)にログインします。
      ※IDプロバイダー(IdP)にログインしている状態で「楽楽請求」にアクセスすると、自動でログインできます。
    3. 認証処理が行われ、「楽楽請求」にログインできます

  • ログアウト
    シングルサインオン有効時に「楽楽請求」からログアウトした場合は、「楽楽請求」とIdPのみがログアウトされます。
    IdPで連携している全てのサービスプロバイダから同時にログアウトされる「シングルサインアウト(シングルログアウト)」には対応しておりません。

 

設定方法

「楽楽請求」の設定と、IDプロバイダー(IdP)の設定が必要となります。

「楽楽請求」の設定手順

  1. 「設定」タブ>「システム設定」>「セキュリティ設定」をクリック
    ※「システム設定」は管理者権限のみ操作できます。
  2. 「シングルサインオン設定」>「シングルサインオンの利用」を「利用する」を選択
  3. 「IDプロバイダーのログインURL」「IDプロバイダーのログアウトURL」「IDプロバイダーの証明書」を設定

 

IDプロバイダー(IdP)の設定手順

IDプロバイダー(IdP)の設定方法や証明書出力方法などの詳細は、IDプロバイダー(IdP)のマニュアルや提供元にご確認ください。

  1. .IDプロバイダーへログイン
  2. 「楽楽請求」の「設定」タブ>「システム設定」>「セキュリティ設定」>「シングルサインオン設定」画面の「メタデータ」よりダウンロードしたファイルをインポートもしくは、手動でサービスプロバイダを登録

 

 IDプロバイダーと「楽楽請求」の関連付けの手順(初回ログイン)

以下の操作を行うことで、IdPのアカウントと「楽楽請求」のユーザー情報を連携させることができます。

  1. 「楽楽請求」へアクセスすると、自動的にIDプロバイダーのログイン画面へ遷移します。
  2. IDプロバイダーのIDとパスワードを入力して認証を行います。
  3. 「楽楽請求」での認証(初回のみ)後、 「楽楽請求」のログイン画面が表示されます。
    ここで「楽楽請求」のIDとパスワードを入力してください。
上記の手順が完了すると、自動的に以下の情報が更新され、次回以降はIDプロバイダーの認証のみでログインが可能になります。
  • 更新箇所
    「設定」タブ>「組織マスタ」>「社員設定」>該当の社員マスタの詳細」画面

  • 更新項目
    「IDプロバイダーのユーザ識別子(NameID)」に識別情報が自動で反映されます。

IDプロバイダーと「楽楽請求」の関連付けの解除

誤って関連付けをおこなってしまった場合は、IDプロバイダーのユーザ識別子(NameID)を「クリア」することで IDプロバイダーと「楽楽請求」の関連付けが解除されます。

エラー 

エラーが発生した場合、画面にエラーメッセージが表示されます。
エラーコード/メッセージを確認して、以下の対応を行ってください。

修正対象:「楽楽請求」

「楽楽請求」の設定修正が必要です。

エラーコード

エラーメッセージ

発生条件

対応方法

00001

シングルサインオンが「利用しない」に設定されています。

・シングルサイン設定でシングルサイン機能が有効化されていない。

管理者にて「設定」タブ>「システム設定」>「セキュリティ設定」の「シングルサインオン設定>シングルサインオンの利用」設定を実施ください。

00019

セッションの有効期限が切れました。
もう一度ログインしてください。

・タイムアウト
(60分)

・ログインを最初からやり直してください。

アカウントがロックされました。
管理者にお問い合わせください。

・該当社員のアカウントがロックされている

初回ログインの失敗から、24時間以内に連続5回失敗した場合は、ロックされます。
ロックから24時間経過もしくは、パスワード再設定にて解除可能です。

ログインに失敗しました。

・入力されたIDまたはパスワードの形式が不正
・該当員のパスワードが未設定
・入力されたIDまたはパスワードが間違っている

パスワードが不明な場合、パスワードの再設定を実施ください。

 

修正対象:IDプロバイダー(IdP)

IDプロバイダー(IdP)の修正が必要です。

エラーコード

エラーメッセージ

発生条件

対応方法

00002

IdPが送信したリクエストパラメータにSAMLResponseがありません。

・IdP側から送信されたリクエストパラメータにSAMLResponseが存在しない

・IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。
・プロキシサーバー等でリクエストパラメータが改ざんされていないか確認してください。

00003

SAMLResponseの◯◯要素が存在しない、または、形式が正しくありません。

・SAML応答の形式が不正

IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。

00004

SAMLResponseのバージョンが異なります。
SAML2.0に準拠している必要があります。

・SAML応答の形式が不正
(SAML 2.0以外のバージョンで応答)

IDプロバイダーのSAML応答設定が適切に設定されているかご確認ください。

00005

IdPでエラーが発生しました。
「◯◯(※IdPが返してきたエラーメッセージが表示されます。)」

・IdP側での認証に失敗

IDプロバイダーのエラー情報(ログファイルなど)を確認してください。

00006

SAMLResponseに対応するAuthnRequestがありません。
Response要素のInResponseTo属性が、AuthnRequestのIDと一致しません。

・Response要素のInResponseTo属性が存在しない、またはAuthnRequestのIDと一致しない
・別のセッションからSAMLResponseを不正利用した

・同じWebブラウザーの複数のタブで「楽楽請求」へのログインを行おうとした可能性があります。
タブを1つだけ開いた状態で「楽楽請求」にログインしてください。
・Webブラウザーのキャッシュが影響している可能性があります。
Webブラウザーを再起動するか、Webブラウザのキャッシュを削除して、「楽楽請求」にログインしてください。

00007

SAMLResponseの送信先が正しくありません。
Response要素のDestination属性が、サービスプロバイダーの受信URLと一致しません。

・IdPのACS URLの設定ミス

「楽楽請求」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。
「楽楽請求」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードしてサービスプロバイダーとして登録してください。

00009

SAMLResponseの有効期限が切れています。Conditions要素のNotBefore属性に有効期間外の日時が指定されています。

・IdPとSPのサーバー時刻のずれにより発生

IDプロバイダーと「楽楽請求」のシステム日時がずれている可能性があります。
IDプロバイダーのシステム日時を確認してください。

00010

SAMLResponseの有効期限が切れています。Conditions要素のNotOnOrAfter属性に有効期間外の日時が指定されています。

・IdPとSPのサーバー時刻のずれにより発生
タイムアウト

Dプロバイダーと「楽楽請求」のシステム日時がずれている可能性があります。
IDプロバイダーのシステム日時を確認してください。

00011

SAMLResponseのAudience要素が正しくありません。
Audience要素に記載されているURLをご確認ください。

・IdP側のSP Entity IDの設定ミス

「楽楽請求」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。
「楽楽請求」の「システム設定>セキュリティ設定>シングルサインオン設定」でダウンロードしたメタデータを、IDプロバイダーにアップロードして、サービスプロバイダーとして登録ください。

00012

SAMLResponseのSubjectConfirmation要素のmethod属性が正しくありません。

・IdP側のSubjectConfirmation Methodの設定ミス

IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。

00013

SAMLResponseの有効期限が切れています。
SubjectConfirmation
Data要素のNotOnOrAfter属性に有効期間外の日時が指定されています。

・IdPとSPのサーバー時刻のずれにより発生
・タイムアウト

Dプロバイダーと「楽楽請求」のシステム日時がずれている可能性があります。
IDプロバイダーのシステム日時を確認してください。

00014

SAMLResponseに対応するAuthnRequestがありません。

SubjectConfirmation
Data要素のInResponseTo属性が、AuthnRequestのIDと一致しません。

・タイムアウト(60分)
・別のセッションからSAMLResponseを不正利用

・同じWebブラウザーの複数のタブで「楽楽請求」へのログインを行おうとした可能性があります。
タブを1つだけ開いた状態で「楽楽請求」にログインしてください。

・Webブラウザーのキャッシュが影響している可能性があります。
Webブラウザーを再起動するか、Webブラウザのキャッシュを削除して、「楽楽請求」にログインしてください。

00015

SAMLResponseに対応するAuthnRequestがありません。
SubjectConfirmation
Data要素のRecipient属性が、AuthnRequestのAssertionConsumer
ServiceURLと一致しません。

・IdPのACS URLの設定ミス

「楽楽請求」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。
「楽楽請求」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードしてサービスプロバイダーとして登録してください。

 

修正対象:IDプロバイダー(IdP)および「楽楽請求」

IDプロバイダー(IdP)および「楽楽請求」の両方の修正が必要です。

エラーコード

エラーメッセージ

発生条件

対応方法

00008

SAMLResponseに署名が存在しない、または無効な署名です。

・証明書の設定ミス
・証明証の有効期限切れ

・IDプロバイダーがSAMLResponseに署名を付加していない可能性があります。
IDプロバイダーの設定を確認してください。
・IDプロバイダーの公開鍵の証明書が不正な可能性があります。
「楽楽請求」のシステム設定画面で正しい証明書を添付してください。
RSAかDSAのアルゴリズムで生成されたX.509形式の証明書が利用できます。

00017

SAMLResponse内のNameIDと一致するシングルサインオン認証済みIDの社員がすでに存在します。

・紐付けしようとしているNameIDがすでに別の社員と紐付けられている
(同時に操作した場合のみ発生する)

・既に紐付いている社員のSSO連携を解除するか、IDプロバイダー側のNameIDを変更してください。
・IDプロバイダーで送信するNameIDが社員と一意になるよう設定を確認してください。

00018

この社員はすでに別のIdPユーザーとSSOで紐付いています。

・紐付けしようとしている社員が既に別のNameIDと紐付けられている

・既に紐付いている社員のSSO連携を解除するか、IDプロバイダー側のNameIDを変更してください。
・IDプロバイダーで送信するNameIDが社員と一意になるよう設定を確認してください。

 

パスワード関連

シングルサインオンを有効にした場合

「社員マスタ」にユーザーを新規登録する際、「楽楽請求」のパスワードの設定は必須です。

 
シングルサインオンを有効から無効にした場合

シングルサインオンを有効から無効にした場合、「楽楽請求」のID・パスワードでログインする挙動に戻ります。
「楽楽請求」のパスワードをお忘れの場合は、パスワードを再設定ください。

パスワード再発行手順

  1. 「設定」タブ>「組織マスタ」>「社員設定」を開く
  2. 該当の社員のチェックボックスにチェックをいれ、「パスワード設定依頼」をクリック
  3. 該当の社員あてにパスワード設定のメールが届きます。
    メールに記載のURLよりパスワードを設定してください。
≪完了≫

「楽楽請求」のパスワードを変更したい場合

シングルサインオンの有効無効に関係なく、これまで通り「楽楽請求」のパスワードを変更することができます。

  • シングルサインオンが有効な場合は、「楽楽請求」のパスワード変更による影響はありません。

  • シングルサインオンを誤って設定してしまった場合は、
    「楽楽請求」のURLの末尾に「/ssooff」を追加してアクセスすることでシングルサインオン無しで直接「楽楽請求」にアクセス可能です。
    詳細はこちらをご確認ください。

(記事ID:1049)
完全な記事を表示