SSO設定手順|AzureAD編

SSO設定手順|AzureAD編

1. はじめに

1.1. 目的

BizForecast Standard SSO設定手順書AzureAD編(以下、本書と表記)は、BizForecast Standardでシングルサインオン(以下、SSOと表記)を利用する場合に、BizForecast側で設定する必要のある項目をまとめたものです。

1.2. 前提

本書は、SSOのIDプロバイダー(以下、IdPと表記)環境が整備されていることを前提としています。
また、本書ではMicrosoft Azure Active Directory (以下、AzureADと表記)のIdPについての手順を記載しています。

2. SSOをご利用いただくまでの流れ

2.1. 設定の入力フロー

BizForecastでSSOを利用して実際にログインするまでの流れを示します。


3. IdP初期設定

IdPの初期設定を行います。

3.1. テナントの作成

アプリケーションを配置するためのテナントが無い場合には作成します。
既に作成済みのテナントがある場合にはスキップします。

1) 「リソースの作成」を選択します。


2)“Azure Active Directory”で検索します。


3)「作成」を選択します。


4)任意の組織名、初期ドメイン名を入力した後、「作成」ボタンで作成します。


5)作成が完了すると、新しいテナントへ移動することができます。


3.2. アプリケーションの作成

テナントに配置するアプリケーションを作成します。

1)「エンタープライズアプリケーション」を選択します。
※見つからない場合は、”エンタープライズアプリケーション”で検索をかけます。


2)「新しいアプリケーション」を選択します。


3)「独自のアプリケーションの作成」を選択します。
 

4)アプリ名を"BizForecast"に設定します。
「ギャラリーに見つからないその他のアプリケーションを統合します」を選択します。
「作成」ボタンで作成します。


5)作成が完了すると、BizForecastのアプリケーションが配置されます。


4. IdPの設定

1)作成したアプリケーションの概要より、「シングルサインオンの設定」を選択します。


2)「SAML」を選択します。


4.1. SP Federation Metadataの設定

1)「基本的なSAML構成」の「編集」を選択します。


2)各項目を入力し、「保存」ボタンで保存します。


設定項目

説明

識別子 (エンティティ ID)

入力値を任意で決定する項目となりBizForecast側での指定はございません。

この項目はIdP内で一意になるよう設定する必要があります。

本書では下記の「応答URL」と同一の値を設定しています。

応答 URL (Assertion Consumer Service URL)

IdPからのリダイレクト先を設定します。BizForecastの場合は以下のように設定します。

https://standard.bizforecast.net/お客様環境名/bfweb/Login/LoginReceive

「お客様環境名」については、BizForecast Standard のお客様サブディレクトリ名 となります。

4.2. IdP Federation Metadataの取得

1)「フェデレーションメタデータXML」をダウンロードします。


5. IdP Federation Metadataの読み込み

取得したIdP Federation Metadataを使用して、IdPとBizForecastを連携します。

5.1. BizForecastの設定

BizForecast上で入力する必要のあるSSOの設定項目について以下に示します。

1)システム設定 > シングルサインオン設定 より設定項目の入力を行います。
シングルサインオンを使用するチェックボックスを有効にします。
エンティティIDの初期値には urn:bizforecastが入力されています。


2)「Federation Metadataの読み込み」を選択し、4.2で取得したIdP Federation Metadataを読み込むと、以下の項目がセットされます。


設定項目

説明

Issuer

サービスを一意に特定する文字列を設定する必要があります。

本書ではAzureAD側から指定された値を設定します。

SSO URL

SSOするときに呼び出されるURLとなります。

SSO サインアウトURL

BizForecastからログアウトしたときに呼び出されるURLとなります。

これを設定しておくと、次回BizForecastにログインする際にサインインを求められるようになります。

未入力の場合、次回ログイン時もサインイン情報が残っていれば、そのままログインが可能となります。

本書では未入力とします。

証明書

IdPから送信されるSAML Responseのデジタル署名を検証するための証明書です。

IdP Federation Metadataの読み込みが完了して、項目に値がセットされた後、保存ボタンを押下して保存してください。

6. SSO設定

BizForecast側のSSO設定を行います。
1)BizForecast側の設定を、以下の通り行います。


設定項目

説明

エンティティID

この項目はIdP内で一意になるよう設定する必要があります。

4.1で入力した識別子と同一の値を設定してください。

ログインリダイレクトURL

4.1で入力した応答URLと同一の値を設定してください。

ログアウトリダイレクトURL

ログアウト処理後にリダイレクトする先を設定します。BizForecastでは、ログインリダイレクトURLと同一のURLを指定します。

項目を入力し、保存ボタンを押下します。 

7. ユーザーを追加

設定が完了したら、IdP側に認証用のユーザーを追加していきます。

7.1. テナントにユーザーを追加

作成したテナントにユーザーを追加します。
テナントの作成者は最初から登録されています。

1)「ユーザー」を選択します。
※見つからない場合は、”ユーザー”で検索をかけます。


2)ユーザーを新規に作成する場合は「新しいユーザー」を選択します。
既存のユーザーを追加する場合は「新しいゲストユーザー」から招待します。


ユーザーの作成を行う場合、メールアドレスのドメインはAzureADから提示されたものになります。


既存のユーザーを追加する場合、追加したユーザーに招待メールが送られます。


7.2. テナントに追加したユーザーをアプリケーションに適用

テナントに追加したユーザーは、作成したアプリケーションではまだ認証されていません。

1)「エンタープライズアプリケーション」からBizForecastを選択し、「ユーザーとグループ」を選択します。


2)「ユーザーまたはグループの追加を選択」を選択します。


3)一覧から追加したいユーザーを選択します。



7.3. 「ユーザー情報とクレーム」で認証方法を変更する

※本項はBizForecastのログインIDをメールアドレスで管理すると仮定した場合の設定方法となります。

BizForecastのログインIDに入力可能な文字数は30文字までのため、メールアドレスをそのままログインIDに登録しようとすると、文字数が超過してしまう恐れがあります。

ここでは、AzureADのアカウントのメールアドレスが xxx@sample.com のときに、BizForecastでログインIDを xxx と設定する方法を解説します。

1)「ユーザー情報とクレーム」の「編集」を選択します。


2)「一意のユーザー識別子」を選択します。


3)「ソースの変換」を選択します。


4)ドロップダウンリストから以下のように設定し「追加」ボタンを押します。
変換:ExtractMailPrefix()
パラメーター:user.userprincipalname


5)「保存」を選択します。


8. BizForecastにユーザーを追加

IdPに存在するユーザーをBizForecastにも反映させます。

8.1. ユーザー情報の設定

既存ユーザーをSSOでログイン可能にする方法を以下に示します。
※新規にユーザーを追加する手順は、BizForecast Standardの基本マニュアルをご参照ください。
SSO使用を有効にしたユーザーはBizForecast認証(通常のID・パスワード認証)をご利用いただくことができません。

共通マスタ > ユーザー設定 からユーザーの設定を行います。


既存ユーザーの設定変更


既存のユーザーを使用してSSOログインを行う場合、SSO使用のチェックボックスを有効にしていただくことで、該当ユーザーでのSSOログインが可能となります。
※ログインIDはIdPに登録されているユーザーIDと一致する必要がございます。

9. 起動

9.1. BizForecastからのログイン

SSO利用時のBizForecastからのログイン方法について、以下に示します。

1)認証先をBizForecast認証からシングルサインオンに変更します。
シングルサインオン設定画面にて「初回起動時に自動ログイン」を使用するにした場合、次手順のIdP側サインイン画面が直接表示されるため変更する必要はありません。


2)認証先をシングルサインオンにした状態でログインボタンを押下します。
サインイン画面へ遷移するため、IdPで管理しているユーザーにてログインを実施してください。




10. 困った時には

10.1. MFAの設定について

AzureADでテナントを作成すると、ログイン時にMFA認証(多要素認証)の設定を促されるようになります。
これは、AzureADを使用しているすべてのアカウントが対象となっています。


この設定を変更したい場合は、下記の手順に従ってセキュリティ設定を変更します。
※この設定を変更するとセキュリティリスクが高くなるため、推奨いたしません。

1)“テナントのプロパティ”を検索します。


2)「セキュリティの規定値群の管理」を選択後、セキュリティの規定値群の有効化を「いいえ」に設定します。






    • Related Articles

    • シングルサインオン設定

      シングルサインオンを実施するための設定を行う機能です。 システム設定 >> シングルサインオン設定 具体的な設定手順については、下記(いずれかの)リンク先の記事をご参照ください。 1. SSO設定手順|AzureAD編

    • ログイン画面

      BizForecastのログイン方法は以下の通りとなります。 ① ご契約時にご案内した貴社専用URLよりBizForecast BC Standard にアクセスします   (※ グローバルIPアドレスによるフィルタリング設定をしている場合は、許可されたグローバルIPアドレスからのみアクセス可能です) ② ログインID パスワードを入力し、ログインボタンをクリックします。 ※ ...

    • ユーザー設定

      ユーザー設定では、BizForecastにログインしてデータの入力や承認を行うユーザの登録や各種設定を行います。 共通マスタ >> ユーザー設定 1. 画面説明 【1】ログインID ユーザーがログインする際に使用するIDを登録します。 【2】氏名 ユーザーの氏名を登録します。 【3】権限 ユーザーのBizForecast内の権限を設定します。権限は以下の通りです。 権限 機能制限 一般 データの入力、確認だけを行う 管理者 各マスタの登録や様々な設定を行う 【4】メールアドレス ...

    • パスワードポリシー設定

      ユーザ企業様固有のパスワードポリシーを設定いただくことが可能です。 システム管理 >> パスワードポリシー設定 パスワードポリシーに関する下記5つのパラメータを指定することができます。 ① パスワード最小文字数 ② パスワード最大文字数 ③ 以前のパスワードを禁止するパスワード履歴数 ④ ログインの最大試行回数 ⑤ パスワードの有効期限日数 ⑥ パスワードの複雑性  (ア) 大文字と小文字を含める  (イ) 数字を含める  (ウ) 記号を含める(※使用可能な記号「! " # $ % & ' ( ...

    • freee会計|実績データインポート

      1. freee|アプリ連携の開始(認証|許可) [予実管理・着地見込][実績データインポート]画面で、[外部システムからインポート]タブをクリックします。 「認証サイトを開く」ボタンを押下すると、freeeのログイン認証画面に遷移します。 お客様のfreeeアカウントでfreee会計にログインしてください 「アプリ連携の開始」という画面が表示されますので「許可する」ボタンを押下すると認証が完了し、データ連携が実行できるようになります。 2. インポート実行 ...