シングルサインオンの設定手順

概要

IDプロバイダー(IdP)と「楽楽精算」をSAML認証で連携することによって、シングルサインオンができるようになります。

  • 前提
    「楽楽精算」はSAML2.0に対応し、Service Provider(SP)として動作します。

  • 条件
    「楽楽精算」をSPとしてSAML認証で連携するには、SAML2.0に対応したIDプロバイダー(IdP)が必要です。

シングルサインオンとは

「シングルサインオン」とは、一度の認証処理で、複数のサービスにログイン可能になる機能です。
認証システムである「IDプロバイダー(IdP)」にログインしている状態であれば、「楽楽精算」にID/パスワードを入力することなく、ログインが可能です。

イメージ図

1290_seihin_01_20251219

  • ログイン
  1. 「楽楽精算」のログイン画面へアクセスします。
  2. 「IDプロバイダー(IdP)」にログインしていない場合、表示される画面指示にしたがってIDプロバイダー(IdP)にログインします。
    IDプロバイダー(IdP)にログインしている状態で「楽楽精算」にアクセスすると、動でログインできます。
  3. 認証処理が行われ、「楽楽精算」にログインできます。

  • ログアウト
シングルサインオン有効時に「楽楽精算」からログアウトした場合は、「楽楽精算」とIdPのみがログアウトされます。
IdPで連携しているすべてのサービスプロバイダから同時にログアウトされる「シングルサインアウト(シングルログアウト)」には対応しておりません。

設定手順

「楽楽精算」の設定と、IDプロバイダー(IdP)の設定が必要となります。

補足

「SSLクライアント認証オプション」をご利用の場合、旧URL(通常の「楽楽精算」URL)の閉鎖が完了している状態でないと、新URL(SSLクライアント認証専用の「楽楽精算」URL)でのシングルサインオンは行うことができません。

「楽楽精算」の設定

  1. 管理」タブ >「システム設定」をクリック
  2. 「セキュリティタブ」の「シングルサインオン」を「有効にする」にチェック
  3. IDプロバイダー(IdP)のログインURL/ログアウトURL/証明書を設定
    1290_seihin_02_20251219
  4. 「関連付け」で該当する方式にチェック
    1290_seihin_03_20251219
    ※関連づけの方式は、以下の基準を参考に選択してください。
    方式 判断基準
    方式1
    • IDプロバイダー(IdP)と「楽楽精算」でキーとなる属性が同じ場合
    • 「楽楽精算」の社員コードと関連付けが可能な場合
    方式2
    • IDプロバイダー(IdP)で、「楽楽精算」のユーザーを識別する要素を指定できない場合
    ※方式2を選択した場合、初回のみ「楽楽精算」のログイン画面でIDと
    パスワードを入力してログインする必要があります。

  5. 「確定」ボタンをクリック

≪完了≫

補足

  • 後から証明書を更新する場合も、上記画面の「IDプロバイダーの証明書」から新しい証明書をアップロードしてください。
    アップロード後に「確定」をクリックしたタイミングで新証明書に切り替わります。

  • シングルサインオンの関連付け方式が「方式2」の場合、社員マスタを削除するとIDプロバイダー(IdP)の紐づけが解除がされます。

 

IDプロバイダー(IdP)の設定

IDプロバイダー(IdP)の設定方法や証明書出力方法などは、IDプロバイダー(IdP)のマニュアルや提供元にご確認ください。

  1. IDプロバイダーへログイン
  2. 「楽楽精算」よりダウンロードしたメタデータファイルをインポート
    もしくは、手動でサービスプロバイダを登録

補足

  • 「楽楽精算」のエンドポイント
    URL:https://【ドメイン】/【アカウント】/saml/acs/

  • ユーザーを識別する要素:NameID

  • エンティティID:https://【ドメイン】/【アカウント】/
    ドメイン:rswaltz.rakurakuseisan.jp などをご利用の環境に合わせて設定してください。
    アカウント:パソコン版の【アカウント】(末尾がa)を指定してください。


≪完了≫

  • IDの設定
    IDプロバイダー(IdP)のログインIDと「楽楽精算」の社員コード(ログインID)は、一ている必要があります。

    一致していない場合は、IDプロバイダー(IdP)に属性情報として「楽楽精算」の社員(ログインID)を設定し、ユーザーを識別する要素としてその属性を指定してください。

    ユーザーを識別する要素を指定できない場合は、「シングルサインオン設定」で方式2を選択してください。

  • パスワード
    IDプロバイダー(IdP)と「楽楽精算」のパスワードは一致させる必要はありません。

スマートフォンアプリでの利用手順

注意

  • Androidで「楽楽精算」アプリ/「楽楽精算ICリーダー」アプリをご利用の場合は、端末で「Chrome」が有効化されている必要があります。

    ※通常AndroidではChromeは標準アプリのため無効化されていることは稀ですが、もし無効化されている場合は有効化してください。
    無効の状態ではシングルサインオン機能が利用できませんのでご注意ください。

  • iPhoneで「楽楽精算」アプリ/「楽楽精算ICリーダー」アプリをご利用の場合は、端末のデフォルトブラウザの設定がSafariでないと、シングルサインオン後にアプリに遷移しない可能性があります。
    その場合はデフォルトブラウザの設定をSafariにご変更をお願いいたします。

 

iPhone/Android版「楽楽精算」アプリ

※シングルサインオン機能を有効にする以前から「楽楽精算」アプリを利用している、かつすでに「楽楽精算」で設定しているIDとパスワードでログイン済みの場合は、以下のログイン画面は表示されず、ログイン後の画面が表示されます。

シングルサインオンでログインしたい場合は一度ログアウトすることで、以下のログイン画面が表示されます。

  1. 「楽楽精算」アプリを開き「楽楽精算」のURLを入力します。
    「SSLクライアント認証オプション」を利用していない場合は 手順3. へ
  2. 「SSLクライアント認証オプション」を利用している場合は、証明書の選択画面が表示されます。証明書を選択し、パスワードを入力。

    ※iPhone版「楽楽精算」アプリを利用する場合は、あらかじめスマートフォンブラウザ版(iPhone)を利用するための証明書(.p12ファイル)もあわせてインストールいただく必要があります。
    1290_seihin_05_20251219

  3. 「管理」タブ > 「システム設定」>「セキュリティ」タブ >「シングルサインオン設定」が「有効にする」の場合は、以下の画面が表示されます。
    1290_seihin_06_20251219

  4. 「シングルサインオン」をクリックします。
  5. IDプロバイダー(IdP)でのログインが行われ、ログインが完了します。
    シングルサインオンの関連付け方式が「方式2」の場合は、初回のみ「楽楽精算」のログイン画面で「楽楽精算」のIDとパスワードを入力してログインする必要があります。

≪完了≫

補足

これまでにパソコンやスマートフォンブラウザ版にて「方式2」でシングルサインオン済みの場合は、スマートフォンアプリでの初回シングルサインオン時に改めて「楽楽精算」のIDとパスワードを入力する必要はありません。

注意

シングルサインオン設定が「有効にする」になっている場合、ログイン画面には「シングルサインオン」ボタンのみ表示されます。
「楽楽精算」で設定しているIDとパスワードではログインできません。

iPhone/Android版「楽楽精算ICリーダー」アプリ

※ご利用には「ICカードオプション」(有料)もしくは「ICカード AI補助オプション」(有料)のお申込が必要です。

  1. 「楽楽精算ICリーダー」アプリを開き「楽楽精算」のURLを入力
    「SSLクライアント認証オプション」を利用していない場合は、手順3.へ
  2. 「SSLクライアント認証オプション」を利用している場合は、証明書の選択画面が表示されます。証明書を選択し、パスワードを入力。

        <iPhone版>             <Android版>     

    1290_seihin_07_20251219



  3. 「管理」タブ > 「システム設定」>「セキュリティ」タブ >「シングルサインオン設定」が「有効にする」の場合は、以下の画面が表示されます。
    1290_seihin_08_20251219
    シングルサインオン機能を有効にする以前から「楽楽精算ICリーダー」アプリを利用している、かつすでにICカードの初回登録がされている場合は上記画面は表示されず、そのまま利用できます。
    再度、初回登録(ICカードとユーザー情報の紐づけ)をする必要はありません。

  4. 「シングルサインオン」をクリック
  5. IDプロバイダー(IdP)でのログインが行われ、ログインが完了します。
    シングルサインオンの関連付け方式が「方式2」の場合は、初回のみ「楽楽精算」のログイン画面で IDとパスワードを入力してログインする必要があります。

≪完了≫

補足

これまでにパソコンやスマートフォンブラウザ版にて「方式2」でシングルサインオン済みの場合は、スマートフォンアプリでの初回シングルサインオン時に改めて「楽楽精算」のIDとパスワードを入力する必要はありません。

エラーが発生した場合

シングルサインオンを失敗した時のエラー内容と対応方法をご案内します。

エラー画面

エラーが発生すると、下記のようなエラー画面とエラーメッセージが表示されます。

1290_seihin_09_20251219

エラーの対応方法

エラーが発生した場合、エラー内容によって対応方法が変わります。
エラーコード/メッセージを確認して、下記の対応を行ってください。

修正対象:楽楽精算

「楽楽精算」の修正が必要です。

コード エラーメッセージ 対応方法
0001 シングルサインオンが無効に設定されています。 「楽楽精算」の「シングルサインオン設定」を有効にしてください。
0015 予期せぬエラーが発生し、SAMLResponseを処理できません。 「楽楽精算」のサポートセンターまでご連絡ください。
0016 シングルサインオンで関連付けされたユーザーアカウントは、現在無効のためログインできません。 退職者のアカウントと紐づいています。
「楽楽精算」の社員マスタを確認し、誤って「退職」となっている場合「在職」に変更してください。

該当の社員が退職者であり、社員マスタも「退職」となっている場合、別のログインIDをIDプロバイダーに設定してください。

 

修正対象:IDプロバイダー(IdP)

IDプロバイダー(IdP)の修正が必要です。

コード エラーメッセージ 対応方法
00002 IdPがHTTP POST Binding以外でSAMLResponseを送信しています。
  • IDプロバイダーが「HTTP POST Binding」方式でSAMLResponseを送信するように、IDプロバイダーの設定を確認してください。
  • プロキシサーバーなどでHTTPメソッドPOST以外のものに変換されていないか確認してください。
00003 IdPが送信したリクエストパラメータにSAMLResponseがありません。
  • IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。
  • プロキシサーバーなどでリクエストパラメータが改変されていないか確認してください
00004 SAMLResponseの○○要素が存在しない、または、形式が正しくありません。 IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。
00005 SAMLResponseのバージョンが異なります。SAML2.0に準拠している必要があります。 IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。
00006 SAMLResponseに署名が存在しない、または無効な署名です。
  • IDプロバイダーがSAMLResponseに署名を付加していない可能性があります。IDプロバイダーの設定を確認してください。
  • IDプロバイダーの公開鍵の証明書が不正な可能性があります。「楽楽精算」のシステム設定画面で正しい証明書を添付してください。RSAかDSAのアルゴリズムで生成されたX.509形式の証明書が利用できます。
00007 IdPでエラーが発生しました。「IdPが返してきたエラーメッセージが表示されます。」 IDプロバイダーのエラー情報(ログファイルなど)を確認してください。
00008 SAMLResponseのSubjectConfirmation要素のmethod属性が正しくありません。 IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。
00009 SAMLResponseに対応するAuthnRequestがありません。SubjectConfirmationData要素のInResponseTo属性が、AuthnRequestのIDと一致しません。
  • 同じWEBブラウザの複数のタブで「楽楽精算」へのログインを行おうとした可能性があります。タブを1つだけ開いた状態で「楽楽精算」にログインしてください。 
  • WEBブラウザのキャッシュが影響している可能性があります。WEBブラウザを再起動するか、WEBブラウザのキャッシュを削除して、「楽楽精算」にログインしてください。
00010 SAMLResponseに対応するAuthnRequestがありません。SubjectConfirmationData要素のRecipient属性がAuthnRequestのAssertionConsumerServiceURLと一致しません。 楽楽精算」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。
「楽楽精算」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードしてサービスプロバイダーとして登録してください。
00011 SAMLResponseの有効期限が切れています。SubjectConfirmationData要素のNotOnOrAfter属性に有効期限外の日時が指定されています。 IDプロバイダーと「楽楽精算」のシステム日時がずれている可能性があります。 IDプロバイダーのシステム日時を確認してください。
00012 SAMLResponseの有効期限が切れています。Conditions要素のNotBefore属性とNotOnOrAfter属性に有効期限外の日時が指定されています。 IDプロバイダーと「楽楽精算」のシステム日時がずれている可能性があります。
IDプロバイダーのシステム日時を確認してください。
00013 SAMLResponseのAudience要素が正しくありません。Audience要素に記載されているURLをご確認ください。 「楽楽精算」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。
「楽楽精算」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードして、サービスプロバイダーとして登録してください。
00014 SAMLResponse内のNameIDと一致する社員コードを持つユーザーが見つかりません。 IDプロバイダーで、「楽楽精算」の社員を識別する要素にNameIDを指定し、その要素の値と「楽楽精算」の社員コードを一致させてください。
00016 シングルサインオンで関連付けされたユーザーアカウントは、現在無効のためログインできません。 該当の社員が退職者であり、「楽楽精算」の社員マスタも「退職」となっている場合、別のログインIDをIDプロバイダーに設定してください。

パスワード関連

シングルサインオンを有効にした場合

  • 「社員マスタ」にユーザーを新規登録する際、「楽楽精算」のパスワードの設定は必須です。
  • 楽楽精算」のパスワード設定がされていないユーザーがログインすると、スワード設定画面が表示されるため、ユーザー自身がパスワード設定できます。
    ※管理者が「パスワード設定メールを送信」していない状況で、「パスワード設定完了のお知らせ」が届いたり、設定が完了している場合はこのケースが該当します。

シングルサインオンを有効から無効にした場合

シングルサインオンを有効から無効にした場合、「楽楽精算」のログイン画面から
「楽楽精算」のID・パスワードでログインする挙動に戻ります。
「楽楽精算」のパスワードをお忘れの場合や再設定したい場合は、
パスワードの設定手順」をご確認ください。

「楽楽精算」のパスワードを変更したい場合

シングルサインオンの有効無効に関係なく、これまで通り「楽楽精算」のパスワードを変更することができます。
シングルサインオンが有効な場合は、「楽楽精算」のパスワード変更による影響はありません。

「楽楽精算」のパスワードの有効期限が切れた場合

シングルサインオンが有効な場合でも、「楽楽精算」のパスワードの有効期限が切れた際には、「楽楽精算」のパスワードを再設定する必要があります。
ログイン時にパスワード再設定の画面が表示されますので、再設定してください。

(記事ID:1290)