※本記事は、「楽楽請求(楽楽精算連携プラン)」をご利用中のお客様向けの内容です。
「楽楽精算」の記事を見たい方は、「楽楽精算サクセスナビ」をご確認ください。
IDプロバイダー(IdP)と「楽楽請求(楽楽精算連携プラン)」をSAML認証で連携することによって、シングルサインオンができるようになります。
前提
「楽楽請求(楽楽精算連携プラン)」はSAML2.0に対応し、Service Provider(SP)として動作します。
条件
「楽楽請求(楽楽精算連携プラン)」をSPとしてSAML認証で連携するには、SAML2.0に対応したIDプロバイダー(IdP)が必要です。
「シングルサインオン」とは、一度の認証処理で、複数のサービスにログイン可能になる機能です。
認証システムである「IDプロバイダー(IdP)」にログインしている状態であれば、「楽楽請求(楽楽精算連携プラン)」にID/パスワードを入力することなく、ログインできます。
「楽楽請求(楽楽精算連携プラン)」のログイン画面へアクセスします。
「IDプロバイダー(IdP)」にログインしていない場合、表示される画面指示にしたがって「IDプロバイダー(IdP)」にログインします。
※「IDプロバイダー(IdP)」にログインしている状態で「楽楽請求(楽楽精算連携プラン)」にアクセスすると、自動でログインできます。
認証処理が行われ、「楽楽請求(楽楽精算連携プラン)」にログインできます。
≪完了≫
シングルサインオン有効時に「楽楽請求(楽楽精算連携プラン)」からログアウトした場合は、「楽楽請求(楽楽精算連携プラン)」とIdPのみがログアウトされます。
※IdPで連携している全てのサービスプロバイダから同時にログアウトされる「シングルサインアウト(シングルログアウト)」には対応しておりません。
「楽楽請求(楽楽精算連携プラン)」の設定と、IDプロバイダー(IdP)の設定が必要となります。
「設定」タブ>「システム設定」>「セキュリティ設定」をクリック
※「システム設定」は管理者権限のみ操作できます。
「シングルサインオン設定」>「シングルサインオンの利用」で「利用する」を選択
「IDプロバイダーのログインURL」「IDプロバイダーのログアウトURL」「IDプロバイダーの証明書」を設定
≪完了≫
詳しくはIDプロバイダー(IdP)の設定方法や証明書出力方法などは、IDプロバイダー(IdP)のマニュアルや提供元にご確認ください。
IDプロバイダーへログイン
「楽楽請求(楽楽精算連携プラン)」の「設定」タブ>「システム設定」>「セキュリティ設定」>「シングルサインオン設定」画面の「メタデータ」よりダウンロードしたファイルをインポートもしくは、手動でサービスプロバイダを登録
≪完了≫
以下の操作を行うことで、IdPのアカウントと「楽楽請求(楽楽精算連携プラン)」のユーザー情報を連携させることができます。
「楽楽請求(楽楽精算連携プラン)」へアクセスすると、自動的にIDプロバイダーのログイン画面へ遷移します。
IDプロバイダーのIDとパスワードを入力して認証を行います。
(初回のみ)IDプロダイバーの認証後、「楽楽請求(楽楽精算連携プラン)」のログイン画面が表示されます。
ここで「楽楽請求(楽楽精算連携プラン)」のIDとパスワードを入力してください。
≪完了≫
上記の手順が完了すると、自動的に以下の情報が更新され、次回以降はIDプロバイダーの認証のみでログインができるようになります。
更新箇所:「設定」タブ>「組織マスタ」>「社員設定」>該当の社員マスタの詳細画面
更新項目:「IDプロバイダーのユーザー識別子(NameID)」に識別情報が自動で反映されます。
誤って関連付けを行ってしまった場合は、IDプロバイダーのユーザー識別子(NameID)を「クリア」することでIDプロバイダーと「楽楽請求(楽楽精算連携プラン)」の関連付けが解除されます。
エラーが発生した場合、画面にエラーメッセージが表示されます。
エラーコード/メッセージを確認して、下記の対応を行ってください。
「楽楽請求(楽楽精算連携プラン)」の設定修正が必要です。
| エラーコード | エラーメッセージ | 発生条件 | 対応方法 |
| 00001 | シングルサインオンが「利用しない」に設定されています。 | ・シングルサインオン設定でシングルサイン機能が有効化されていない | 管理者にて「設定」タブ>「システム設定」>「セキュリティ設定」の「シングルサインオン設定」>「シングルサインオンの利用」設定を実施ください。 |
| 00019 | セッションの有効期限が切れました。 もう一度ログインしてください。 |
・タイムアウト(60分) | ログインを最初からやり直してください。 |
| ー | アカウントがロックされました。管理者にお問い合わせください。 | ・該当社員のアカウントがロックされている | 初回ログインの失敗から、24時間以内に連続5回失敗した場合は、ロックされます。 ロックから24時間経過もしくは、パスワード再設定にて解除できます。 |
| ー | ログインに失敗しました。 | ・入力されたIDまたはパスワードの形式が不正 ・該当社員のパスワードが未設定 ・入力されたIDまたはパスワードが間違っている |
パスワードが不明な場合、パスワードの再設定を実施ください。 |
| エラー コード |
エラーメッセージ | 発生条件 | 対応方法 |
| 00002 | IdPが送信したリクエストパラメータにSAMLResponseがありません。 | ・IdP側から送信されたリクエストパラメータにSAMLResponseが存在しない | ・IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。 ・プロキシサーバーなどでリクエストパラメータが改ざんされていないか確認してください。 |
| 00003 | SAMLResponseの◯◯要素が存在しない、または、形式が正しくありません。 | ・SAML応答の形式が不正 | IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。 |
| 00004 | SAMLResponseのバージョンが異なります。 SAML2.0に準拠している必要があります。 |
・SAML応答の形式が不正 (SAML 2.0以外のバージョンで応答) |
IDプロバイダーのSAML応答設定が適切に設定されているかご確認ください。 |
| 00005 | IdPでエラーが発生しました。 「◯◯(※IdPが返してきたエラーメッセージが表示されます。)」 |
・IdP側での認証に失敗 | IDプロバイダーのSAML応答設定が適切に設定されているかご確認ください。 |
| 00006 | SAMLResponseに対応するAuthnRequestがありません。 Response要素のInResponseTo属性が、AuthnRequestのIDと一致しません。 |
・タイムアウト (60分) ・別のセッションからSAMLResponseを不正利用 |
・同じWEBブラウザーの複数のタブで「楽楽請求(楽楽精算連携プラン)」へのログインを行おうとした可能性があります。タブを1つだけ開いた状態で「楽楽請求(楽楽精算連携プラン)」にログインしてください。 ・WEBブラウザーのキャッシュが影響している可能性があります。WEBブラウザーを再起動するか、WEBブラウザのキャッシュを削除して、「楽楽請求(楽楽精算連携プラン)」にログインしてください。 |
| 00007 | SAMLResponseの送信先が正しくありません。 Response要素のDestination属性が、サービスプロバイダーの受信URLと一致しません。 |
・IdPのACS URLの設定ミス | 「楽楽請求(楽楽精算連携プラン)」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。 「楽楽請求(楽楽精算連携プラン)」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードしてサービスプロバイダーとして登録してください。 |
| 00009 | SAMLResponseの有効期限が切れています。 Conditions要素のNotBefore属性に有効期間外の日時が指定されています。 |
・IdPとSPのサーバー時刻のずれにより発生 | IDプロバイダーと「楽楽請求(楽楽精算連携プラン)」のシステム日時がずれている可能性があります。 IDプロバイダーのシステム日時を確認してください。 |
| 00010 | SAMLResponseの有効期限が切れています。 Conditions要素のNotOnOrAfter属性に有効期間外の日時が指定されています。 |
・IdPとSPのサーバー時刻のずれにより発生 ・タイムアウト |
IDプロバイダーと「楽楽請求(楽楽精算連携プラン)」のシステム日時がずれている可能性があります。 IDプロバイダーのシステム日時を確認してください。 |
| 00011 | SAMLResponseのAudience要素が正しくありません。 Audience要素に記載されているURLをご確認ください。 |
・IdP側のSP Entity IDの設定ミス | 「楽楽請求(楽楽精算連携プラン)」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。 「楽楽請求(楽楽精算連携プラン)」の「システム設定」>「セキュリティ設定」>「シングルサインオン設定」でダウンロードしたメタデータを、IDプロバイダーにアップロードして、サービスプロバイダーとして登録ください。 |
| 00012 | SAMLResponseのSubjectConfirmati on要素のmethod属性が正しくありません。 |
・IdP側のSubjectConfirmation Methodの設定ミス | IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。 |
| 00013 | SAMLResponseの有効期限が切れています。 SubjectConfirmati onData要素のNotOnOrAfter属性に有効期間外の日時が指定されています。 |
・IdPとSPのサーバー時刻のずれにより発生 ・タイムアウト |
IDプロバイダーと「楽楽請求(楽楽精算連携プラン)」のシステム日時がずれている可能性があります。 IDプロバイダーのシステム日時を確認してください。 |
| 00014 | SAMLResponseに対応するAuthnRequestがありません。 SubjectConfirmati onData要素のInResponseTo属性が、AuthnRequestのIDと一致しません。 |
・タイムアウト(60分) ・別のセッションからSAMLResponseを不正利用 |
・同じWEBブラウザーの複数のタブで「楽楽請求(楽楽精算連携プラン)」へのログインを行おうとした可能性があります。 タブを1つだけ開いた状態で「楽楽請求(楽楽精算連携プラン)」にログインしてください。 ・WEBブラウザーのキャッシュが影響している可能性があります。 Webブラウザーを再起動するか、WEBブラウザのキャッシュを削除して、「楽楽請求(楽楽精算連携プラン)」にログインしてください。 |
| 00015 | SAMLResponseに対応するAuthnRequestがありません。 SubjectConfirmati onData要素のRecipient属性が、AuthnRequestのAssertionConsume rServiceURLと一致しません。 |
・IdPのACS URLの設定ミス | 「楽楽請求(楽楽精算連携プラン)」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。 「楽楽請求(楽楽精算連携プラン)」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードしてサービスプロバイダーとして登録してください。 |
IDプロバイダー(IdP)および「楽楽請求(楽楽精算連携プラン)」の両方の修正が必要です。
| エラー コード |
エラーメッセージ | 発生条件 | 対応方法 |
| 00008 | SAMLResponseに署名が存在しない、または無効な署名です。 | ・証明書の設定ミス ・証明証の有効期限切れ |
・IDプロバイダーがSAMLResponseに署名を付加していない可能性があります。IDプロバイダーの設定を確認してください。 ・IDプロバイダーの公開鍵の証明書が不正な可能性があります。「楽楽請求(楽楽精算連携プラン)」のシステム設定画面で正しい証明書を添付してください。RSAかDSAのアルゴリズムで生成されたX.509形式の証明書が利用できます。 |
| 00017 | SAMLResponse内のNameIDと一致するシングルサインオン認証済みIDの社員がすでに存在します。 | ・紐づけしようとしているNameIDがすでに別の社員と紐づけられている (同時に操作した場合のみ発生する) |
・既に紐づいている社員のSSO連携を解除するか、IDプロバイダー側のNameIDを変更してください。 ・IDプロバイダーで送信するNameIDが社員と一意になるよう設定を確認してください。 |
| 00018 | この社員はすでに別のIdPユーザーとSSOで紐づいています。 | ・紐づけしようとしている社員が既に別のNameIDと紐づけられている | ・既に紐づいている社員のSSO連携を解除するか、IDプロバイダー側のNameIDを変更してください。 ・IDプロバイダーで送信するNameIDが社員と一意になるよう設定を確認してください。 |
「社員マスタ」にユーザーを新規登録する際、「楽楽請求(楽楽精算連携プラン)」のパスワードの設定は必須です。
シングルサインオンを有効から無効にした場合、「楽楽請求(楽楽精算連携プラン)」のID/パスワードでログインする挙動に戻ります。
「楽楽請求(楽楽精算連携プラン)」のパスワードをお忘れの場合は、パスワードを再設定してください。
「設定」タブ>「組織マスタ」>「社員設定」をクリック
該当の社員のチェックボックスにチェックをいれ、「パスワード設定依頼」をクリック
≪完了≫
シングルサインオンの有効無効に関係なく、これまで通り「楽楽請求(楽楽精算連携プラン)」のパスワードを変更することができます。
シングルサインオンが有効な場合は、「楽楽請求(楽楽精算連携プラン)」のパスワード変更による影響はありません。
シングルサインオンを誤って設定してしまった場合は、「楽楽請求(楽楽精算連携プラン)」のURLの末尾に「/ssooff」を追加してアクセスすることで、シングルサインオン無しで、直接「楽楽請求(楽楽精算連携プラン)」にアクセスできます。
【例】https://●●●●.rakurakuseikyu.jp/★★★★/ssooff
(記事ID:1014)