シングルサインオン概要（製品共通）

(1)

シングルサインオン概要

（製品共通）

最終更新日: 2020 年 11 月 14 日

(2)

改訂履歴

日付注意事項 / コメント / 変更内容

2020 年 11 月 14 日初版発行

(4)

SSO サービス – 概要

セクション 1: SAP Concur サービスへのアクセス

SAP Concur サービスは Web ベースのアプリケーションです。このため、ソフトウェアやハードウェアを購入、インストール、または保守していただく必要はありません。サービスにアクセスするには、Web ブラウザから https://www.concursolutions.com を開きます。

また、SAP Concur Mobile アプリを使用して、iOS および Android デバイス上で SAP Concur サービスにアクセスすることもできます。



サポートされているデバイスやブラウザ、ベストプラクティスの設定については、「Concur Travel & Expense 推奨環境」ガイドをご参照ください。

セクション 2: 認証

既定では、SAP Concur サービスは SAP Concur ログイン ID とパスワードを使用します。パスワードの複雑性ルールは導入時に設定できます。または、SAP Concur サポートにご連絡ください。

SAP Concur では、SAML 2.0 規格によるシングルサインオン（SSO）もサポートしています。



SAML 2.0 規格について詳しくは、OASIS SAML Wiki をご参照ください。

NOTE:SAP Concur では現時点では Web ベースのシングルサインオンについて

OIDC（OpenID Connect）はサポートしていません。

セクション 3: SAP Concur における SSO

SAML SSO では、アイデンティティプロバイダ（IdP）とサービスプロバイダ（SP）の両者が関与します。SAP Concur はサービスプロバイダです。SAP Concur では、SAML 2.0 規格に準拠したアイデンティティプロファイルをサポートしています。たとえば、SAP Concur の SSO サービスでは、SAP IAS、Microsoft Azure AD、Okta、Ping

Identity、OneLogin、JumpCloud、Idaptive、Google G

Suite、ADFS、Shibboleth、VMWare Workspace One、Siteminder など、さまざまなアイデンティティプロバイダをサポートしています。

これまで SAP Concur の SSO サポートでは SAP Concur 技術者がサービスをアクティブ化および設定する必要がありましたが、今回設定料金無料のシングルサインオンのセルフサービスオプションが提供されるようになりました。シングルサインオンのセルフサービスオプションと一緒に、アクティブ化のための各手順が記載された設定ガイド「シングルサインオン（製品共通）」が提供されます。

(5)

NOTE:料金無料のシングルサインオンのセルフサービスオプションの他、有料サポートのシングルサインオン支援サービスオプションをご利用いただくこともできます。

アクティブ化手順について、詳しくは設定ガイドに記載されていますが、要約すると以下のようになります。

1. 社内の SSO 管理者を指名します。

2. SSO 管理者は [シングルサインオンの管理] ページにアクセスして、SAP Concur SP

メタデータを取得します。

3. SSO 管理者は、SP メタデータの情報に基づいて IdP の SSO 設定を行います。

4. SSO 管理者は IdP から IdP メタデータを取得して、[シングルサインオンの管理] ペ

ージにアップロードします。

5. SSO 管理者は、テストユーザーを数人追加し、新しい SSO 接続をテストします。

6. テストが成功した後、社内のすべての SAP Concur ユーザーに SSO を展開します。

セクション 4: 機能

SSO サービスでは、以下の機能を提供します。

自己完結型の SSO サービス

SSO サービスは、SAML 2.0 に完全に準拠し、セルフサービス設定を目的として設計されています。従来の SAP Concur SSO スタックとは別で、既存の SSO 設定と並行して安全に使用することができます。既存の SSO をお使いのお客様は、SSO サービスの設定、テスト、および導入が完了したら、従来の SSO 設定の削除を依頼し、管理するツールを 1 つに絞ることができます。

シングルサインオンのセルフサービスツール

SSO を迅速に導入するとともに、SSO を長期的に容易かつ安全に管理するために、[シングルサインオンの管理] ページを使用して、独自の SSO 設定を管理できます。

設定ガイド「シングルサインオン（製品共通）」に記載されているように、[シングルサインオンの管理] ページでは以下の操作を行うことができます。

 全社的に SSO のみのサインインポリシーを強制する

 SAP Concur SP メタデータを取得する

 IdP メタデータを SAP Concur にアップロードする

 各 SSO サインインオプション名を指定する

 SAP Concur からサインアウトしたときにリダイレクトされる URL を指定する

(6)

NOTE:SSO の設定プロセスは、SAP Concur SP メタデータを IdP にアップロードする部分と IdP メタデータを SAP Concur にアップロードする部分の 2 つの部分から構成されます。シングルサインオンのセルフサービスツールは、2 番目の部分（IdP メタデータを SAP Concur にアップロードする）に対してのみ使用します。

SSO サインインポリシー

社内の SSO 管理者は、[シングルサインオンの管理] ページの [SSO 設定] フィールドを使用して、SSO サインインポリシーを管理できます。

!

^重要SSO 設定を [SSO 必須] に変更すると、サービスの停止を招く恐れがあります。

SSO 設定を [SSO 必須] に変更した場合、すべてのユーザーが SSO を使用して IdP から concursolutions.com にサインインする必要があります。ユーザー（TMC、管理者、Web サービス、テストユーザーアカウントを含む）のユーザー名とパスワードによる

concursolutions.com へのサインインはブロックされます。

このアカウントを TMC が管理している場合は、SSO 設定を [SSO 必須] に変更する前に、

TMC に通知する必要があります。

この変更についてご質問がある場合は、SAP Concur サポートへお問い合わせください。

NOTE:ユーザーグループごとの SSO 強制のサポートは、今後の機能強化の対象です。現時点

では、特定のグループだけに SSO を強制することはできません。たとえば、「FTE

（正社員）」グループには SSO を強制するものの、「請負業者」グループには SSO を強制しない場合があります。現時点では、このような場合、すべてのユーザーを IdP に追加し、IdP を使用して SAP Concur へのアクセスを管理することがベストプラクティスです。

複数の IdP のサポート

シングルサインオンのセルフサービスツールにより SAP Concur にアップロードできる IdP メタデータの数に制限はありません。つまり、1 つの SAP Concur エンティティに対して、IdP アプリまたはコネクタをいくつでも接続することができます。SSO 管理者は各 IdP に「Okta

（会社 A）」などユーザーがわかりやすい名前を付けることで、ユーザーが SP-Initiated SSO

(7)

例

暗号化された SAML

SAP Concur では、暗号化された SAML アサーションをサポートしています。暗号化鍵は、

SAP Concur SP メタデータに含まれます。



詳しくは、設定ガイド「シングルサインオン（製品共通）」をご参照ください。

IdP-Initiated SSO がサポートされています。IdP-Initiated SSO では、ユーザーは IdP にサインインした後、通常 IdP ページでリンクまたはタイルをクリックして SAP Concur にアクセスします。オプションで、SSO HTTP-Redirect URL（IdP が提供）を使用して、サインインを開始することもできます。

SP-Initiated SSO がサポートされています。SP-Initiated SSO では、ユーザーは

concursolutions.com に移動して、ユーザー名、認証済みのメールアドレス、または会社の SSO コードを入力し、適切な SSO オプションを選択します。

SAP Concur Mobile アプリでは SP-Initiated SSO フローに従い、SSO を使用して目的のプラットフォームにサインインします。

モバイル SSO

iOS および Android プラットフォームでの SAP Concur Mobile アプリで SSO がサポートされています。

SAP Concur Mobile アプリでは SP-Initiated SSO フローに従い、SSO を使用して目的のプラットフォームにサインインします。



モバイル SSO について詳しくは、設定ガイド「シングルサインオン（製品共通）」をご参照ください。

(8)

セクション 5: 実装のロールおよび責任

ロールおよび責任を以下の表に示します。

SAP Concur アイデンティティプロバイダお客様

文書を提供します IdP 側での SSO の設定方法に関す

る文書を提供します SAML 2.0 規格をサポートする SSO ソリューションを入手または開発します

Q&A Q&A SSO 設定をセットアップし、自

己管理します SAP Concur 側のエラーの場

合にトラブルシューティングを行います

IdP 側のエラーの場合にトラブルシ

ューティングを行います問題の所在を明確にします

セクション 6: よくある質問

Q: 「自己署名」証明書は IdP メタデータで許容されますか。

A: 信頼できる証明書発行局からの公開 X509（SSL）鍵を提供する必要があります。商 用アイデンティティプロバイダをお使いであれば、このような問題はないはずです。

SSO を内製した場合は、たとえばルート証明書から自己署名のサブ証明書がいくつか生成される場合など、証明書のチェーン内であれば、「自己署名」証明書は許容されます。

Q: SAP Concur は IP 制限をサポートしていますか。

A: SAP Concur では現時点でプラットフォームへのアクセスを特定の IP ゲートウェイに制限するためのオプションを提供していますが、社内で選定した IdP の IP 制限機能を使用することをお勧めします。この場合、ユーザーは VPN から会社のネットワークに接続して、IdP にアクセスする必要があります。VPN クライアントでサーバーのスプリットトンネリングは無効にしておいてください。特定の IP ゲートウェイにアクセスを制限すると、ユーザーはまず企業ネットワークに転送された後インターネットに接続し、SAP Concur コンテンツ配信およびアクセラレーションパートナーを経由することがなくなるため、パフォーマンスに影響が及ぶ可能性があるので注意してください。

Q: SAP Concur は多要素認証（MFA）をサポートしていますか。

A: SAP Concur では MFA を直接はサポートしていません。ただし、ほとんどのアイ デンティティプロバイダが MFA のサポートを提供しており、SSO を使用して SAP Concur にサインインするための機能を設定することができます。

Q: SSO サービスはすべての地域でサポートされていますか。

A: 北米（米国）、EMEA、および中国のすべてのデータセンターでSSO サービスがサ

ポートされています。

Q: HMAC ベースの SSO はまだサポートされていますか。

(9)

A: サポートは廃止されているため、現在 HMAC をお使いのお客様は HMAC から SAML SSO に移行する準備を整えてください。

Q: Mobile アプリでは SSO 強制はどのように機能しますか。

A: SAP Concur Mobile アプリでは、SP 主導型の SSO フローに従い、SSO を使用し てサインインします。上記の「SSO サインインポリシー」セクションで説明したように [SSO 設定] が [SSO 必須] に設定されている場合、または Mobile 固有のポリシーで SSO が必要とされる場合は、ユーザーは SSO を使用して、Mobile アプリにサインインする必要があります。

Q: モバイル SSO に複数の IdP を設定できますか。

A: はい。シングルサインオンのセルフサービスツールにより SAP Concur にアップ ロードできる IdP メタデータの数に制限はありません。各設定を Mobile アプリから使用することができます。

Q: SAP Concur Mobile アプリでは SP 主導型の SSO をサポートしていますか。

A: はい。SAP Concur Mobile アプリでは SP 主導型の SSO フローに従い、SSO を使 用して目的のプラットフォームにサインインします。



詳しくは、設定ガイド「シングルサインオン（製品共通）」をご参照ください。

シングル サインオン 概要 （製品共通）