メインコンテンツへスキップ

メンバーサイトのSSOを設定する

注意:ご契約にシングルサインオン機能が含まれている場合にご利用になれます。

外部サービスと連携してメンバーサイトのシングルサインオン(SSO)を可能にするには、連携する外部サービスのIdentity Provider(IdP)の情報を管理サイトに設定します。

メンバーサイトのSSOでは、OpenID Connectによる認証をサポートしています。

連携する外部サービスは複数設定できます。

設定の前に用意するもの

SSOの設定では、IdPから提供されるクライアントIDなどの情報(「設定項目」を参照)が必要となります。連携するIdPのサイトなどで確認し、事前に用意してください。

手順

メンバーサイトのSSOの設定は、以下の手順で行います。

  1. 管理サイトのサイドバーから[システム]>[連携・拡張]>[SSO]を選択します。
  2. [メンバーサイト (OpenID Connect)]タブを選択して、[新規登録]をクリックします。
  3. [名称][クライアントID]などの情報を入力します。設定項目の詳細については、「設定項目」を参照してください。
  4. [保存する]をクリックします。
Note:メンバーサイトのログインをSSOでのみ可能にする場合は、管理サイトのサイドバーから[システム]>[設定]>[システム設定]を選択して[セキュリティ]タブを選択し、[メンバーサイトへのログイン][SSOによるログインのみ許可する]にチェックを入れます。この場合、ログイン画面にメールアドレスとパスワードの入力欄は表示されず、SSOのログインボタンだけが表示されます。

設定項目

基本設定

項目 説明
名称 (必須) 連携する外部サービスを表す任意の名称。
メンバーサイトのログイン画面のボタン名に使用されます。例えば「hacomono ID」の場合、ボタン名は「hacomono IDでログイン」になります。
クライアントID(必須) IdPから発行されるクライアントID。
クライアントシークレット (必須) IdPから発行されるクライアントシークレット。
issuer(必須) IdPにより指定されたissuer。
IDトークンのissクレームと突き合わせを実施し、同一の内容が設定されているかをチェックします。
通常、URLの形式となっています。
認可エンドポイント(必須) IdPにより指定された認可(Authorization)エンドポイント。
IdPがディスカバリーエンドポイントをサポートしている場合、当該エンドポイントから返されたauthorization_endpointに設定された内容を設定します。
userinfoエンドポイント IdPにより指定されたuserinfoエンドポイント。
ディスカバリーエンドポイントから返されたuserinfo_endpointに該当します。
トークンエンドポイント (必須) IdPにより指定されたトークンエンドポイント。
ディスカバリーエンドポイントから返されたtoken_endpointに該当します。
クライアント認証方法 (必須)

IdPで対応している認証方法。

  • client_secret_post:クライアント認証で、POSTリクエストパラメーターにclient_idとclient_secretを含めます。
  • client_secret_basic:クライアント認証で、HTTP Basic認証を使用します。
公開鍵エンドポイント (必須) IdPにより指定された公開鍵(JWKs)エンドポイント。
ディスカバリーエンドポイントから返されたjwks_uriに該当します。
IDトークンの署名アルゴリズムがHMAC系(HS256、HS512256、HS384、 HS512)の場合、設定は不要です。
スコープ IdPにより指定されたscope。
openidスコープは自動的に付与されるため設定不要です。それ以外にuserinfoエンドポイントを利用するために必要なscopeなどをスペース区切りで指定します。
引当設定(必須) [引当元]にはid_tokenまたはuserinfoエンドポイントから取得される属性(クレーム名)を、[引当先]にはhacomonoのメンバー情報の項目を指定します。
[引当元][引当先]が一致した場合にIdPのアカウントとメンバーの紐付けを行い、SSO可能とします。
新規会員登録画面への遷移 連携済みのメンバーや引当メンバーが存在しないときにログインエラーとせずhacomonoの新規会員登録画面に遷移させる場合、チェックを入れます。
会員登録後にシングルサインオンの連携が完了し、次回以降はシングルサインオンによるログインが可能となります。
メンバー項目マッピング

[新規会員登録画面への遷移]にチェックを入れた場合、hacomonoの新規会員登録画面の初期値として使用する項目名、IDトークンまたはuserinfoエンドポイントから取得されるクレーム名を指定します。

  • 会員番号:IDトークンまたはuserinfoエンドポイントから取得されるクレーム名で、会員番号に該当する項目。
  • メールアドレス:IDトークンまたは userinfoエンドポイントから取得されるクレーム名で、メールアドレスに該当する項目。
  • 姓:IDトークンまたはuserinfoエンドポイントから取得されるクレーム名で、姓に該当する項目。
  • 名:IDトークンまたはuserinfoエンドポイントから取得されるクレーム名で、名に該当する項目。
nonceの検証 nonceの値を検証する場合、チェックを入れます。
stateの検証 stateの値を検証する場合、チェックを入れます。
マイページでの接続 メンバーサイトのマイページ画面から連携を可能にする場合、チェックを入れます。
マイページ画面に連携用のボタンが表示されます(「マイページからSSO連携する/連携を解除する」を参照)。
マイページでの接続解除 メンバーサイトのマイページ画面で連携の解除を可能にする場合、チェックを入れます。
マイページ画面に連携解除用のボタンが表示されます(「マイページからSSO連携する/連携を解除する」を参照)。
認証失敗時のURL ログイン時や連携時に認証に失敗した場合に遷移するページのURL。
クエリパラメーター(message)にエラーの内容を設定して指定されたURLに遷移します。

関連記事