• ホーム
• アプリの統合
• シングルサインオン統合
• BambooHR シングルサインオン

BambooHR シングルサインオン SSO

---

BambooHR のシングル サインオン (SSO) ソリューションは、クラウド ベースのサービスです。このサービスを使用すると、BambooHR を含むすべての Web および SaaS アプリに 1 つのパスワードのみが必要になります。miniOrange は、企業およびアプリケーションに BambooHR への安全なアクセスと完全な制御を提供します。提供されているガイドの助けを借りて、BambooHR を簡単に構成できます。

miniOrange と BambooHR シングル サインオン (SSO) の統合では、次の機能がサポートされています。

• SP 開始シングル サインオン (SSO)
• IdP 開始シングル サインオン (SSO)

BambooHRシングルサインオン（SSO）については、以下のステップバイステップガイドに従ってください。

1. miniOrangeでBambooHRを設定する

• miniOrangeにログイン 管理コンソール.
• に行く アプリ をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します アプリケーションを追加



• In アプリケーションの種類を選択してください選択 SAML/WS-FED 全てのアプリ ドロップダウン。



• 検索する BambooHR リストにBambooHRが見つからない場合は、 カスタム アプリケーションをセットアップするには カスタムSAMLアプリ.

• 入力する SPエンティティID or 発行者 as バンブーHR-SAML.
• 入力する ACSのURL as https://[domain-name].bamboohr.com/saml/consume.php.
• まず 名前ID: として 電子メールアドレス。
• NameID の形式を次のように選択します:

• urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

• 出て Attributes セクションが空です。



• スクロールして ポリシーを追加 をクリックして DEFAULT グループ名 ドロップダウン。
• 今入力します アプリ認証ポリシーの名前（例：BambooHR） 会場は ポリシー名 フィールド。
• 選択する PASSWORD 第一因子タイプ ドロップダウン。
• ソフトウェアの制限をクリック Save BambooHRを追加します。



• 以下を行うには、 メタデータを表示するにはリンクをクリックしてください リンク BambooHR の IDP 開始 SSO リンクを表示します。



• コピー SAML ログイン URL および x.509 証明書 .
• 外部IdPを設定する場合は、 SAML ログイン URL および x.509 証明書 外部IDP経由で認証するために必要な情報

2. BambooHRでSSOを設定する

• 今すぐログインしてください BambooHR 管理コンソール 設定を選択 アイコンを押します。 管理コンソールのタブ。




• 左のリストから選択 アプリ.




• 下へスクロール をクリックして SAML シングル サインオン オプション




• A ポップアップ が表示されます




• SSO ログイン URL を入力してください: 手順 1 でコピーした SAML ログイン URL を貼り付けます。
• x.509 証明書を入力してください: 手順 1 で提供された証明書を貼り付けます。
• ソフトウェアの制限をクリック インストールを開始する.

3. SSO構成をテストする

miniOrange IdP を使用して BambooHR アカウントへの SSO ログインをテストします。

SP 開始ログインの使用

• BambooHR URL にアクセスすると、ユーザー名を入力するか、SSO リンクをクリックして miniOrange IdP サインオン ページにリダイレクトするように求められます。



• miniOrange のログイン資格情報を入力し、「ログイン」をクリックします。BambooHR アカウントに自動的にログインします。

IDP 開始ログインの使用

• 資格情報を使用して miniOrange IdP にログインします。



• ダッシュボードで、 BambooHR 追加したアプリケーションを使用して、SSO 構成を確認します。





SSO を構成またはテストできませんか?


お問い合わせ またはメールでお問い合わせ idpsupport@xecurify.com すぐに設定をお手伝いいたします。

4. ユーザーディレクトリを構成する（オプション）

miniOrangeは、さまざまな外部ソースからのユーザー認証を提供します。 ディレクトリ (ADFS、Microsoft Active Directory、Microsoft Entra ID、OpenLDAP、Google、AWS Cognito など) アイデンティティプロバイダー (Okta、Shibboleth、Ping、OneLogin、KeyCloak など) データベース (MySQL、Maria DB、PostgreSQLなど) さらに多くの既存のディレクトリ/ユーザー ストアを構成したり、miniOrange でユーザーを追加したりできます。

• miniOrangeをIDPとして設定する
• ADをユーザーディレクトリとして設定する
• 外部IDPの設定

• miniOrange にユーザーを追加するには、次の 2 つの方法があります。
• miniOrangeでユーザーを作成する
• ユーザーの一括アップロード

1. miniOrangeでユーザーを作成する

• ソフトウェアの制限をクリック ユーザー >> ユーザーリスト >> ユーザーの追加.



• ここで、パスワードなしでユーザーの詳細を入力し、 ユーザーの作成



• ユーザーの作成が成功すると通知メッセージが表示される 「エンドユーザーが正常に追加されました」 ダッシュボードの上部に表示されます。



• ソフトウェアの制限をクリック オンボーディングステータスタブ登録したメールIDでメールを確認し、アクションを選択してください パスワードリセットリンクを記載したアクティベーションメールを送信する from アクションを選択 ドロップダウンリストをクリックし、 Apply



• さて、あなたのメールIDを開いてください。miniOrangeから受信したメールを開いて、 アカウントのパスワードを設定します。
• 次の画面でパスワードと確認パスワードを入力し、 シングルサインオン（SSO）パスワードのリセット



• これで、資格情報を入力して miniOrange アカウントにログインできます。

2. CSV ファイルをアップロードして miniOrange にユーザーを一括アップロードします。

• MFAデバイスに移動する ユーザー >> ユーザーリスト。 をクリックしてください ユーザーを追加する



• 一括ユーザー登録 サンプルのcsv形式をダウンロード コンソールから、指示に従ってこの csv ファイルを編集します。



• ユーザーを一括アップロードするには、ファイルを選択し、 カンマ区切りの .csv ファイル形式 次に「アップロード」をクリックします。



• csv ファイルが正常にアップロードされると、リンクを含む成功メッセージが表示されます。
• そのリンクをクリックすると、アクティベーション メールを送信するユーザーのリストが表示されます。アクティベーション メールを送信するユーザーを選択し、[アクティベーション メールの送信] をクリックします。選択したユーザーにアクティベーション メールが送信されます。

• ソフトウェアの制限をクリック ID プロバイダー >> ID プロバイダーの追加 ダッシュボードの左側のメニュー



• IDプロバイダーの選択で、 AD/LDAP ディレクトリ をドロップダウンから選択します。



• 次に検索 AD/LDAP それをクリックします。



• MINIORANGE に LDAP 設定を保存する: miniOrange の設定を維持する場合は、このオプションを選択してください。Active Directory がファイアウォールの背後にある場合は、AD への受信リクエストを許可するためにファイアウォールを開く必要があります。
• LDAP 構成をオンプレミスに保存: 設定を社内に保持し、社内のADへのアクセスのみを許可する場合は、このオプションを選択します。ダウンロードしてインストールする必要があります。 miniOrange ゲートウェイ あなたの前提に基づいて。




• AD/LDAPを入力する 表示名 および 識別する 名前。
• 選択する ディレクトリの種類 as Active Directory.
• LDAPサーバーのURLまたはIPアドレスをLDAPに対して入力します サーバー URL フィールド。
• 以下を行うには、 試験用接続 ボタンを押して接続が成功したかどうかを確認します LDAPサーバー.



• Active Directoryで、ユーザーコンテナ/OUのプロパティに移動し、 識別名属性バインドアカウントには、Active Directory のディレクトリ参照に必要な最低限の読み取り権限が必要です。また、プロビジョニング（ユーザーまたはグループの作成、更新、削除など）を伴うユースケースの場合は、アカウントに適切な書き込み権限も付与する必要があります。



• 有効なバインド アカウント パスワードを入力します。
• 以下を行うには、 バインドアカウント資格情報のテスト LDAP 接続の LDAP バインド資格情報を確認するボタン。



• 検索ベース ディレクトリ内でユーザーの検索が開始される場所です。識別名を取得したのと同じ場所から取得します。



• ドロップダウンメニューから適切な検索フィルターを選択します。 単一グループ フィルターのユーザー or 複数グループフィルターのユーザーを置き換えますグループDN> 検索フィルターに、ユーザーが所属するグループの識別名を入力します。カスタム検索フィルターを使用するには、 「カスタム フィルターを作成する」 オプションを選択し、それに応じてカスタマイズします。



• 以下を行うには、 次へ ボタン、またはに移動します ログインオプション タブには何も表示されないことに注意してください。
• ADの設定時に以下のオプションを設定することもできます。有効化 LDAPをアクティブ化する AD/LDAPからユーザーを認証するには、 次へ ユーザーストアを追加するためのボタン。




以下に属性のリストと、有効にした場合の動作を示します。これに応じて有効/無効にすることができます。

属性	詳細説明
LDAPをアクティブ化する	有効にすると、すべてのユーザー認証はLDAP認証情報を使用して行われます。
フォールバック認証	LDAP認証に失敗した場合、ユーザーはminiOrangeを通じて認証されます。
管理者ログインを有効にする	これを有効にすると、miniOrange管理者ログインはLDAPサーバーを使用して認証されます。
ユーザーにIdPを表示する	このオプションを有効にすると、このIdPはユーザーに表示されます
miniOrangeでユーザーを同期する	LDAP認証後、miniOrangeにユーザーが作成されます。



• 以下を行うには、 次へ ボタン、またはに移動します Attributes タブには何も表示されないことに注意してください。

ADからの属性マッピング

• デフォルトではuserName、firstName、lastName、emailが設定されています。下にスクロールしてクリックしてください。 Save ボタンをクリックします。Active Directoryから追加の属性を取得するには、 構成された属性を送信する左側に、アプリケーションに公開する名前を入力します。右側に、Active Directoryの属性名を入力します。例えば、Active Directoryから会社属性を取得し、それを組織名として設定済みアプリケーションに送信する場合は、次のように入力します。

  SP に送信される属性名 = 組織
  IDPからの属性名 = 会社






• 以下を行うには、 次へ ボタン、またはに移動します プロビジョニング タブには何も表示されないことに注意してください。

ADからのユーザーのインポートとプロビジョニング

• プロビジョニングを設定する場合は、 ここをクリック 詳細については、こちらをご覧ください。この手順はここでは省略します。

接続のテスト

• ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 試験用接続.



• LDAP 構成を確認するためにユーザー名とパスワードの入力を求めるポップアップが表示されます。



• On Successful: LDAP サーバーに接続すると、成功メッセージが表示されます。

テスト属性マッピング

• ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 テスト属性マッピング.



• ポップアップが表示され、ユーザー名を入力してクリックします。 ホイール試乗.



• テスト属性マッピング結果が表示されます。

AD を外部ディレクトリとしてセットアップする構成が完了しました。

注意： 私たちを参照してください ガイド Windows サーバーに LDAP をセットアップします。

miniOrange は、ディレクトリ、ID プロバイダーなどのさまざまな外部ユーザー ソースと統合されます。

• ADFS
• ピン
• AWSコグニート
• さらに多くの

IdP が見つからない、または設定にサポートが必要ですか?

お問い合わせ またはメールでお問い合わせ idpsupport@xecurify.com すぐに設定をお手伝いいたします。

5. BambooHRによる適応認証

A. IP設定によるBambooHRへのアクセス制限

BambooHR シングル サインオン (SSO) で適応型認証を使用すると、シングル サインオンのセキュリティと機能性を向上させることができます。SSO に対して特定の範囲の IP アドレスを許可したり、要件に基づいて拒否したり、ユーザーに信頼性の確認を求めることもできます。適応型認証は、デバイス ID、場所、アクセス時間、IP アドレスなど、さまざまな要素に基づいてユーザー認証を管理します。

IP ブロッキングを使用した適応認証は、次の方法で設定できます。

• にログインします セルフサービスコンソール >> アダプティブ認証 >> ポリシーの追加.



• 加える ポリシー名 Adative 認証ポリシー用。
• 選択する 行動変容のための行動、クリック 編集 リンクをクリックして適切なものを選択してください 行動 および チャレンジタイプ そのセクションのユーザー向けです。





動作変更オプションのアクション:




属性	詳細説明
許可する	アダプティブ認証条件が true の場合、ユーザーが認証してサービスを使用できるようにします。
否定する	アダプティブ認証条件が true の場合、ユーザー認証とサービスへのアクセスを拒否します。
課題	ユーザーの信頼性を確認するには、以下の 3 つの方法のいずれかを使用してユーザーにチャレンジします。




チャレンジタイプのオプション:




属性	詳細説明
ユーザー第2要素	ユーザーは、選択または割り当てた2番目の要素を使用して認証する必要があります。 SMS 経由の OTP プッシュ通知 メール経由のOTPと、 さらに多くの.
KBA（知識ベース認証）	システムは、ユーザーがセルフサービスコンソールで設定した2つの質問のうち3つに回答するよう求めます。両方の質問に正しく回答した場合のみ、ユーザーは次のステップに進むことができます。
代替メール経由の OTP	ユーザーは、セルフサービスコンソールで設定した代替メールアドレスにOTPを受け取ります。正しいOTPを入力すると、次のステップに進むことができます。



• 今すぐクリック 編集 オプションから IPの設定 カスタム IP 範囲を構成するセクション。
• 選択する IPの追加 ユーザーの IPアドレス 構成されたリストにありません。
• ホワイトリストに登録するIPアドレスを指定します。ホワイトリストに登録されていないIP範囲についても、上記の設定を反映させることができます。
• ドロップダウンから対応するオプションを選択して、許可または拒否を選択します。
• ユーザーがホワイトリストに登録された IP アドレスを使用してログインしようとすると、常にアクセスが許可されます。
• IPアドレス範囲は3つの形式でサポートされています。 IPv4、IPv4 CIDR、および IPv6 CIDRドロップダウンメニューから適切なものを選択できます。
• 複数のIPまたはIP範囲を追加するには、 + IPを追加



• 変更が完了したら、一番下までスクロールしてクリックします。 Save.

B. デバイス数を制限する適応型認証

アダプティブ認証を使用すると、エンドユーザーがサービスにアクセスできるデバイスの数を制限することもできます。エンドユーザーが一定数のデバイスでサービスにアクセスできるようにすることができます。エンドユーザーは、この一定数のデバイスで当社が提供するサービスにアクセスできるようになります。

デバイス制限付き適応認証は以下の方法で設定できます。


• にログインします セルフサービスコンソール >> アダプティブ認証 >> ポリシーの追加.
• 加える ポリシー名 適応認証ポリシー用。
• あなたの選択します。 行動の変化のための行動 および チャレンジタイプ ユーザー向け 行動の変化のための行動 セクション。



• ソフトウェア設定ページで、下図のように ポリシーを追加 タブ、に移動します デバイス構成 セクションを開き、 編集
• 入力する 許可されるデバイス登録数 ご要望に応じて。（2〜3台のデバイスを推奨します。）
• 選択する 行動 デバイスの数が超過した場合（これにより、 行動の変化のための行動.)
• 課題: ユーザーは、表に記載されている3つの方法のいずれかを使用して自分自身を認証する必要があります。 ステップ 5.1
• 否定する : ユーザーのシステムへのアクセスを拒否する
• 有効にする モバイルデバイスの制限 モバイルデバイスからのログインをブロックします。これにより、モバイルデバイスからのすべてのログイン試行が拒否されます。
• 有効にする MAC アドレスベースの制限 デバイスの MAC アドレスに基づいてアクセスを制限する場合。



• ページの一番下までスクロールしてクリックします Save.

C. BambooHRに適応認証ポリシーを追加する

• にログインします セルフサービスコンソール >> ポリシー >> ログインポリシーの追加.
• ソフトウェアの制限をクリック 編集 定義済みアプリ ポリシーのアイコン オプション。



• ポリシーを設定する ポリシー名 パスワードとして 第一の要因。
• 有効にする 適応認証 ログインポリシーの編集ページで必要な項目を選択します 制限方法 オプションとして。
• ログインポリシーを選択 ドロップダウンで、最後の手順で作成したポリシーを選択し、「送信」をクリックします。

D. 通知および警告メッセージ。

このセクションでは、Adaptive Authentication に関連する通知とアラートを処理します。次のオプションが提供されます。

• ユーザーが不明なデバイスまたは場所からログインした場合にメールアラートを受け取る: 管理者は、さまざまなアラート オプションのアラートを受信できるようにするためにこのオプションを有効にする必要があります。
  
  
  

オプション	詳細説明
ユーザーは不明なIPアドレス、デバイス、または場所からログインします	このオプションを有効にすると、不明な IP アドレスやデバイス、さらには場所からでもログインできるようになります。
デバイス登録数が許可された数を超えました	このオプションを使用すると、番号を付けたデバイスよりも多くのデバイスを登録できます。
チャレンジが完了し、デバイスが登録されました	このオプションを有効にすると、エンドユーザーがチャレンジを完了してデバイスを登録したときに電子メールアラートを送信できるようになります。
チャレンジは完了しましたが、デバイスが登録されていません	このオプションを有効にすると、エンドユーザーがチャレンジを完了したがデバイスを登録しなかった場合に電子メールアラートを送信できます。
チャレンジ失敗	このオプションを有効にすると、エンドユーザーがチャレンジを完了できなかった場合に電子メールアラートを送信できます。




• 次のサブセクションは メールアラートを送信する 管理者とエンドユーザー向けのアラートを有効または無効にすることができます。管理者向けのアラートを有効にするには、 管理者 チェックボックスをオンにします。



• 複数の管理者アカウントにアラートを受信させたい場合は、管理者のオプションを有効にし、管理者のメールアドレスを「,」で区切って入力欄に入力します。 アラートを受信する管理者のメールアドレス ラベル。エンドユーザーへのアラートを有効にするには、 エンドユーザー チェックボックスをオンにします。
• 適応型ポリシーによって認証が拒否された場合にエンドユーザーが受け取る拒否メッセージをカスタマイズしたい場合は、以下のメッセージを入力します。 拒否メッセージ テキストボックス。

信頼できるデバイスを追加する方法

• エンドユーザーがポリシーの適用後にセルフサービスコンソールにログインすると、 デバイス制限 がオンになっている場合は、現在のデバイスを信頼できるデバイスとして追加するオプションが提供されます。

外部参照

• シングル サインオン (SSO) のガイド
• BambooHR SAML シングルサインオン