メインコンテンツへスキップ
  • 管理者シングルサインオンSHANONMARKETINGPLATFORM(以降、SMP)の管理画面のユーザー認証において、シングルサインオンを可能とすることができます。詳細は、「管理者シングルサインオン機能ユーザーマニュアル」ファイルをダウンロードしてご参照ください。
    https://smpdoc.shanon.co.jp/ja/cooperation/sso/

    管理者シングルオンサイン

  • FAQ、エラーメッセージ、注意・制限事項SSOでのログイン時にエラーが出る場合注意・制限事項SSOでのログイン時にエラーが出る場合下記エラーメッセージ一覧をご覧ください。エラーメッセージ種別メッセージ対処方法は?全般不正な処理が行われましたSMPの一般的なログインエラーです。複数タブでの同時ログイン等を避けてください。OIDC/OAuth2client_id,client_secretが正しく設定されていません。連携先に設定されているクライアントID、クライアントシークレットがクライアント詳細画面に表示される値と一致しているかご確認ください。OIDC/OAuth2redirect_uriが正しく設定されていません連携先に設定されているリダイレクトURIがクライアント詳細画面に表示される値と一致しているかご確認ください。OIDC/OAuth2response_typeが正しく設定されていません連携先の設定が、認可コードフローになっていない可能性があります。連携先のRP/OAuth2Clientがインプリシットフロー等に設定されていないか、ご確認ください。OIDC/OAuth2scopeが正しく設定されていません連携先に設定されているスコープがクライアント詳細画面に表示される値と一致しているかご確認ください。OIDC/OAuth2codechallengemethodの値はplainかS256を指定してください。連携先のcode_challenge_methodが、plainまたはS256に設定されているかご確認ください。OIDC/OAuth2付与された認可グラントが不正です。PKCEでcode_challengeを利用した検証に、失敗した場合に表示されます。確認可能であれば、連携先のPKCEの設定や、実装をご確認ください。このエラーについて、弊社側では解決が難しい場合があります。SAMLログインエラー連携先のSPの識別子が、クライアント詳細画面に表示される値と一致しているかご確認ください。連携先のサービスを起点とするSP-initiatedSSOで、ID・パスワードの入力まで3分以上経過した場合にも表示されます。また連携先のURLで発生したエラーについては一旦、連携先の仕様・マニュアル等のご確認をお願いします。注意・制限事項SSO/IdP機能には以下の制限があります。必ずご一読の上、ご利用ください。種別制限事項全般SSO/IdP機能のご利用に際しては、事前にシャノンに利用申込をする必要があります。設定の有効化については、担当営業へご連絡ください。全般SSO/IdP機能のご利用に際しては、リード・管理者の数を対象として利用料金の請求が発生します。管理者の数については、シャノンの管理者・システム管理者を除く数が、対象となります。全般SSO/IdP機能はOIDC/OAuth2/SAMLにのみ対応しています。その他のプロトコルには対応していません。全般連携先での対応方式によっては、上記プロトコルでも機能が利用できない場合があります。例:OIDC/OAuth2のインプリシットフローなど全般お客様が作成された証明書を利用することはできません。SMPが発行する証明書のみ利用できます。クライアント登録・証明書更新時に、SMPが発行する証明書の有効期限は2年です。全般証明書の有効期限が切れた場合、連携先にログインできなくなる可能性があります。証明書の有効期限は、クライアント詳細画面に表示されますので、期限についてはお客様の方での管理をお願いします。サンドボックスサンドボックス先にクライアントの情報はコピーされません。変数国名([%country_master_id%])、都道府県([%prefecture_master_id%])、資料送付・各種情報案内を希望しますか([%permission_type_master_id%])の項目は文字列ではなくidを返却します。idと文言の関連付けについては、SMPの国名一覧、都道府県IDと都道府県名の対応表にあるidをご確認ください。変数リードのラジオボタン型追加項目([%VisitorData.attributeXX%])、チェックボックス型追加項目([%VisitorData.attributeXX%])、プルダウン型追加項目([%VisitorData.attributeXX%])については、文字列ではなくidを返却します。文字列とidの関連付けについては、連携先でidと値を再度関連付けるなどの運用をお願いします。変数SAMLかつ管理者の場合、利用できる変数は[%email%]、[%name1%]、[%name2%]、[%name3%]、[%memo%]、[%company_name%][%user_master_id%](管理者シングルサインオン機能有効時)[%saml_login_name_id%]のみです。変数SSO/IdP機能の変数としてメールテンプレートの差し込み項目や、$FORMなどを利用することはできません。クライアント登録・編集画面のUI上で表示されるものと、マニュアルに記載のあるもののみ利用できます。OIDC/OAuth2認可コードフローにのみ対応しています。インプリシットフロー等には対応していません。また認可/認証エンドポイント(/public/sso/login)への、POSTでのリクエストはサポート外の動作となります。GETでリクエストしてください。OIDC/OAuth2PKCEのcode_challenge_methodには、plainとS256のみ利用できます。plainの利用は非推奨です。PKCEの仕様についてはRFC7636をご確認ください。OIDC管理者での連携の場合、OIDC標準クレーム群を編集することはできません。OIDCOIDC標準クレームの「sub」を編集することはできません。常に以下の内容で設定されます。・リードの場合:visitor|(リードID)・管理者の場合:admin|(管理者ID)OIDC各種エンドポイント情報を提供する、Configurationエンドポイントは利用できません。そのためConfigurationエンドポイントが必須のRelyingPartyはサポート対象外となります。OIDCトークンをrevokeするエンドポイントは利用できません。OIDC/SAMLシングルログアウトは利用できません。OAuth2「OAuth2」を選択した場合、リード情報を取得する変数を利用することはできません。SAMLSP-InitiatedSSO:Redirect/POSTBindingsと、IdP-InitiatedSSO:POSTBindingのみをサポートしています。ArtifactBinding等には対応していません。またPOSTでのSAMLRequestは、サポート対象外となります。GETでリクエストしてください。SAMLSPの識別子は重複できません。SAMLクライアントにSPメタデータの登録はできません。SAML署名付きSAMLRequestには対応していません。SAMLIdPからのSAMLResponseの署名には、RSA-SHA256署名が常に利用されます。SAMLSignatureのDigestValueのダイジェストアルゴリズムには、SHA384が常に利用されます。その他OIDC/OAuth2/SAML自体の技術的な仕様については、OpenIDファウンデーションやOASISなど、外部のサイトをご確認ください。
    https://smpdoc.shanon.co.jp/ja/cooperation/ssoidp/chapter008/

    FAQ、エラーメッセージ、注意・制限事項

  • SMPをSAMLIdentityProvider(IdP)として利用するこのページでは、SSO/IdP機能のSAMLのクライアントでの操作・設定について記載しています。SAML全般に関する説明については、管理者シングルサインオンにも記載がありますので、ご確認ください。SAML自体の技術的な仕様については、OASISをご確認ください。本機能はSAML2.0で定義される、SP-InitiatedSSO:Redirect/POSTBindingsと、IdP-InitiatedSSO:POSTBindingのみをサポートしています。連携したいアプリが連携可能かどうか制限事項を事前にご確認ください。利用方法の概要1.クライアント登録を開く2.SAMLのクライアントへの登録内容を確認し入力する3.IdPメタデータをダウンロードする4.連携先のSPに設定を登録する5.シングルサインオンする各項目の説明SAMLでの制限事項利用方法の概要連携先にSMPと連携するユーザーを作成します設定>SSO/IdPに遷移し、「新規登録」ボタンを押します「プロトコル」のSAML/OIDC/OAuth2の中から、「SAML」を選択します連携したいクライアント(SP)の情報を確認し、入力します登録後、IdPメタデータをダウンロードします連携したいクライアント(SP)に、IdPの情報を登録します連携先を起点(SP-initiatedSSO)、あるいはSMPを起点(IdP-initiatedSSO)として、連携したログインが実施できます注意上記の手順のうち1と5については、連携先によって設定が異なるため、連携先のマニュアルをご確認ください。1.クライアント登録を開く設定>SSO/IdPに遷移します「新規登録」ボタンをクリックします「プロトコル」のSAML/OIDC/OAuth2の中から、「SAML」を選択します連携先のSPの識別子、SPエンドポイントURL、NameID形式、NameIDの値、AttributeのName属性、AttributeのFriendlyName属性、Attributeの値を確認し登録します。これらのデータはSPメタデータやマニュアルに記載されていますので、連携先をご確認ください。NameIDの値、Attributeの値には変数を用いて、リード・管理者の情報を連携先に渡すことができます。変数の詳細についてはクライアントを管理するをご確認ください。2.SAMLのクライアントへの登録内容を確認し入力するクライアントへの具体的な入力値については、基本的には連携先のマニュアルや、SPメタデータに記載があります。SAMLのSPメタデータを構成する主な要素と、関連付けられるクライアント登録画面の項目について説明します。ここではクライアントへの登録内容の確認方法の例として、AWSのSAMLSPメタデータを挙げます。2.1SPの識別子上記リンクにあるSPメタデータの場合、SPの識別子は、EntityDescriptorタグのentityIDの値「urn:amazon:webservices」を登録します。この値について、連携先のマニュアルでは「EntityID」などの表記になっている場合があります。2.2SPエンドポイントURLSPエンドポイントURLは、AssertionConsumerServiceタグのLocationの値「」を登録します。この値について、連携先のマニュアルでは「ACSURL」、「ログインURL」などの表記になっている場合があります。2.3NameID形式NameID形式は、下記、NameIDFormatタグの値の中から1つを選択します。(例:「urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified」)一般的には、「urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified」または、「urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress」が用いられることが多いです。urn:oasis:names:tc:SAML:2.0:nameid-format:transienturn:oasis:names:tc:SAML:2.0:nameid-format:persistenturn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressurn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedurn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectNameurn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedNameurn:oasis:names:tc:SAML:2.0:nameid-format:kerberosurn:oasis:names:tc:SAML:2.0:nameid-format:entityこの値について、連携先のマニュアルでは「nameid-format」、「NameIDの形式」などの表記になっている場合があります。2.4NameIDの値NameIDの値は、連携先やその設定により内容が変わります。例えば、SAMLSPのユーザーとメールアドレスで連携したい場合は、NameID形式に「urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress」または「urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified」を選択します。「NameIDの値」に「[%email%]」を設定すると、SMP(IdP)のリード/管理者のメールアドレスとSAMLSPのユーザーのメールアドレスを連携します。[%email%]などの変数の詳細については、クライアントを管理するをご確認ください。2.5AttributeのName属性、AttributeのFriendlyName属性AttributeのName属性、AttributeのFriendlyName属性は、それぞれ、下記RequestedAttributeタグのNameの値(例:「urn:oid:1.3.6.1.4.1.5923.1.1.1.1」)FriendlyNameの値(例:「eduPersonAffiliation」)を登録することができます。またRequestedAttributeタグのNameの値、FriendlyName値を、SAMLSPで利用することができます。下記のようにRequestedAttributeタグのisRequiredが「true」となっているものは、連携時に必須となりますのでご注意ください。2.6Attributeの値Attributeの値については、連携先のマニュアル、仕様をご確認ください。例としてAWSであれば、arn:aws:iam::1111111111111:role/sample-smp-assumerole,arn:aws:iam::1111111111111:saml-provider/sample-smp-providerといった特定の形式でIAMロールのarnを指定するなど、連携先サービス固有の値が入ります。3.IdPメタデータをダウンロードする管理者で連携する場合は「管理者メタデータ」を、リードで連携する場合は「リードメタデータ」を、それぞれクリックしてIdPメタデータをダウンロードしてください。連携先でx509証明書をテキスト形式や、PEM形式で設定する必要がある場合、ダウンロードしたIdPメタデータのxmlファイルを開き、ds:X509Certificateタグ内のX509証明書をコピー&ペーストしてください。xxxxxxxxxx例えば、SAMLSPでX509証明書をPEM形式で登録する場合、上記ds:X509Certificateタグ内の内容を下記のように「BEGINCERTIFICATE」「ENDCERTIFICATE」で括って保存します。-----BEGINCERTIFICATE-----xxxxxxxxxx-----ENDCERTIFICATE-----4.連携先のSPに設定を登録する事前に連携先に同じ識別子を持つユーザーを作成してください。4.1リードの場合こちらに記載するのは、IdPメタデータの読み込みに対応していない連携先への設定例です。連携先がIdPメタデータに対応している場合、「リードメタデータ」でダウンロードしたIdPメタデータを登録してください。No機能名クライアント名1IdPのEntityIDSMPの/samlidpを登録してください。例:ドメイン名がdemo-manual.shanon.co.jpであれば、「」になります。またIdPメタデータ内にも、のような形式で記載されていますので、こちらからも確認できます。2IdPのSSOエンドポイントURLSMPの/public/sso/login/adminを登録してください。例:ドメイン名がdemo-manual.shanon.co.jpであれば、「」になります。3x509証明書連携先でx509証明書をテキスト形式や、PEM形式で設定する必要がある場合、メタデータのダウンロード後xmlファイルを開き、xxxxxxxxxxの該当するx509証明書の箇所をコピー&ペーストし、連携先で利用できる形式に加工してください。4nameid-formatSSO/IdP機能のクライアントで登録したものと、同じものを選択してください。5ユーザー照合SSO/IdP機能の「NameIDの値」に一致する設定を選択してください。例として[%email%]を入力した場合、連携先にリード/管理者のメールアドレスを識別子として渡します。この場合は「Eメール」を連携先でもユーザー照合の識別子として、選択してください。[%email%]などのIdPでの変数の設定の詳細については、クライアントを管理するをご確認ください。6シングルサインオンのバインディングRedirectを選択してください。POSTでの動作は試験的なものであるため、サポート対象外となります。7SAMLRequestへの署名未対応のため、「署名しない」を選択してください。4.2管理者の場合こちらに記載するのは、IdPメタデータの読み込みに対応していない連携先への設定例です。連携先がIdPメタデータに対応している場合、「管理者メタデータ」でダウンロードしたIdPメタデータを登録してください。No項目名説明1IdPのEntityIDSMPの/samlidpを登録してください。例:ドメイン名がdemo-manual.shanon.co.jpであれば、「」になります。またIdPメタデータ内にも、のような形式で記載されていますので、こちらからも確認できます。2IdPのSSOエンドポイントURLSMPの/public/sso/login/adminを登録してください。例:ドメイン名がdemo-manual.shanon.co.jpであれば、「」になります。3x509証明書連携先でx509証明書をテキスト形式や、PEM形式で設定する必要がある場合、メタデータのダウンロード後xmlファイルを開き、xxxxxxxxxxの該当するx509証明書の箇所をコピー&ペーストし、連携先で利用できる形式に加工してください。4nameid-formatSSO/IdP機能のクライアントで登録したものと、同じものを選択してください。5ユーザー照合SSO/IdP機能の「NameIDの値」に一致する設定を選択してください。例として[%email%]を入力した場合、連携先にリード/管理者のメールアドレスを識別子として渡します。この場合は「Eメール」を連携先でもユーザー照合の識別子として、選択してください。[%email%]などのIdPでの変数の設定の詳細については、クライアントを管理するをご確認ください。6シングルサインオンのバインディングRedirectを選択してください。POSTは、サポート対象外です。7SAMLRequestへの署名「署名しない」を選択してください。入力した画面の例としては、このようになります。この画像ではあくまでサンプルとして、管理者シングルサインオン機能の画面を表示しています。お客様の連携したいアプリにより、設定、名称、UIなど異なる可能性がありますので、連携先のマニュアルをご確認ください。5.シングルサインオンするここまでの設定が正常にできた場合、連携によるシングルサインオンが可能となります。5.1IdP-initiatedSSOリードの場合5.1.1クライアント詳細を開き「リードIdP-initiatedSSO時のパス」をコピーします5.1.2コピーしたパスへのリンクを作成します例として、下記のようにコピーしたパスへ遷移するHTML要素を作成します例:連携先へログイン5.1.3system.zipや、$FORMの出力に上記のHTML要素を埋め込みますWEBテンプレート変更を開きます「デフォルトダウンロード」ボタンを押して、system.zipを解凍しますマイページのトップページに該当する、/system/mypage/top/plain.htmlを開きます開いたファイル内に、5.1.2で作成したHTML要素を埋め込みます変更後、systemフォルダを再度zip形式で圧縮しますWEBテンプレート変更から、「新規登録」ボタンをクリックし、登録します連携先に遷移し、SMPのリードでログインした状態であることを確認してください。テンプレートの変更方法の詳細については、テンプレート変更を利用するのマニュアルをご確認ください。またマイページの詳細については、マイページのマニュアルをご確認ください。注意マイページ以外でもテンプレートに5.1.2の「連携先へログイン」リンクを設定することができます。ただし、リードでログインしていない場合、5.1.2の「連携先へログイン」リンクをクリックしても、連携先にSSOできません。5.1.4リードでログイン後、リンクをクリックします5.2IdP-initiatedSSO管理者の場合5.2.1登録したクライアントの詳細画面に遷移します5.2.2「管理者としてシングルサインオン」ボタンをクリックします。+連携先に遷移し、SMPの管理者でログインした状態であることを確認してください。+5.3RelayState連携先がRelayStateパラメータに対応していれば、ログイン後に遷移するURLを指定する場合、下記のようにRelayStateパラメータを付与することで、ログイン後に指定したURLに遷移することができます。/public/sso/samlidp/auth?service_id=[:id]&RelayState=[:遷移先のURL]注意点設定に失敗、あるいは連携先が対応していない場合、ここまでの手順でログインできない場合があります。連携先にログインできない等のトラブルについては、FAQ、エラーメッセージ、注意・制限事項をご確認ください。各項目の説明No機能名クライアント名1クライアント名クライアントの名前です。SSOの動作には影響しません。2プロトコルSAMLで利用する場合、「SAML」を選択してください。3SPの識別子SAMLでの連携先固有のIDです。入力する値については、連携先のマニュアルやSPメタデータなどをご確認ください。4SPエンドポイントURLSAML2.0で定義されるAssertionConsumerServiceURLです。連携先でSAMLResponseを受け取るURLになります。値については、連携先のマニュアルやSPメタデータなどをご確認ください。4NameID形式SAML2.0で定義されるNameIDFormatです。利用可能な値については、連携先のマニュアルやSPメタデータなどをご確認ください。5NameIDの値SAML2.0で定義されるNameIDの値です。[%email%]などの変数が利用できます。変数の詳細については、クライアントを管理するをご確認ください。例として、NameIDの値を[%email%]に設定し、Emailが「manual@sample.shanon.co.jp」のリードで連携先へのログインを実施するとmanual@sample.shanon.co.jp(略)このような形式でSAMLResponse内に出力されます。6RelayStateSAML2.0で定義されるRelayStateです。RelayStateパラメータは、連携先へのログイン後、更に特定のURLに遷移する場合のパス指定などに用いられます。この入力値は、パラメータとしてRelayStateを渡されなかった場合のデフォルト値になります。例:AWSにSSOする設定を入れて、RelayStateにAmazonS3でホスティングしたURLを指定すると、SMPにログイン>AWSに特定のロールでログイン>お客様が構築されたS3のパスに遷移、となります。7AttributeのName属性SAML2.0で定義されるAttributeStatementのName属性です。連携先で定義可能な、追加項目として動作します。入力する値については連携先のマニュアルや、SPメタデータをご確認ください。例:AWSであればName=で、IAMロールが入ることを指定するなど連携先サービス固有の名前が入ります。8AttributeのFriendlyName属性SAML2.0で定義されるAttributeStatementのFriendlyName属性です。連携先で定義可能な、追加項目として動作します。入力する値については連携先のマニュアルや、SPメタデータをご確認ください。例:AWSであればFriendlyName=RoleEntitlementで、IAMロールが入ることを指定するなど連携先サービス固有の略称が入ります。9Attributeの値SAML2.0で定義されるAttributeStatementの値です。連携先で定義可能な、追加項目として動作します。[%email%]などの変数が利用できます。変数の詳細については、クライアントを管理するをご確認ください。入力する値については連携先のマニュアル、仕様をご確認ください。SAMLでの制限事項「制限事項」をご確認ください。
    https://smpdoc.shanon.co.jp/ja/cooperation/ssoidp/chapter006/

    SMPをSAMLIdentityProvider(IdP)として利用する

  • SMPをOAuth2.0AuthorizationServerとして利用するこのページでは、SSO/IdP機能のOAuth2のクライアントでの操作・設定について記載しています。OAuth2.0AuthorizationServer自体の、技術的な仕様についてはRFC6749をご確認ください。また本機能はRFC6749で定義される、AuthorizationCodeFlowのみをサポートしています。AuthorizationCodeFlow以外のフローには対応していないため、連携したいアプリが連携可能かどうか制限事項を事前にご確認ください。利用方法の概要1.クライアント登録を開く2.連携したいクライアント(OAuth2Client)の情報を確認し入力する3.クライアントID、クライアントシークレットを控える4.連携したいクライアント(OAuth2Client)にAuthorizationServerの情報を登録する各項目の説明OAuth2.0での制限事項利用方法の概要連携先にSMPと連携するユーザーを作成します設定>SSO/IdPに遷移し、「新規登録」ボタンを押します「プロトコル」のSAML/OIDC/OAuth2の中から、「OAuth2」を選択します連携したいクライアント(OAuth2Client)の情報を確認し、入力します登録後、クライアントIDなどを控えます連携したいクライアント(OAuth2Client)に、AuthorizationServerの情報を登録します連携したログインが実施できます注意上記の手順のうち1と5については、連携先によって設定が異なるため、連携先のマニュアルをご確認ください。1.クライアント登録を開く設定>SSO/IdPに遷移します「新規登録」ボタンをクリックします「プロトコル」のSAML/OIDC/OAuth2の中から、「OAuth2」を選択します2.連携したいクライアント(OAuth2Client)の情報を確認し入力するクライアント登録での具体的な入力値について、連携先の仕様・設定をご確認の上、リダイレクトURI・クライアントタイプをご入力ください。リダイレクトURIは連携先のOAuth2Clientが出力するものと、完全一致する必要があります。前方一致・後方一致等では利用できません。3.クライアントID、クライアントシークレットを控える登録したクライアントの詳細画面を開きます「クライアントID」の値を控えますクライアントタイプが「コンフィデンシャル」であれば、「クライアントシークレット」の値も控えてください注意クライアントシークレットの値を、公開することは基本的にお控えください。またセキュリティについて留意の上、管理をお願いします。4.連携したいクライアント(OAuth2Client)にAuthorizationServerの情報を登録する*連携したいクライアント(OAuth2Client)に、連携可能なユーザーを事前に作成してください。また項目名の表記は連携先によって異なるため、連携先の仕様をご確認の上、設定してください。No項目名説明1発行者IssuerClaimに相当する項目にSMPのドメイン名を入力してください。例:ドメイン名がdemo-manual.shanon.co.jpであれば、「」になります。2連携先からのリクエストメソッドGETを選択してください。3クライアントIDSSO/IdP機能のクライアント詳細にある、「クライアントID」を入力してください。4クライアントシークレットSSO/IdP機能のクライアント詳細にある、「クライアントシークレット」を入力してください。クライアントタイプが「パブリック」に設定されている場合は不要です。5承認スコープ「publicwrite」を入力してください。6認可エンドポイントリードの場合は、SMPの/public/sso/login/visitorを登録してください。管理者の場合は、SMPの/public/sso/login/adminとなります。例:ドメイン名がdemo-manual.shanon.co.jpで、リードを対象にするのであれば、「」になります。7Tokenエンドポイントリードの場合は、SMPの/public/sso/token/visitorを登録してください。管理者の場合は、SMPの/public/sso/token/adminとなります。例:ドメイン名がdemo-manual.shanon.co.jpで、リードを対象にするのであれば、「」になります。8JWKsエンドポイントリードの場合は、SMPの/public/sso/key/visitorを登録してください。管理者の場合は、SMPの/public/sso/key/adminとなります。例:ドメイン名がdemo-manual.shanon.co.jpで、リードを対象にするのであれば、「」になります。9code_challenge_methodplainとS256のみ利用できます。plainの利用は非推奨です。PKCEの仕様についてはRFC7636をご確認ください。注意点設定に失敗、あるいは連携先が対応していない場合、ここまでの手順でログインできない場合があります。連携先にログインできない等のトラブルについては、FAQ、エラーメッセージ、注意・制限事項をご確認ください。各項目の説明No項目名説明1クライアント名クライアントの名前です。SSOの動作には影響しません。2プロトコルOAuth2.0AuthorizationFrameworkで利用する場合、「OAuth2」を選択してください。3リダイレクトURIAuthorizationServerのredirect_uriです。詳細はOpenIDファウンデーションをご確認ください。連携先のマニュアル・仕様等を確認して、OAuth2.0Clientから出力されるredirect_uriと完全一致する文字列を入力してください。4クライアントタイプAuthorizationServerのクライアントタイプです。詳細はRFC6749をご確認ください。「パブリック」「コンフィデンシャル」のどちらかを選択してください。「パブリック」の場合、OAuth2.0Clientへのクライアントシークレットの登録は不要です。5スコープ詳細・削除画面でのみ表示されます。publicwriteのみです。6証明書の有効期限詳細・削除画面でのみ表示されます。詳細はクライアントを管理するをご確認ください。OAuth2.0での制限事項「制限事項」をご確認ください。
    https://smpdoc.shanon.co.jp/ja/cooperation/ssoidp/chapter005/

    SMPをOAuth2.0AuthorizationServerとして利用する

  • SMPをOpenIDProviderとして利用するこのページでは、SSO/IdP機能のOIDCのクライアントでの操作・設定について記載しています。OpenIDConnect自体の技術的な仕様については、OpenIDファウンデーションのように、外部のページをご確認ください。また本機能はOpenIDConnect1.0で定義される、AuthorizationCodeFlowのみをサポートしています。AuthorizationCodeFlow以外のフローには対応していないため、連携したいアプリが連携可能かどうか制限事項を事前にご確認ください。利用方法の概要1.クライアント登録を開く2.連携したいクライアント(RP)の情報を確認し入力する3.クライアントID、クライアントシークレットを控える4.連携したいクライアント(RP)にIdPの情報を登録する各項目の説明OpenIDConnectでの制限事項利用方法の概要連携先にSMPと連携するユーザーを作成します設定>SSO/IdPに遷移し、「新規登録」ボタンを押します「プロトコル」のSAML/OIDC/OAuth2の中から、「OIDC」を選択します連携したいクライアント(RP)の情報を確認し、入力します登録後、クライアントIDなどを控えます連携したいクライアント(RP)に、IdPの情報を登録します連携したログインが実施できます注意上記の手順のうち1と5については、連携先によって設定が異なるため、連携先のマニュアルをご確認ください。1.クライアント登録を開く設定>SSO/IdPに遷移します「新規登録」ボタンをクリックします「プロトコル」のSAML/OIDC/OAuth2の中から、「OIDC」を選択します2.連携したいクライアント(RP)の情報を確認し入力するクライアントへの具体的な入力値については、基本的には連携先のマニュアル等に記載されています。例として、AmazonCognitoであればリダイレクトURIに入る値は、となります。連携先の仕様・設定をご確認の上、リダイレクトURI・クライアントタイプ・OIDC標準クレーム群をご入力ください。3.クライアントID、クライアントシークレットを控える登録したクライアントの詳細画面を開きます「クライアントID」の値を控えますクライアントタイプが「コンフィデンシャル」であれば、「クライアントシークレット」の値も控えてください注意クライアントシークレットの値を、公開することは基本的にお控えください。またセキュリティについて留意の上、管理をお願いします。4.連携したいクライアント(RP)にIdPの情報を登録する連携したいクライアント(RP)に、連携可能なユーザーを事前に作成してください。また項目名の表記は連携先によって異なるため、連携先の仕様をご確認の上、設定してください。No項目名説明1発行者IssuerClaimに相当する項目にSMPのドメイン名を入力してください。例:ドメイン名がdemo-manual.shanon.co.jpであれば、「」になります。2連携先からのリクエストメソッドGETを選択してください。3クライアントIDSSO/IdP機能のクライアント詳細にある、「クライアントID」を入力してください。4クライアントシークレットSSO/IdP機能のクライアント詳細にある、「クライアントシークレット」を入力してください。クライアントタイプが「パブリック」に設定されている場合は不要です。5承認スコープ「openid」を入力してください。6認証エンドポイントリードの場合は、SMPの/public/sso/login/visitorを登録してください。管理者の場合は、SMPの/public/sso/login/adminとなります。例:ドメイン名がdemo-manual.shanon.co.jpで、リードを対象にするのであれば、「」になります。7Tokenエンドポイントリードの場合は、SMPの/public/sso/token/visitorを登録してください。管理者の場合は、SMPの/public/sso/token/adminとなります。例:ドメイン名がdemo-manual.shanon.co.jpで、リードを対象にするのであれば、「」になります。8UserInfoエンドポイントリードの場合は、SMPの/public/sso/userinfo/visitorを登録してください。管理者の場合は、SMPの/public/sso/userinfo/adminとなります。例:ドメイン名がdemo-manual.shanon.co.jpで、リードを対象にするのであれば、「」になります。9JWKsエンドポイントリードの場合は、SMPの/public/sso/key/visitorを登録してください。管理者の場合は、SMPの/public/sso/key/adminとなります。例:ドメイン名がdemo-manual.shanon.co.jpで、リードを対象にするのであれば、「」になります。10code_challenge_methodPKCEを利用する場合、code_challenge_methodには、plainとS256のみ利用できます。plainの利用は非推奨です。PKCEの仕様についてはRFC7636をご確認ください。SSO/IdP機能ではOpenIDConnect1.0で定義されるProviderMetadataには対応していないため、Configurationエンドポイントを設定して、自動的にその他エンドポイント等を検出する機能は利用できません。注意点設定に失敗、あるいは連携先が対応していない場合、ここまでの手順でログインできない場合があります。連携先にログインできない等のトラブルについては、FAQ、エラーメッセージ、注意・制限事項をご確認ください。各項目の説明No項目名説明1クライアント名クライアントの名前です。SSOの動作には影響しません。2プロトコルOpenIDConnectで利用する場合、「OIDC」を選択してください。3リダイレクトURIOpenIDConnect1.0のredirect_uriです。詳細はOpenIDConnectの仕様をご確認ください。連携先のマニュアル・仕様等を確認して、RPから出力されるredirect_uriと完全一致する文字列を入力してください。4クライアントタイプOpenIDProviderのクライアントタイプです。詳細はRFC6749をご確認ください。「パブリック」「コンフィデンシャル」のどちらかを選択してください。「パブリック」の場合、連携先(RP)へのクライアントシークレットの登録は不要です。5スコープ詳細・削除画面でのみ表示されます。openidのみです。6証明書の有効期限詳細・削除画面でのみ表示されます。詳細はクライアントを管理するをご確認ください。7OIDC標準クレーム群OpenIDConnect1.0で定義される、ユーザー情報を渡すためのクレーム群です。フルネーム(profile:name)、国名(address:country)などのOIDC標準クレーム群項目には、[%email%]形式の変数で、リードの情報を利用できます。この変数についての詳細はクライアントを管理するをご確認ください。クライアント登録・編集画面から設定したものに、ログインしたリードの情報が反映され、{sub:visitor|221,name:マニュアルサンプル,given_name:サンプル,family_name:マニュアル,preferred_username:マニュアルサンプルリード,email:manual@smp-sample.co.jp}/public/sso/userinfo/visitorのUserInfoエンドポイントから、上記のようなJSON形式で返ります。詳細はOpenIDConnectの公式など、外部サイトをご確認ください。管理者の場合は決まった値を取り、クライアント登録画面での設定が反映されないのでご注意ください。また識別子のsubには常に以下の内容で設定されます。・リードの場合:visitor|(リードID)・管理者の場合:admin|(管理者ID)8フルネーム(profile:name)フルネームにあたる項目です。[%name1%][%name3%][%name2%]のように、名・ミドルネーム・姓をつなげたフルネームが入るように変数を組み合わせたり、リード追加項目で「ニックネーム」を作成するなど、好みの形式で変数を設定してください。9名(profile:given_name)名前にあたる項目です。[%name2%]のように、名字が入るように変数を組み合わせたり、リード追加項目で「名」を作成するなど、好みの形式で変数を設定してください。10姓(profile:family_name)名字、姓にあたる項目です。[%name1%]のように名字、姓が入るように変数を組み合わせたり、リード追加項目で「姓」を作成するなど、好みの形式で変数を設定してください。11ミドルネーム(profile:middle_name)ミドルネームあたる項目です。[%name3%]のように、ミドルネームに当たるものが入るように変数を組み合わせたり、リード追加項目で「ミドルネーム」を作成するなど、好みの形式で変数を設定してください。12ニックネーム(profile:nickname)ニックネームにあたる項目です。[%name1%]さんのように変数と文字列を組み合わせたり、リード追加項目で「ニックネーム」を作成するなど、好みの形式で変数を設定してください。13好みのユーザー名(profile:preferred_username)好みのユーザー名にあたる項目です。[%company_name%][%name1%]様のように、変数を組み合わせたり、リード追加項目で「好みのユーザー名」を作成するなど、好みの形式で変数を設定してください。14プロフィールページのURL(profile:profile)プロフィールページのURLにあたる項目です。リード追加項目で「プロフィールページのURL」を作成するなど、好みの形式で変数を設定してください。15プロフィール画像のURL(profile:picture)プロフィール画像のURLにあたる項目です。リード追加項目で「プロフィール画像のURL」を作成するなど、好みの形式で変数を設定してください。16Webサイト・ブログのURL(profile:website)Webサイト・ブログのURLにあたる項目です。リード追加項目で「Webサイト・ブログのURL」を作成するなど、好みの形式で変数を設定してください。17性別(profile:gender)性別にあたる項目です。リード追加項目で「性別」を作成するなど、好みの形式で変数を設定してください。18生年月日(profile:birthdate)生年月日にあたる項目です。リード追加項目で「生年月日」を作成するなど、好みの形式で変数を設定してください。19タイムゾーン(profile:zoneinfo)タイムゾーンにあたる項目です。リード追加項目で「タイムゾーン」を作成するなど、好みの形式で変数を設定してください。20ロケール(profile:locale)ロケールにあたる項目です。リード追加項目で「ロケール」を作成するなど、好みの形式で変数を設定してください。21プロフィール最終更新日(profile:updated_at)プロフィール最終更新日にあたる項目です。リード追加項目で「プロフィール最終更新日」を作成するなど、好みの形式で変数を設定してください。(リードの「システム更新日時」はSSO/IdP機能の変数に未対応です。)22メールアドレス(email:email)メールアドレスにあたる項目です。[%email%]、[%email2%]のようにリードのメールアドレスを変数で利用する、あるいはリード追加項目で「Email3」を作成するなど、好みの形式で変数を設定してください。23メールアドレスが検証済み(email:email_verified)メールアドレスが有効かどうか、にあたる項目です。リード追加項目で「メールアドレスが有効」を作成するなど、好みの形式で変数を設定してください。(E-mailアドレスの有効フラグはSSO/IdPの変数に未対応です。)24電話番号(phone:phone_number)電話番号にあたる項目です。[%tel%]、[%tel2%]のように、電話番号、電話番号2の変数を利用する、あるいはリード追加項目で「電話番号」を作成するなど、好みの形式で変数を設定してください。25電話番号が検証済み(phone:phone_number_verified)電話番号が有効かどうか、にあたる項目です。リード追加項目で「電話番号が有効」を作成するなど、好みの形式で変数を設定してください。26フル住所(address:formatted)都道府県や市町村区、すべてが含まれる住所にあたる項目です。例:東京都港区三田3-13-16三田43MTビル[%address1%]、[%address2%]等の住所に関する項目を組み合わせたり、リード追加項目で「フル住所」を作成するなど、好みの形式で変数を設定してください。27番地、号室(address:street_address)番地、号室にあたる項目です。[%address2%]、[%address3%]のように町村番地、ビル・マンション名の変数を組み合わせたり、リード追加項目で「番地、号室」を作成するなど、好みの形式で変数を設定してください。28市町村区(address:locality)市町村区にあたる項目です。[%address1%]のように市区郡の変数を利用したり、リード追加項目で「市町村区」を作成するなど、好みの形式で変数を設定してください。29都道府県(address:region)都道府県にあたる項目です。リード追加項目で「都道府県」を作成するなど、好みの形式で変数を設定してください。(都道府県[%prefecture_master_id%]の変数はidを返却します)30郵便番号(address:postal_code)郵便番号にあたる項目です。[%zip1%]、[%zip2%]、[%zip3%]好みの形式で変数を設定してください。31国名(address:country)国名にあたる項目です。リード追加項目で「国名」を作成するなど、好みの形式で変数を設定してください。(国名[%country_master_id%]の変数はSMPの国名一覧にある、idを返却します)OIDC標準クレーム群で利用可能な変数については、クライアント登録・編集画面でも確認が可能です。これらの項目・値を連携先へ渡したあとは、お客様の好みに合わせてご利用ください。なお管理者の場合は自動的に下記の値で処理されます。No項目名既定値8フルネーム(profile:name)[%name1%][%name3%][%name2%]9名(profile:given_name)[%name2%]10姓(profile:family_name)[%name1%]11ミドルネーム(profile:middle_name)[%name3%]22メールアドレス(email:email)[%email%]24電話番号(phone:phone_number)[%tel%]変数についての詳細はクライアントを管理するをご確認ください。OpenIDConnectでの制限事項「制限事項」をご確認ください。
    https://smpdoc.shanon.co.jp/ja/cooperation/ssoidp/chapter004/

    SMPをOpenIDProviderとして利用する

  • クライアントを管理するこのページでは、OIDC/OAuth2/SAML全プロトコル共通の操作について記載しています。【基本的な操作】クライアントを新規登録するクライアントを編集する変数を設定するクライアントを削除するクライアントの詳細を表示する【応用的な操作】クライアントの証明書を更新するSSO/IdP機能の利用状況を確認するクライアントごとのログイン履歴を管理するSSO/IdP機能のログイン画面にテンプレートを適用する【基本的な操作】クライアントを新規登録する設定>SSO/IdPに遷移します「新規登録」ボタンをクリックします「プロトコル」のSAML/OIDC/OAuth2を選択します登録後の編集画面では、「プロトコル」のSAML/OIDC/OAuth2を変更することはできませんので、ご注意ください。選択したプロトコルに応じた各設定値を入力し、登録ボタンをクリックします各プロトコルでの具体的な登録内容、利用方法についてはOIDC:「SMPをOpenIDProviderとして利用する」OAuth2.0:「SMPをOAuth2.0AuthorizationServerとして利用する」SAML:「SMPをSAMLIdentityProvider(IdP)として利用する」をご確認ください。クライアントを編集するクライアントを登録します設定>SSO/IdPに遷移します変更内容を入力し、登録ボタンをクリックします登録画面と同様、各プロトコルでの具体的な編集内容、利用方法についてはOIDC:「SMPをOpenIDProviderとして利用する」OAuth2.0:「SMPをOAuth2.0AuthorizationServerとして利用する」SAML:「SMPをSAMLIdentityProvider(IdP)として利用する」をご確認ください。変数を設定するSSO/IdP機能の変数とはSSO/IdP機能では変数形式で、リード/管理者の情報を連携先に渡すことができます。例として1.プロトコル:OIDCを選択2.「好みのユーザー名(profile:preferred_username)」に、「[%company_name%][%division%][%name1%]様」を設定3.リードID:3のリードでSSO/IdP機能を利用したログインを実施した場合ログインしたリードID:3の会社名、部署名、氏名が参照され、「株式会社マニュアル向けデータ営業部仮申込者様」という名前が連携先に渡されます。設定方法クライアント登録/編集画面に遷移します「利用したいリード項目を選ぶと変数が表示されます」のプルダウンからリード項目を選択します右のテキストボックスに表示された値をコピー&ペーストします変数にはお客様が追加された項目や、「管理者側のみ表示」となっている項目も、連携先に渡すデータとして利用可能です。項目を削除した場合には、変数として利用できなくなりますので、ご注意ください。リード項目の設定方法については、リード項目を設定するのマニュアルをご確認ください。変数の注意点OAuth2では利用できません変数はOIDC標準クレーム群、NameIDの値、Attributeの値でのみ利用できますOIDCかつ管理者の場合も編集できません。画面上で編集した内容は反映されず、決まった値が入りますので、詳細はOIDC:「SMPをOpenIDProviderとして利用する」をご確認くださいSAMLかつ管理者の場合、以下のもののみが利用できます項目名変数E-mail1[%email%]姓[%name1%]名[%name2%]ミドルネーム[%name3%]メモ[%memo%]会社名[%company_name%]ユーザーID[%user_master_id%]外部IDプロバイダ用ユーザ識別子[%saml_login_name_id%](管理者シングルサインオン機能が有効な時のみ)国名([%country_master_id%])、都道府県([%prefecture_master_id%])、資料送付・各種情報案内を希望しますか([%permission_type_master_id%])の項目は文字列ではなくidを返却します。idと文言の関連付けについては、SMPの国名一覧、都道府県IDと都道府県名の対応表にあるidをご確認ください。リードのラジオボタン型追加項目([%VisitorData.attributeXX%])、チェックボックス型追加項目([%VisitorData.attributeXX%])、プルダウン型追加項目([%VisitorData.attributeXX%])については、文字列ではなくidを返却します。文字列とidの関連付けについては、連携先でidと値を再度関連付けるなどの運用をお願いします。クライアントを削除するクライアントを登録します設定>SSO/IdPに遷移します「削除」ボタンをクリックし、削除画面に遷移します削除画面の下部にある「削除」ボタンをクリックしますクライアントを削除した場合、対象のクライアントへのSSO/IdP機能を利用したログインは、無効になりますのでご注意ください。クライアントの詳細を表示するクライアントを登録します設定>SSO/IdPに遷移します「詳細」ボタンをクリックし、詳細画面に遷移します詳細画面では、連携先アプリでの設定時に必要なものを、プロトコル毎に表示しています。OIDC/OAuth2のクライアントではクライアントID・クライアントシークレットが表示され、SAMLのクライアントではIdPメタデータのダウンロードボタンが表示されます。【応用的な操作】クライアントの証明書を更新するクライアントの登録時、認証/認可に用いる鍵/証明書を、シャノンが自動的に作成しています。この証明書の有効期限は、登録から2年後になります。有効期限が30日以内に切れる、もしくは既に有効期限が切れてしまったクライアントがある場合、SSO/IdP機能のクライアント一覧画面に、証明書の更新が必要なクライアントが通知されます。注意この操作は基本的に、「証明書の有効期限」が近づいている、または「証明書の有効期限」が切れてしまった場合に、実行してください。設定>SSO/IdPに遷移します「詳細」ボタンをクリックし、詳細画面に遷移します「証明書を更新」ボタンをクリックします確認画面が表示されるので、「更新」をクリックします注意クライアントの証明書を更新すると、更新した証明書を連携先に登録するまで、SSOでログインできない可能性があります。そのため証明書更新後には連携先サービスへの再設定、動作の確認を行うことを推奨します。SSO/IdP機能の利用状況を確認するSSO/IdP機能を有効にすると、利用状況でSSO/IdP機能を確認できるようになります。機能の詳細については、利用状況のマニュアルをご確認ください。クライアントごとのログイン履歴を管理するSSO/IdP機能を有効にすると、ログイン履歴で利用したクライアントを確認できるようになります。設定>ログイン履歴に遷移します下記の画像にある、歯車マークをクリックし、表示項目設定に遷移します選択可能列から「IdPクライアント名を選択」し、選択済み列へ移行し登録しますこの手順でSSO/IdP機能を利用したログインの履歴を確認できるようになります。利用したリードを確認する際などにご利用ください。またログイン履歴機能自体の詳細については、ログイン履歴のマニュアルをご確認ください。SSO/IdP機能のログイン画面にテンプレートを適用するWEB>システムで利用するテンプレートを変更することで、SSO/IdP機能を利用したログイン画面の表示を変更できます。対象となるパス、ファイルは以下のものとなります。/public/sso/login>/system/sso/login.html/public/sso/login/admin>/system/sso/login_admin.html/public/sso/login/visitor>/system/sso/login_visitor.htmlお客様の企業のロゴを、リード向けのログイン画面に表示したい場合などにご活用ください。また、変更方法の詳細はテンプレート変更を利用するのマニュアルをご確認ください。
    https://smpdoc.shanon.co.jp/ja/cooperation/ssoidp/chapter003/

    クライアントを管理する

  • SSO/IdP機能の利用開始SSO/IdP機能の有効化ロールの設定SSO/IdP機能の有効化SSO/IdP機能をご利用頂くためには、IdP機能の利用(管理者用)・IdP機能の利用(リード用)いずれかの有効化が必要です。設定が「有効」となっていない場合、本機能の利用を希望する方は、担当営業へご連絡ください。ロールの設定ページの有効化次のクライアント管理画面に閲覧権限を付与します。ページ名URLパス権限の内容SSO/IdP機能/idp/client/listSSO/IdP機能全体の権限です。クライアント登録/idp/client/addクライアント登録画面の権限です。クライアント編集/idp/client/editクライアント編集画面の権限です。クライアント詳細/idp/client/viewクライアント詳細画面の権限です。クライアント削除/idp/client/deleteクライアント削除画面の権限です。IdPメタデータ取得/idp/client/metadataSAMLIdPメタデータのダウンロード権限です。証明書更新/idp/client/renew証明書更新の権限です。IdP機能の利用(管理者用)・IdP機能の利用(リード用)どちらでも同じ設定が必要になります。
    https://smpdoc.shanon.co.jp/ja/cooperation/ssoidp/chapter002/

    SSO/IdP機能の利用開始

  • 用語用語集SSO/IdP機能の用語OpenIDConnectの用語OAuth2.0AuthorizationFrameworkの用語SAMLの用語用語集認証・認可情報の提供者・利用者の呼称認証・認可情報の提供者・利用者を各プロトコルごとに整理すると、以下のようになります。プロトコル認証・認可情報の提供者(IdP)認証・認可情報の利用者OIDCIdP、OpenIDProvider、OP、IdentityProvider、AuthenticationServer、AuthNRelyingParty、RPOAuth2AuthorizationServer、AuthZ(認可情報のみを提供します)OAuth2.0Client、Client(認可情報のみを利用します)SAMLIdP、IdentityProviderServiceProvider、SPマニュアル内の用語について不明な点があった際に、OpenIDFoundationやOASISなど、外部のサイトと併せてご確認ください。SSO/IdP機能の用語用語説明SSOシングルサインオンの略称です。一度のログインで、連携する複数のアプリケーションにアクセスできるようになる機能を指します。アプリケーションごとに、ユーザーがIDとパスワードを入力する必要がなくなるため、ID管理や登録の手間を削減することが可能です。IdP認証・認可の情報を連携先のサービスに、提供するサービスです。SSO/IdP機能ではOIDC/OAuth2.0/SAMLの認証や認可を担当するものは全てIdPと呼びます。利用するプロトコル、および連携先によって呼称が異なる場合があります。その場合は、「認証・認可情報の提供者・利用者の呼称」を参考に読み替えてご利用ください。クライアントSSO/IdP機能の連携先サービスを指します。SSO/IdP機能では、OIDC/OAuth2/SAML全てのプロトコルで、「クライアント」と表記します。連携先ではSP(ServiceProvider)、RP(RelyingParty)、Consumer、OAuthConsumerパブリッククライアント、コンフィデンシャルクライアントなどの表記になっている場合もありますので、ご注意ください。変数[%email%]などの値を利用して、連携先に渡す情報に、SMPにログインしたリード/管理者の情報を利用できます。設定方法の詳細についてはクライアントを管理するをご確認ください。OpenIDConnectの用語用語説明OIDCOpenIDConnectの略称です。OpenIDFoundationによって定義される、認証・認可のアイデンティティをやりとりするための規格です。連携元(IdP)の認証情報を利用して、連携先(RP)にログインすることが可能になります。規格についての詳細は、OpenIDFoundationをご覧ください。OpenIDProviderOpenIDConnectの中で、認証・認可の情報を連携先のサービスに、提供するサービスです。SSO/IdP機能では「OIDC」でクライアントを登録した場合にあたります。RPRelyingPartyの略称です。OpenIDProviderから提供された認証・認可情報を利用するサービスです。SSO/IdP機能では「OIDC」でクライアントを登録した場合の連携先となります。規格についての詳細は、OpenIDFoundationをご覧ください。OAuth2.0AuthorizationFrameworkの用語用語説明OAuth2OAuth2.0AuthorizationFrameworkの略称です。RFC6749で定義される、認可情報をサービス間でやりとりするための規格です。規格についての詳細は、RFC6749をご覧ください。OAuth2.0AuthorizationServerOAuth2.0AuthorizationFrameworkの中で、認可を担当するサービスです。SSO/IdP機能では「OAuth2」でクライアントを登録した場合にあたります。OAuth2.0ClientOAuth2.0AuthorizationServerから提供された認可情報を利用するサービスです。SSO/IdP機能では「OAuth2」でクライアントを登録した場合の連携先となります。規格についての詳細は、RFC6749をご覧ください。SAMLの用語用語説明SAMLOASISによって定義される、認証・認可のアイデンティティをやりとりするための規格です。連携元(IdP)の認証情報を利用して、連携先(SP)にログインすることが可能になります。規格についての詳細は、OASISをご覧ください。SAMLIdPSAML2.0の中で、認証・認可を担当するサービスです。SSO/IdP機能では「SAML」でクライアントを登録した場合にあたります。SAMLSPSAMLIdPから提供された認証・認可情報を利用するサービスです。SSO/IdP機能では「SAML」でクライアントを登録した場合の連携先となります。規格についての詳細は、OASISをご覧ください。
    https://smpdoc.shanon.co.jp/ja/cooperation/ssoidp/chapter007/

    用語

  • 概要SSO/IdP機能とは、対応する外部サービスにSMPのリード/管理者の認証情報でログインすることができる機能です。SAML、OpenIDConnect、OAuth2.0の複数の方式で、SMPのリード/管理者の情報を連携してログインすることができます。SSO/IdP機能を使うメリットSSO/IdP機能の構成利用オプション料金の請求SSO/IdP機能を使うメリットSSO/IdP機能を使うメリットは、3つあります。ID管理コストの削減WEBサイト利用者の利便性向上セキュリティーの保証ID管理コストの削減ID、パスワードをSMPに一元化することで、WEBサイト管理者が外部サービスでユーザーのIDやパスワードを管理する必要がなくなり、WEBサイト管理者がID管理コストを削減できます。WEBサイト利用者の利便性向上WEBサイト利用者がSMPから外部サービス、および外部サービスからSMPに画面を移動するときに、それぞれのサイトで認証する必要がなくなるので、利便性が向上します。セキュリティーの保証OpenIDConnect、OAuth2.0AuthorizationFramework、SAML2.0という業界標準の仕様でデータを連携するため、WEBサイト管理者がセキュリティーを保証しやすくなります。注意SMPで対応しているプロトコルに、外部サービスが対応しているとは限らないため、事前にご確認ください。ただし連携する外部サービスにも、別途設定が必要になる場合があります。SMPの設定や対応するプロトコルについては、このマニュアルに記載しておりますので、ご一読ください。SSO/IdP機能の構成SSO/IdP機能では、以下の3つのプロトコルでの連携が可能です。OIDCOAuth2SAML各プロトコルでの具体的な設定については、マニュアル内の下記ページをご確認ください。OIDC:「SMPをOpenIDProviderとして利用する」OAuth2:「SMPをOAuth2.0AuthorizationServerとして利用する」SAML:「SMPをSAMLIdentityProvider(IdP)として利用する」またプロトコル自体の仕様については、外部の下記ページをご確認ください。OIDC:OpenIDファウンデーションOAuth2:RFC6749SAML:OASIS利用オプション利用したいサービスに応じた設定の有効化が必要です。下記設定が「有効」となっていない場合、本機能の利用を希望する方は、担当営業へご連絡ください。設定の有効化状況は、利用状況で確認することができます。項目に「SSO/IdP対象リード数」「SSO/IdP対象管理者数」が表示されている場合は、それぞれリード用、管理者用のIdP機能が有効化されています。設定説明IdP機能の利用(リード用)クライアントの登録と、SMPのリード(申込者)で外部サービスへの連携したログインが可能になります。SMPで申し込んだリードを、外部サービスのアカウントを関連付けて一元管理したい場合などにご利用ください。IdP機能の利用(管理者用)クライアントの登録と、SMPの管理者で外部サービスへの連携したログインが可能になります。SMPの管理者自身が、外部サービスに連携しログインする場合にご利用ください。リード用・管理者用機能は、両方を同時に利用することができます。利用オプションが有効になった後の手順については、SSO/IdP機能の利用開始をご一読ください。料金の請求SMPに登録しているリード/管理者の数に基づいて料金を請求します。設定説明IdP機能の利用(リード用)SMPに登録しているリード数に基づいて、料金を請求します。IdP機能の利用(管理者用)SMPに登録しているシステム管理者、シャノンの管理者を除く管理者数に基づいて、料金を請求します。請求対象となるリード/管理者の数については、利用状況で確認することができます。対象となるリード/管理者の数から、発生する料金については価格表をご覧ください。
    https://smpdoc.shanon.co.jp/ja/cooperation/ssoidp/chapter001/

    概要