Spotnana シングルサインオン（SSO）をお使いのIDプロバイダーで設定する方法

目次

• Spotnana シングルサインオン（SSO）をお使いのIDプロバイダーで設定する方法
  • はじめに
  • 事前準備
    • SAML
    • OpenID Connect
    • Google 標準
  • Spotnana オンライン予約ツールでの設定手順
    • SAML
    • OpenID Connect
    • Google 標準
  • 接続テスト 
    • トラブルシューティング
  • 注意事項
    • SAML
    • OpenID Connect

はじめに

このガイドでは、Spotnanaをお使いのIDプロバイダー（IdP）と連携させて、シングルサインオン（SSO）を利用できるようにする設定方法をご案内します。設定が完了すると、ユーザーはSpotnana専用のIDやパスワードを入力せず、SSOでSpotnanaにアクセスできるようになります。SSOを利用するためには、いくつかの手順を一度だけ実施していただく必要があります。手順は以下の3つのセクションに分かれています。

• 事前準備 - IdP側で事前に取得しておくべき情報についてご案内します。SAML、OpenID Connect、Google標準（Googleのみ対応）それぞれの項目ごとに説明があります。

• Spotnana オンライン予約ツール（OBT）での設定手順 - SpotnanaとIdPの接続設定方法についてご案内します。SAML、OpenID Connect、Google標準（Googleのみ対応）それぞれの項目ごとに説明があります。

• 接続テスト - SpotnanaとIdPの接続が正しく設定できているか確認するテスト方法についてご案内します。

事前準備

SAML

メタデータは、XMLドキュメントからテキストとして取得するか、メタデータファイルが公開されているURLのいずれかでご用意いただきます。 設定を始める前に、これらの情報を準備しておいてください。 

• もし メタデータXMLを利用する場合は、 SAML XMLメタデータ と SAMLメール属性 を、OBTの設定画面（「 会社情報の入力 」画面）でご入力いただきます。. メール属性には、ユーザーのメールアドレスが入るようにしてください。

• もし メタデータドキュメントのURLを利用する場合は、 エンドポイントURL （メタデータドキュメントが公開されているURL）と SAMLメール属性 を、OBTの設定画面（「 会社情報の入力 」画面）でご入力いただきます。このメール属性も、ユーザーのメールアドレスに対応している必要があります。

OpenID Connect

Spotnanaに以下の情報をご用意ください。

• クライアントID：IdPで発行されたアカウントの公開識別子です。

• クライアントシークレット：IdPのみが知っているアカウント専用の秘密鍵で、ユーザー認証に使われます。

• 属性リクエスト方法（GETまたはPOST）：ユーザー情報を取得する際のHTTPメソッドです。

• Issuer URL：認証リクエストを受け付けるためのURLです。

• OpenID Connectメール属性：ユーザー個人を識別する属性で、ユーザーのメールアドレスに対応している必要があります。

Google 標準

この設定方法では、事前準備は特に必要ありません。

Spotnana オンライン予約ツールでの設定手順

SAML

SSO接続の設定を始めるには、まずOBTにログインし、 会社 を プログラム メニューから選択し、左側の 設定 メニューを展開して 連携を選択します。その後、 SSO タブを開き、 接続 を SAML の隣でクリックしてください。 

1. 「 IdPでのSAML設定 」画面が表示されます。この画面には、 ACS/Reply URL と Entity IDが表示され、これらを使ってIdP側の設定ができます。各値の横にあるコピーアイコンで値をコピーし、IdPの該当フィールドに貼り付けてください。IdP側で保存が完了したら、 次へ をクリックします。「 SAMLソースの選択 」画面が表示されます。  

2. SAMLメタデータドキュメントの取得方法を選択してください。 メタデータXML または メタデータドキュメントのエンドポイントURLを選択できます。 

   1. 「 メタデータXML」を選んだ場合：

      • IdPから取得したXMLデータの入力を求められますので、コピー＆ペーストしてください。

        • ご注意： XML内に以下の内容が含まれていることを確認してください。

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          XMLを直接編集できない場合は、IdP側で IDPリダイレクトURL必須の設定が有効になっているかご確認ください。

      • 「 SAMLメール属性 」を入力し、 接続をクリックしてください。 

   2. 「 メタデータドキュメントのエンドポイントURL」を選んだ場合：

      • メタデータドキュメントが公開されているURLを エンドポイントURL 欄に入力してください。

      • 「 SAMLメール属性 」も該当欄に入力してください。

3. 完了したら 接続 をクリックします。

OpenID Connect

SSO接続の設定を始めるには、まずOBTにログインし、 会社 を プログラム メニューから選択し、左側の 設定 メニューを展開して 連携を選択します。その後、 SSO タブを開き、 接続 を OpenID Connect の隣でクリックしてください。 

1. 以下の各項目に値を入力してください。

   • 属性リクエスト方法 （GET または POST）

   • クライアントID

   • クライアントシークレット

   • Issuer URL

   • OpenID Connect メール属性 

2. 入力が終わったら 接続 をクリックしてください。

Google 標準

SSO接続の設定を始めるには、まずOBTにログインし、 会社 を プログラム メニューから選択し、左側の 設定 メニューを展開して 連携を選択します。その後、 SSO タブを開き、 接続 を Google 標準 の隣でクリックしてください。

接続テスト 

SpotnanaとIdPの接続設定が完了したら、ご自身や他のユーザーでSSOが正しく動作するかテストしてください。テストでは、次の操作を行います。 

1. Spotnanaからログアウトします。

2. ログインページにアクセスします。

3. SSOログインオプションを選択すると、IdPのログイン画面にリダイレクトされます。

4. IdPのユーザーIDとパスワードを入力すると、Spotnanaに自動で戻り、ログインが完了します。

ご注意： もしSSOリダイレクトが正常に動作しない場合でも、SpotnanaのユーザーIDとパスワードでログインすることは可能です。

Spotnana側でSSO接続設定を変更した場合は、このテスト手順が再度必要になります。 

トラブルシューティング

会社の全ユーザーでテスト時に問題が発生した場合は、以下をお試しください。

• Spotnanaに入力した接続情報に誤りがないか、すべて正しく入力されているかご確認ください。

• IdP（アイデンティティプロバイダー）側の設定が正しく、システムにアクセスできる状態かご確認ください。

一部のユーザーのみ問題が発生している場合は、そのユーザーがSpotnanaまたはIdP、もしくは両方にまだ登録されていない可能性があります。

注意事項

SAML

• 識別子について： マルチテナントアプリでユーザーをIdPにリダイレクトするための識別子には対応していません。

• 自動サインアウトについて： IdPからログアウトした際、Spotnanaからも自動でログアウトされます。

• IdP起点のSAMLサインインについて： 業界標準に従い、SP起点のSAMLアサーションのみ対応しています。

• SAML署名と暗号化について： SAMLリクエストの署名や、暗号化されたSAMLアサーションには対応していません。

OpenID Connect

• 識別子について： マルチテナントアプリでユーザーをIdPにリダイレクトするための識別子には対応していません。

• OpenID Connectエンドポイントの取得について： Issuer URLによる自動入力のみ対応 しており、 手動入力 はできません。 自動入力される項目は、authorization endpoint、token endpoint、userinfo endpoint、jwks_uriです。. We autofill the following: authorization endpoint, token endpoint, userinfo endpoint, and jwks_uri.