シングルサインオン(SAML認証) のよくある質問

シングルサインオン（以下、SSO）とは、1つのIDとパスワードで複数のWebサービスや
アプリケーションにログインできる仕組みです。
共通IDでは、「シングルサインオン(SAML認証)設定」を設定することで、ジョブカン外のIDを利用して
ログインが可能になります。

このページでは、シングルサインオン(SAML認証)に関してよくある質問とその解決方法をご説明します。

関連ヘルプ：シングルサインオン(SAML認証)を設定する

 

目次

---

• SAML署名証明書の更新方法
• RelayStateについて
• Q. ログインできません
• Q. 今利用しているIdPはSSOに使えますか？
• Q. 複数のIdPと連携できますか？
• Q. 1つのIdPに複数のアプリを登録してジョブカンと連携できますか？
• Q. ログイン時に会社IDの入力やIdPの選択を省略できますか？

SAML署名証明書の更新方法

---

SAML署名証明書の更新方法をご説明します。

共通IDでは、1つの外部ID設定に対して、証明書をファイルとURL形式でそれぞれ設定できます。
両方同時に設定している場合、ファイルの方を優先して使用します。
両方とも設定することにはあまり意味がありませんので、どちらか一方のみ設定することをおすすめします。

• 更新方法1）既存のIdP設定を上書き（推奨）
• 更新方法2）新たにIdP設定を追加する
• 更新時のダウンタイムについて

更新方法1）既存のIdP設定を上書きする（推奨）

1. 利用中のIdPから新しいメタデータXML（証明書）を入手します。

証明書はファイルもしくはURLで指定できます。

新しいファイル・URLの取得方法はIdPによって異なります。
詳しくはIdP側のヘルプ等をご参照ください。

＞URLで指定している場合 IdP側で確認した証明書のURLが、現在すでに共通ID側で設定済みのURLと同じであれば、 以降の手順は不要です。

2. 共通IDページの「シングルサインオン(SAML認証)設定」に移動します。

3. 証明書を更新したい外部ID設定の編集画面に移動します。

4. 「接続情報」欄で新しい証明書（ファイル・URL）を登録します。

＞ファイルの場合、「メタデータファイル」に新しい証明書をアップロードします。

＞URLの場合、「メタデータURL」に新しいメタデータURLを入力します。

5. 「登録する」ボタンをクリックします。

＜SAML署名証明書の更新方法＞に戻る
画面上部に戻る

更新方法2）新たにIdP設定を追加する

IdP側での連携情報を作り直すなど、何らかの理由で共通IDの外部ID設定を作り直す場合は、
以下のヘルプページにしたがって設定を新規作成してください。

→シングルサインオン(SAML認証)を設定する

なお、外部ID設定を複数作成した場合は、SSOによるログイン時に、どの設定を利用するか選択する
必要があります。

＜SAML署名証明書の更新方法＞に戻る
画面上部に戻る

更新時のダウンタイムについて

共通IDでは、1つの外部ID設定に対して、証明書をファイルとURL形式でそれぞれ設定できます。
ただし、同一形式で複数の証明書を設定することはできません。
そのため、更新時のダウンタイムの有無については、IdP側の仕様が大きく影響します。

ダウンタイムが発生しないと考えられるケースは以下のとおりです。

• IdP側で新旧証明書を同時に有効にできる場合。
• IdP側で新証明書に切り替え後、有効期限が切れたり有効でない旧証明書でも通常の認証処理が
  行われる場合。
• 共通IDで証明書をURL形式で設定、かつ新旧証明書のメタデータURLが同じ場合（設定変更不要）。
  
  

＜SAML署名証明書の更新方法＞に戻る
画面上部に戻る

RelayStateについて

---

SAML認証にはRelayStateという仕組みがあります。
SSO認証完了後に移動するURLを指定しておくことで、共通IDにログイン後、勤怠管理のPCマイページや
経費精算/WFに直接移動できます。

RelayStateは、IdP側のページから共通IDにログインする方法（IdP-Initiated）と、
共通IDのログインページからログインする方法（SP-Initiated）のどちらでも設定できます。

• 設定方法
• relay_stateに指定可能なURL

設定方法

• IdP側のページから共通IDにログインする場合（IdP-Initiated）
• 共通IDのログインページからログインする場合（SP-Initiated）

＞IdP側のページから共通IDにログインする場合（IdP-Initiated）

設定方法はIdPによって異なります。
詳しくは各IdPのヘルプ等を確認してください。

ログイン後、移動先のURLとして指定できるURLについては「relay_stateに指定可能なURL」を
確認してください。

例）Microsoft Entra ID(旧Azure AD) Microsoft Entra ID(旧Azure AD)の場合、シングルサインオン＞「基本的なSAML構成」の設定画面で 移動先のURLを設定できます。

＜設定方法＞に戻る
＜RelayStateについて＞に戻る

＞共通IDのログインページからログインする場合（SP-Initiated）

「シングルサインオン(SAML認証)設定」から「外部ID(IdP)編集」画面を開き、ショートカットリンクを
確認してください。
この欄の「ログインURL」、「個別ログインURL」にrelay_stateパラメータを追加してURLを作成します。
作成したURLを、以降のログインURLとして利用してください。

・ログインURL+relay_state https://id.jobcan.jp/users/saml/select_idp?client_code=(会社ID)&relay_state=relay_stateに指定可能なURL ・個別ログインURL+relay_state https://id.jobcan.jp/users/saml/init?client_code=(会社ID)&saml_idp_id=XXXX&relay_state=relay_stateに指定可能なURL ※ 「外部ID(IdP)編集」画面では、client_code(会社ID)、saml_idp_idの値は入力済みの状態で表示されます。 ショートカットリンク欄のURLの末尾に続いて「&relay_state=relay_stateに指定可能なURL」を付け足してください。

＜設定方法＞に戻る
＜RelayStateについて＞に戻る
画面上部に戻る

relay_stateに指定可能なURL

遷移先のサービス	URL
勤怠管理	https://id.jobcan.jp/redirects/service?app_key=atd
経費精算/WF	https://id.jobcan.jp/redirects/service?app_key=wf
採用管理	https://id.jobcan.jp/redirects/service?app_key=ats
労務管理	https://id.jobcan.jp/redirects/service?app_key=lms
給与計算	https://id.jobcan.jp/redirects/service?app_key=payroll
会計	https://id.jobcan.jp/redirects/service?app_key=acc
証憑	https://id.jobcan.jp/redirects/service?app_key=evm
見積	https://id.jobcan.jp/redirects/service?app_key=inv

※上記のほか、経費精算/WFや給与計算の通知メールに掲載されているURLも指定可能です。

※SSOに対応しているURL以外を指定しても正常に動作しません。

＜RelayStateについて＞に戻る
画面上部に戻る

Q. ログインできません

---

A. 「シングルサインオン(SAML認証)設定」を設定してもSSOでのログインができない場合、
共通IDもしくはIdPの設定が誤っている可能性があります。

共通ID側

「外部ID(IdP)編集」画面から、「接続情報」欄が正しく設定されているかを確認します。
以下の点について確認してください。

・「外部ID(IdP)編集」＞「接続情報」のメタデータファイルおよびメタデータURL（SAML署名証明書）

• IdP側でSAML署名証明書を発行した場合
  →発行したメタデータと、ジョブカンにアップロードしたメタデータが一致しているか。
• 認証局 (CA) 等発行機関からSAML署名証明書を入手した場合
  →IdP側・ジョブカン側ともに同じメタデータをアップロードしているか。

・「外部ID(IdP)編集」＞「接続情報」の「ユーザを識別する要素」

• IdP側の設定でNameIDとして使用されている要素と一致しているか。
• ログイン対象のユーザの情報がジョブカン側とIdP側で一致しているか。
  
  

IdP側

「外部ID(IdP)編集」画面の「外部IDに登録する情報」が正しく設定されているかを確認します。
設定方法によって、以下の点を確認してください。

SAML構成情報を手入力する場合

• ACS URL（応答URL）
• エンティティID
• ユーザを識別する要素

メタデータファイルで設定する場合

• ジョブカンからダウンロードしたメタデータファイルを正しく設定しているか
• （Entra ID等の一部IdP）ジョブカン連携用のアプリケーションへのユーザ追加
  
  

画面上部に戻る

Q. 今利用しているIdPはSSOに使えますか？

---

A. 個別の検証が行えないため、個々のIdPの利用可否についてお答えすることはできません。

しかしながら、ジョブカン共通IDのSSOは「SAML2.0」の規格に対応しています。
ご利用のIdPが「SAML2.0」に対応していればSSOを利用可能です。

利用可能であることが確認済みのIdP

• Microsoft Entra ID(旧Azure AD)
• Okta
• OneLogin
• HENNGE One
  
  

画面上部に戻る

Q. 複数のIdPと連携できますか？

---

A. 「シングルサインオン(SAML認証)設定」では、IdPを複数登録可能です。
複数のIdPを登録した場合、SSO利用時に、認証に使用するIdPを選択することになります。

画面上部に戻る

Q. 1つのIdPに複数のアプリを登録してジョブカンと連携できますか？

---

A. 可能です。
IdPに複数のアプリを登録し、それぞれにSAML認証の設定を行ってください。

複数の共通IDアカウントや、「共通IDへのログイン」と「共通IDへのログイン後にジョブカン各サービスへ移動」を別のアプリとして登録することで、使い分けることができます。

画面上部に戻る

Q. ログイン時に会社IDの入力やIdPの選択を省略できますか？

---

A. 初回のSSO時には会社IDの入力を求められますが、2回目以降は前回入力した内容をブラウザが
記憶しているため、入力を省略できます。

その他に、「外部ID(IdP)編集」画面に表示されるショートカットリンクを利用することで、
会社IDやIdPの選択を省略できます。

ショートカットリンク	説明
ログインURL（外部ID(IdP)選択リンク）	会社IDの入力を省略してIdP選択画面に移動します。
個別ログインURL（選択画面を表示せずにログイン可能なリンク）	会社IDの入力・IdP選択を省略し、当該編集画面のIdPを利用してログインします。

 

画面上部に戻る

 

 

以上でございます。
最後までお読みいただきありがとうございます。

---

🔍関連ワード

共通ID、ログイン、Login、認証、サーマル、SAML、SSO