• ホーム
• アプリの統合
• シングルサインオン統合
• SAP SuccessFactors シングル サインオン

SAP SuccessFactors SAML シングル サインオン (SSO)

---

Successfactors SAML シングル サインオン (SSO) miniOrangeのソリューションは安全です シングル・サインオン ログイン SAP SuccessFactors プラットフォームは他の オンプレミス および クラウドアプリケーション 単一のログイン認証情報または既存の認証情報を使用して アイデンティティプロバイダー.

miniOrange Successfactors SSO を使用すると、次のことが可能になります。

• ユーザーが Successfactors に自動的にログインできるようにします。
• ユーザーのアクセス制御を集中化して簡単に行えます。
• Azure AD、ADFS、Cognito などの外部 ID ソースに簡単に接続できます。

サポートされている SSO 機能

miniOrange SuccessFactors SAML 統合は、次の機能をサポートしています。

• SP 開始 SSO ログイン: ユーザーは URL またはブックマークから SuccessFactors アカウントにアクセスできます。ログインするには、自動的に miniOrange ポータルにリダイレクトされます。サインオンすると、自動的に SuccessFactors にリダイレクトされ、ログインします。
• IdP 開始 SSO ログイン: ユーザーはまず miniOrange にログインし、アプリケーション ダッシュボードの SuccessFactors アイコンをクリックして SuccessFactors にアクセスする必要があります (さらに ID ソースを設定している場合は、そのプラットフォームにログインします)。
• JIT プロビジョニング: デスクトップ SSO、IDP、または Active Directory (AD) 認証を介してユーザーが初めてログインするときに、SuccessFactors でユーザー アカウントを自動的に作成できるようにします。
• シングルログアウト: この機能を使用すると、SuccessFactors 組織またはその他のアプリからログアウトすると、アイデンティティ プロバイダー (IdP) に接続されているすべてのアプリケーションから自動的にログアウトされます。
• ユーザーに SSO を使用したログインを義務付ける: シングル サインオンを使用すると、すべてのユーザーが SSO を使用してログインすることが必須になります。これにより、他のソースを使用してログインしたり、ログイン システムをバイパスしたりすることが防止されます。誰も直接ログインすることができないため、プロセスが合理化され、安全になります。

SAP SuccessFactors シングル サインオン (SSO) については、以下のステップ バイ ステップ ガイドに従ってください。

1. miniOrangeでSAP SuccessFactorsを構成する

• miniOrangeにログイン 管理コンソール.
• に行く アプリ をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します アプリケーションを追加



• In アプリケーションの種類を選択してください選択 SAML/WS-FED 全てのアプリ ドロップダウン。



• 検索する SAP SuccessFactors リストにSAP SuccessFactorsが見つからない場合は、 カスタム アプリケーションをセットアップするには カスタムSAMLアプリ.

miniOrange でシングル サインオンの認証方法として SAML を構成するための前提条件:

• SAP SuccessFactors Web アプリケーションの SAML シングル サインオンを構成する前に、SAP SuccessFactors 管理ポータルのアプリケーション設定ページから次の情報を取得する必要があります。
• 組織の管理者権限を持つアクティブな SAP SuccessFactors アカウント。
• SAP SuccessFactorsシングルサインオン（SSO）対応サブスクリプション：お問い合わせ SAP SuccessFactors カスタマー サポート チーム (アカウントで SSO 機能を有効にしてテストするため)。
• リクエストには次のアイデンティティプロバイダのSAMLメタデータ情報を含めてください。 SAML 発行者、SAML 検証証明書、リダイレクト URL (ステップ 1 を参照) をリクエストに含めます。
• リクエストが処理された後、アプリケーションの SAML 2.0 シングル サインオンが有効になり、SAML URL とオーディエンス制限 (カスタム値がある場合) が提供され、SAML SSO 構成機能を構成およびテストできるようになります。
• miniOrange 管理ダッシュボードに戻り、SAP SuccessFactors プラットフォームを構成して、SAML 認証のアプリケーション設定を完了します。
• それぞれのフィールドに次の値を入力します。



SP エンティティ ID または発行者:	https://www.sap.com/a/your_samlname
ACS URL:	https://www.sap.com/a/your_samlname
名前ID:	Ｅメールアドレス



• ソフトウェアの制限をクリック Save さらに進んでください。




次の手順に従ってアプリケーションを編集できます。

• に行く アプリ >> アプリの管理.
• アプリを検索して、 select アプリのアクション メニューに表示されます。
• ソフトウェアの制限をクリック 編集 ここでは次のような詳細設定を行うことができます NameID 形式、属性、および ID ソース.



• SAP SuccessFactorsアプリの詳細設定を構成した後、 Save




SAP Successfactors Web アプリケーションにアップロードするための IDP メタデータの詳細を取得します。

• に行く アプリ >> アプリの管理.
• アプリを検索して、 select アプリのアクション メニューに表示されます。
• ソフトウェアの制限をクリック 後で必要になるメタデータの詳細を取得します。 リンク SuccessFactors の IDP 開始 SSO リンクを表示します。



• ここで2つのオプションが表示されます。 IDP としての miniOrange miniOrangeに関連するメタ詳細をコピーします。 外部 IDP (okta、AZURE AD、ADFS、ONELOGIN、GOOGLE APPS) 以下に示すように、第 2 セクションからメタデータを取得できます。



• キープ SAML ログイン URL , SAML ログアウト URL とをクリックしてください 証明書をダウンロードする 必要な証明書をダウンロードするためのボタン ステップ 2.

2. SAP SuccessFactorsでSAML SSOを構成する

1. 今すぐログインしてください SAP SuccessFactors 管理コンソール.
2. ロケーション選択 アプリケーションのセキュリティ に移動して シングルサインオン機能.
3. 任意の値を入力します トークンのリセット をクリックし トークンを保存 SAML SSO を有効にします。
   注: この値はオン/オフ スイッチとして使用されます。値が保存されている場合、SAML SSO はオンになります。空白の値が保存されている場合、SAML SSO はオフになります。



4. 次のアクションを実行します。



1. まず SAML v2 シングルサインオン ラジオボタン
2. をセットする SAML アサーティング パーティ名 (例: SAML 発行者 + 会社名)。
3. 発行者のURL テキストボックスにminiOrangeを貼り付けます IDP エンティティ ID または発行者 メタデータセクションからコピーした値 ステップ 1.
4. 選択する アサーション as 必須署名が必要.
5. 選択する 使用可能 as SAMLフラグを有効にする.
6. 選択する いいえ as ログインリクエスト署名(SF生成/SP/RP).
7. 選択する ブラウザ/投稿プロフィール as SAML プロファイル.
8. 選択する いいえ as 証明書の有効期間の強制.
9. コピーして貼り付けます X.509証明書 メタデータセクションからダウンロードしました ステップ 1.
10. MFAデバイスに移動する SAML V2SSO に統合する機能のタイプ (SP 開始 SAML シングル サインオン (SSO) または IDP 開始 SAML シングル サインオン (SSO)) に応じて、必要な設定を変更します (下の画像は、SP 開始ログインの統合手順を示しています)



11. グローバル ログアウト サービス URL （ログアウトリクエストの送信先）テキストボックスに、 SAML ログアウト URL メタデータセクションからコピーした値 ステップ 1.
12. 選択する いいえ as spはすべてのNameID要素を暗号化する必要がある.
13. 選択する 不特定 as 名前IDの形式.
14. 会社全体の発行者としてリクエストを送信するテキストボックスを貼り付けます。 SAML ログアウト URL メタデータセクションからコピーした値 ステップ 1.
15. 詳しくはこちら Save.

3. SSO構成をテストする

miniOrange IdP を使用して SAP SuccessFactors アカウントへの SSO ログインをテストします。

SP 開始ログインの使用

• SAP SuccessFactors URL にアクセスすると、ユーザー名を入力するか、SSO リンクをクリックして miniOrange IdP サインオン ページにリダイレクトするように求められます。



• miniOrange のログイン資格情報を入力し、「ログイン」をクリックします。SAP SuccessFactors アカウントに自動的にログインします。

IDP 開始ログインの使用

• 資格情報を使用して miniOrange IdP にログインします。



• ダッシュボードで、 SAP SuccessFactors 追加したアプリケーションを使用して、SSO 構成を確認します。





SSO を構成またはテストできませんか?


お問い合わせ またはメールでお問い合わせ idpsupport@xecurify.com すぐに設定をお手伝いいたします。

4. ユーザーディレクトリを構成する（オプション）

miniOrangeは、さまざまな外部ソースからのユーザー認証を提供します。 ディレクトリ (ADFS、Microsoft Active Directory、Microsoft Entra ID、OpenLDAP、Google、AWS Cognito など) アイデンティティプロバイダー (Okta、Shibboleth、Ping、OneLogin、KeyCloak など) データベース (MySQL、Maria DB、PostgreSQLなど) さらに多くの既存のディレクトリ/ユーザー ストアを構成したり、miniOrange でユーザーを追加したりできます。

• miniOrangeをIDPとして設定する
• ADをユーザーディレクトリとして設定する
• 外部IDPの設定

• miniOrange にユーザーを追加するには、次の 2 つの方法があります。
• miniOrangeでユーザーを作成する
• ユーザーの一括アップロード

1. miniOrangeでユーザーを作成する

• ソフトウェアの制限をクリック ユーザー >> ユーザーリスト >> ユーザーの追加.



• ここで、パスワードなしでユーザーの詳細を入力し、 ユーザーの作成



• ユーザーの作成が成功すると通知メッセージが表示される 「エンドユーザーが正常に追加されました」 ダッシュボードの上部に表示されます。



• ソフトウェアの制限をクリック オンボーディングステータスタブ登録したメールIDでメールを確認し、アクションを選択してください パスワードリセットリンクを記載したアクティベーションメールを送信する from アクションを選択 ドロップダウンリストをクリックし、 Apply



• さて、あなたのメールIDを開いてください。miniOrangeから受信したメールを開いて、 アカウントのパスワードを設定します。
• 次の画面でパスワードと確認パスワードを入力し、 シングルサインオン（SSO）パスワードのリセット



• これで、資格情報を入力して miniOrange アカウントにログインできます。

2. CSV ファイルをアップロードして miniOrange にユーザーを一括アップロードします。

• MFAデバイスに移動する ユーザー >> ユーザーリスト。 をクリックしてください ユーザーを追加する



• 一括ユーザー登録 サンプルのcsv形式をダウンロード コンソールから、指示に従ってこの csv ファイルを編集します。



• ユーザーを一括アップロードするには、ファイルを選択し、 カンマ区切りの .csv ファイル形式 次に「アップロード」をクリックします。



• csv ファイルが正常にアップロードされると、リンクを含む成功メッセージが表示されます。
• そのリンクをクリックすると、アクティベーション メールを送信するユーザーのリストが表示されます。アクティベーション メールを送信するユーザーを選択し、[アクティベーション メールの送信] をクリックします。選択したユーザーにアクティベーション メールが送信されます。

• ソフトウェアの制限をクリック ID プロバイダー >> ID プロバイダーの追加 ダッシュボードの左側のメニュー



• IDプロバイダーの選択で、 AD/LDAP ディレクトリ をドロップダウンから選択します。



• 次に検索 AD/LDAP それをクリックします。



• MINIORANGE に LDAP 設定を保存する: miniOrange の設定を維持する場合は、このオプションを選択してください。Active Directory がファイアウォールの背後にある場合は、AD への受信リクエストを許可するためにファイアウォールを開く必要があります。
• LDAP 構成をオンプレミスに保存: 設定を社内に保持し、社内のADへのアクセスのみを許可する場合は、このオプションを選択します。ダウンロードしてインストールする必要があります。 miniOrange ゲートウェイ あなたの前提に基づいて。




• AD/LDAPを入力する 表示名 および 識別する 名前。
• 選択する ディレクトリの種類 as Active Directory.
• LDAPサーバーのURLまたはIPアドレスをLDAPに対して入力します サーバー URL フィールド。
• 以下を行うには、 試験用接続 ボタンを押して接続が成功したかどうかを確認します LDAPサーバー.



• Active Directoryで、ユーザーコンテナ/OUのプロパティに移動し、 識別名属性バインドアカウントには、Active Directory のディレクトリ参照に必要な最低限の読み取り権限が必要です。また、プロビジョニング（ユーザーまたはグループの作成、更新、削除など）を伴うユースケースの場合は、アカウントに適切な書き込み権限も付与する必要があります。



• 有効なバインド アカウント パスワードを入力します。
• 以下を行うには、 バインドアカウント資格情報のテスト LDAP 接続の LDAP バインド資格情報を確認するボタン。



• 検索ベース ディレクトリ内でユーザーの検索が開始される場所です。識別名を取得したのと同じ場所から取得します。



• ドロップダウンメニューから適切な検索フィルターを選択します。 単一グループ フィルターのユーザー or 複数グループフィルターのユーザーを置き換えますグループDN> 検索フィルターに、ユーザーが所属するグループの識別名を入力します。カスタム検索フィルターを使用するには、 「カスタム フィルターを作成する」 オプションを選択し、それに応じてカスタマイズします。



• 以下を行うには、 次へ ボタン、またはに移動します ログインオプション タブには何も表示されないことに注意してください。
• ADの設定時に以下のオプションを設定することもできます。有効化 LDAPをアクティブ化する AD/LDAPからユーザーを認証するには、 次へ ユーザーストアを追加するためのボタン。




以下に属性のリストと、有効にした場合の動作を示します。これに応じて有効/無効にすることができます。

属性	詳細説明
LDAPをアクティブ化する	有効にすると、すべてのユーザー認証はLDAP認証情報を使用して行われます。
フォールバック認証	LDAP認証に失敗した場合、ユーザーはminiOrangeを通じて認証されます。
管理者ログインを有効にする	これを有効にすると、miniOrange管理者ログインはLDAPサーバーを使用して認証されます。
ユーザーにIdPを表示する	このオプションを有効にすると、このIdPはユーザーに表示されます
miniOrangeでユーザーを同期する	LDAP認証後、miniOrangeにユーザーが作成されます。



• 以下を行うには、 次へ ボタン、またはに移動します Attributes タブには何も表示されないことに注意してください。

ADからの属性マッピング

• デフォルトではuserName、firstName、lastName、emailが設定されています。下にスクロールしてクリックしてください。 Save ボタンをクリックします。Active Directoryから追加の属性を取得するには、 構成された属性を送信する左側に、アプリケーションに公開する名前を入力します。右側に、Active Directoryの属性名を入力します。例えば、Active Directoryから会社属性を取得し、それを組織名として設定済みアプリケーションに送信する場合は、次のように入力します。

  SP に送信される属性名 = 組織
  IDPからの属性名 = 会社






• 以下を行うには、 次へ ボタン、またはに移動します プロビジョニング タブには何も表示されないことに注意してください。

ADからのユーザーのインポートとプロビジョニング

• プロビジョニングを設定する場合は、 ここをクリック 詳細については、こちらをご覧ください。この手順はここでは省略します。

接続のテスト

• ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 試験用接続.



• LDAP 構成を確認するためにユーザー名とパスワードの入力を求めるポップアップが表示されます。



• On Successful: LDAP サーバーに接続すると、成功メッセージが表示されます。

テスト属性マッピング

• ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 テスト属性マッピング.



• ポップアップが表示され、ユーザー名を入力してクリックします。 ホイール試乗.



• テスト属性マッピング結果が表示されます。

AD を外部ディレクトリとしてセットアップする構成が完了しました。

注意： 私たちを参照してください ガイド Windows サーバーに LDAP をセットアップします。

miniOrange は、ディレクトリ、ID プロバイダーなどのさまざまな外部ユーザー ソースと統合されます。

• ADFS
• ピン
• AWSコグニート
• さらに多くの

IdP が見つからない、または設定にサポートが必要ですか?

お問い合わせ またはメールでお問い合わせ idpsupport@xecurify.com すぐに設定をお手伝いいたします。

5. SAP SuccessFactors による適応型認証

A. IP設定によるSAP SuccessFactorsへのアクセス制限

SAP SuccessFactors シングル サインオン (SSO) で適応型認証を使用すると、シングル サインオンのセキュリティと機能性を向上させることができます。SSO に対して特定の範囲の IP アドレスを許可したり、要件に基づいて拒否したり、ユーザーに信頼性の検証を求めることもできます。適応型認証は、デバイス ID、場所、アクセス時間、IP アドレスなど、さまざまな要素に基づいてユーザー認証を管理します。

IP ブロッキングを使用した適応認証は、次の方法で設定できます。

• にログインします セルフサービスコンソール >> アダプティブ認証 >> ポリシーの追加.



• 加える ポリシー名 Adative 認証ポリシー用。
• 選択する 行動変容のための行動、クリック 編集 リンクをクリックして適切なものを選択してください 行動 および チャレンジタイプ そのセクションのユーザー向けです。





動作変更オプションのアクション:




属性	詳細説明
許可する	アダプティブ認証条件が true の場合、ユーザーが認証してサービスを使用できるようにします。
否定する	アダプティブ認証条件が true の場合、ユーザー認証とサービスへのアクセスを拒否します。
課題	ユーザーの信頼性を確認するには、以下の 3 つの方法のいずれかを使用してユーザーにチャレンジします。




チャレンジタイプのオプション:




属性	詳細説明
ユーザー第2要素	ユーザーは、選択または割り当てた2番目の要素を使用して認証する必要があります。 SMS 経由の OTP プッシュ通知 メール経由のOTPと、 さらに多くの.
KBA（知識ベース認証）	システムは、ユーザーがセルフサービスコンソールで設定した2つの質問のうち3つに回答するよう求めます。両方の質問に正しく回答した場合のみ、ユーザーは次のステップに進むことができます。
代替メール経由の OTP	ユーザーは、セルフサービスコンソールで設定した代替メールアドレスにOTPを受け取ります。正しいOTPを入力すると、次のステップに進むことができます。



• 今すぐクリック 編集 オプションから IPの設定 カスタム IP 範囲を構成するセクション。
• 選択する IPの追加 ユーザーの IPアドレス 構成されたリストにありません。
• ホワイトリストに登録するIPアドレスを指定します。ホワイトリストに登録されていないIP範囲についても、上記の設定を反映させることができます。
• ドロップダウンから対応するオプションを選択して、許可または拒否を選択します。
• ユーザーがホワイトリストに登録された IP アドレスを使用してログインしようとすると、常にアクセスが許可されます。
• IPアドレス範囲は3つの形式でサポートされています。 IPv4、IPv4 CIDR、および IPv6 CIDRドロップダウンメニューから適切なものを選択できます。
• 複数のIPまたはIP範囲を追加するには、 + IPを追加



• 変更が完了したら、一番下までスクロールしてクリックします。 Save.

B. デバイス数を制限する適応型認証

アダプティブ認証を使用すると、エンドユーザーがサービスにアクセスできるデバイスの数を制限することもできます。エンドユーザーが一定数のデバイスでサービスにアクセスできるようにすることができます。エンドユーザーは、この一定数のデバイスで当社が提供するサービスにアクセスできるようになります。

デバイス制限付き適応認証は以下の方法で設定できます。


• にログインします セルフサービスコンソール >> アダプティブ認証 >> ポリシーの追加.
• 加える ポリシー名 適応認証ポリシー用。
• あなたの選択します。 行動の変化のための行動 および チャレンジタイプ ユーザー向け 行動の変化のための行動 セクション。



• ソフトウェア設定ページで、下図のように ポリシーを追加 タブ、に移動します デバイス構成 セクションを開き、 編集
• 入力する 許可されるデバイス登録数 ご要望に応じて。（2〜3台のデバイスを推奨します。）
• 選択する 行動 デバイスの数が超過した場合（これにより、 行動の変化のための行動.)
• 課題: ユーザーは、表に記載されている3つの方法のいずれかを使用して自分自身を認証する必要があります。 ステップ 5.1
• 否定する : ユーザーのシステムへのアクセスを拒否する
• 有効にする モバイルデバイスの制限 モバイルデバイスからのログインをブロックします。これにより、モバイルデバイスからのすべてのログイン試行が拒否されます。
• 有効にする MAC アドレスベースの制限 デバイスの MAC アドレスに基づいてアクセスを制限する場合。



• ページの一番下までスクロールしてクリックします Save.

C. SAP SuccessFactorsにAdaptive Authenticationポリシーを追加する

• にログインします セルフサービスコンソール >> ポリシー >> ログインポリシーの追加.
• ソフトウェアの制限をクリック 編集 定義済みアプリ ポリシーのアイコン オプション。



• ポリシーを設定する ポリシー名 パスワードとして 第一の要因。
• 有効にする 適応認証 ログインポリシーの編集ページで必要な項目を選択します 制限方法 オプションとして。
• ログインポリシーを選択 ドロップダウンで、最後の手順で作成したポリシーを選択し、「送信」をクリックします。

D. 通知および警告メッセージ。

このセクションでは、Adaptive Authentication に関連する通知とアラートを処理します。次のオプションが提供されます。

• ユーザーが不明なデバイスまたは場所からログインした場合にメールアラートを受け取る: 管理者は、さまざまなアラート オプションのアラートを受信できるようにするためにこのオプションを有効にする必要があります。
  
  
  

オプション	詳細説明
ユーザーは不明なIPアドレス、デバイス、または場所からログインします	このオプションを有効にすると、不明な IP アドレスやデバイス、さらには場所からでもログインできるようになります。
デバイス登録数が許可された数を超えました	このオプションを使用すると、番号を付けたデバイスよりも多くのデバイスを登録できます。
チャレンジが完了し、デバイスが登録されました	このオプションを有効にすると、エンドユーザーがチャレンジを完了してデバイスを登録したときに電子メールアラートを送信できるようになります。
チャレンジは完了しましたが、デバイスが登録されていません	このオプションを有効にすると、エンドユーザーがチャレンジを完了したがデバイスを登録しなかった場合に電子メールアラートを送信できます。
チャレンジ失敗	このオプションを有効にすると、エンドユーザーがチャレンジを完了できなかった場合に電子メールアラートを送信できます。




• 次のサブセクションは メールアラートを送信する 管理者とエンドユーザー向けのアラートを有効または無効にすることができます。管理者向けのアラートを有効にするには、 管理者 チェックボックスをオンにします。



• 複数の管理者アカウントにアラートを受信させたい場合は、管理者のオプションを有効にし、管理者のメールアドレスを「,」で区切って入力欄に入力します。 アラートを受信する管理者のメールアドレス ラベル。エンドユーザーへのアラートを有効にするには、 エンドユーザー チェックボックスをオンにします。
• 適応型ポリシーによって認証が拒否された場合にエンドユーザーが受け取る拒否メッセージをカスタマイズしたい場合は、以下のメッセージを入力します。 拒否メッセージ テキストボックス。

信頼できるデバイスを追加する方法

• エンドユーザーがポリシーの適用後にセルフサービスコンソールにログインすると、 デバイス制限 がオンになっている場合は、現在のデバイスを信頼できるデバイスとして追加するオプションが提供されます。

外部参照

• SAP アプリケーションにおける SSO + MFA + プロビジョニング
• Successfactorsユーザーへのアクセスをプロビジョニングする
• 今すぐ SAML SSO を実装 – 手間のかからないシングル サインオン
• シングル サインオン (SSO) とは何ですか? SSO はどのように機能しますか?
• お好みのアプリのその他の統合をチェックしてください