シングル サインオン 概要
(製品共通)
最終更新日: 2020 年 11 月 14 日
以下の SAP Concur ソリューションに適用されます。 Expense Professional/Premium edition Standard edition Travel Professional/Premium edition Standard edition Invoice Professional/Premium edition Standard edition Request Professional/Premium edition Standard editionシングル サインオン 概要(製品共通) i 最終更新日: 2020 年 11 月 14 日
目次
セクション 1: SAP Concur サービスへのアクセス ... 1
セクション 2: 認証 ... 1
セクション 3: SAP Concur における SSO ... 1
セクション 4: 機能 ... 2 自己完結型の SSO サービス... 3 シングル サインオンのセルフサービス ツール ... 3 SSO サインイン ポリシー ... 4 複数の IdP のサポート ... 5 暗号化された SAML ... 5 モバイル SSO ... 6 セクション 5: 実装のロールおよび責任 ... 6 セクション 6: よくある質問 ... 7
シングル サインオン 概要(製品共通) ii 最終更新日: 2020 年 11 月 14 日
改訂履歴
日付 注意事項 / コメント / 変更内容 2020 年 11 月 14 日 初版発行
シングル サインオン 概要(製品共通) 1 最終更新日: 2020 年 11 月 14 日
SSO サービス – 概要
セクション 1: SAP Concur サービスへのアクセス
SAP Concur サービスは Web ベースのアプリケーションです。このため、ソフトウェアやハー ドウェアを購入、インストール、または保守していただく必要はありません。サービスにアクセ スするには、Web ブラウザから https://www.concursolutions.com を開きます。
また、SAP Concur Mobile アプリを使用して、iOS および Android デバイス上で SAP Concur サービスにアクセスすることもできます。
サポートされているデバイスやブラウザ、ベスト プラクティスの設定については、「Concur Travel & Expense 推奨環境」ガイドをご参照ください。
セクション 2: 認証
既定では、SAP Concur サービスは SAP Concur ログイン ID とパスワードを使用します。パ スワードの複雑性ルールは導入時に設定できます。または、SAP Concur サポートにご連絡くだ さい。
SAP Concur では、SAML 2.0 規格によるシングル サインオン(SSO)もサポートしています。
SAML 2.0 規格について詳しくは、OASIS SAML Wiki をご参照ください。NOTE: SAP Concur では現時点では Web ベースのシングル サインオンについて OIDC (OpenID Connect)はサポートしていません。
セクション 3: SAP Concur における SSO
SAML SSO では、アイデンティティ プロバイダ(IdP)とサービス プロバイダ(SP)の両者が 関与します。SAP Concur はサービス プロバイダです。SAP Concur では、SAML 2.0 規格に 準拠したアイデンティティ プロファイルをサポートしています。たとえば、SAP Concur の SSO
シングル サインオン 概要(製品共通) 2 最終更新日: 2020 年 11 月 14 日
サービスでは、SAP IAS、Microsoft Azure AD、Okta、Ping Identity、OneLogin、JumpCloud、 Idaptive、Google G Suite、ADFS、Shibboleth、VMWare Workspace One、Siteminder な ど、さまざまなアイデンティティ プロバイダをサポートしています。
これまで SAP Concur の SSO サポートでは SAP Concur 技術者がサービスをアクティブ化お よび設定する必要がありましたが、今回設定料金無料のシングル サインオンのセルフサービス オプションが提供されるようになりました。シングル サインオンのセルフサービス オプション と一緒に、アクティブ化のための各手順が記載された設定ガイド「シングル サインオン(製品共 通)」が提供されます。 NOTE: 料金無料のシングル サインオンのセルフサービス オプションの他、有料サポートのシン グル サインオン支援サービス オプションをご利用いただくこともできます。 アクティブ化手順について、詳しくは設定ガイドに記載されていますが、要約すると以下のよう になります。 1. 社内の SSO 管理者を指名します。
2. SSO 管理者は [シングル サインオンの管理] ページにアクセスして、SAP Concur SP
メタデータを取得します。
3. SSO 管理者は、SP メタデータの情報に基づいて IdP の SSO 設定を行います。
4. SSO 管理者は IdP から IdP メタデータを取得して、[シングル サインオンの管理] ペ
ージにアップロードします。
5. SSO 管理者は、テスト ユーザーを数人追加し、新しい SSO 接続をテストします。
6. テストが成功した後、社内のすべての SAP Concur ユーザーに SSO を展開します。
セクション 4: 機能
シングル サインオン 概要(製品共通) 3 最終更新日: 2020 年 11 月 14 日
自己完結型の SSO サービス
SSO サービスは、SAML 2.0 に完全に準拠し、セルフサービス設定を目的として設計されていま す。従来の SAP Concur SSO スタックとは別で、既存の SSO 設定と並行して安全に使用する ことができます。既存の SSO をお使いのお客様は、SSO サービスの設定、テスト、および導入 が完了したら、従来の SSO 設定の削除を依頼し、管理するツールを 1 つに絞ることができます。
シングル サインオンのセルフサービス ツール
SSO を迅速に導入するとともに、SSO を長期的に容易かつ安全に管理するために、[シングル サ インオンの管理] ページを使用して、独自の SSO 設定を管理できます。 設定ガイド「シングル サインオン(製品共通)」に記載されているように、[シングル サインオ ンの管理] ページでは以下の操作を行うことができます。 • 全社的に SSO のみのサインイン ポリシーを強制する • SAP Concur SP メタデータを取得する• IdP メタデータを SAP Concur にアップロードする • 各 SSO サインイン オプション名を指定する
• SAP Concur からサインアウトしたときにリダイレクトされる URL を指定する
NOTE: SSO の設定プロセスは、SAP Concur SP メタデータを IdP にアップロードする部分と IdP メタデータを SAP Concur にアップロードする部分の 2 つの部分から構成されま す。シングル サインオンのセルフサービス ツールは、2 番目の部分(IdP メタデータ を SAP Concur にアップロードする)に対してのみ使用します。
シングル サインオン 概要(製品共通) 4 最終更新日: 2020 年 11 月 14 日
SSO サインイン ポリシー
社内の SSO 管理者は、[シングル サインオンの管理] ページの [SSO 設定] フィールドを使用 して、SSO サインイン ポリシーを管理できます。!
重要 SSO 設定を [SSO 必須] に変更すると、サービスの停止を招く恐れがあります。 SSO 設定を [SSO 必須] に変更した場合、すべてのユーザーが SSO を使用して IdP から concursolutions.com にサインインする必要があります。ユーザー(TMC、管理者、Web サー ビス、テスト ユーザー アカウントを含む)のユーザー名とパスワードによる concursolutions.com へのサインインはブロックされます。 このアカウントを TMC が管理している場合は、SSO 設定を [SSO 必須] に変更する前に、 TMC に通知する必要があります。 この変更についてご質問がある場合は、SAP Concur サポートへお問い合わせください。 NOTE: ユーザー グループごとの SSO 強制のサポートは、今後の機能強化の対象です。現時点 では、特定のグループだけに SSO を強制することはできません。たとえば、「FTE(正 社員)」グループには SSO を強制するものの、「請負業者」 グループには SSO を強 制しない場合があります。現時点では、このような場合、すべてのユーザーを IdP に追 加し、IdP を使用して SAP Concur へのアクセスを管理することがベスト プラクティ スです。シングル サインオン 概要(製品共通) 5 最終更新日: 2020 年 11 月 14 日
複数の IdP のサポート
シングル サインオンのセルフサービス ツールにより SAP Concur にアップロードできる IdP メタデータの数に制限はありません。つまり、1 つの SAP Concur エンティティに対して、IdP アプリまたはコネクタをいくつでも接続することができます。SSO 管理者は各 IdP に「Okta(会 社 A)」などユーザーがわかりやすい名前を付けることで、ユーザーが SP-Initiated SSO サイ ンイン時にどの IdP を選択するか迷わないようにすることができます。
例
暗号化された SAML
SAP Concur では、暗号化された SAML アサーションをサポートしています。暗号化鍵は、SAP Concur SP メタデータに含まれます。
詳しくは、設定ガイド「シングル サインオン(製品共通)」をご参照ください。IdP-Initiated SSO がサポートされています。IdP-Initiated SSO では、ユーザーは IdP にサ インインした後、通常 IdP ページでリンクまたはタイルをクリックして SAP Concur にアクセ スします。オプションで、SSO HTTP-Redirect URL(IdP が提供)を使用して、サインインを 開始することもできます。
シングル サインオン 概要(製品共通) 6 最終更新日: 2020 年 11 月 14 日
SP-Initiated SSO がサポートされています。SP-Initiated SSO では、ユーザーは
concursolutions.com に移動して、ユーザー名、認証済みのメール アドレス、または会社の SSO コードを入力し、適切な SSO オプションを選択します。
SAP Concur Mobile アプリでは SP-Initiated SSO フローに従い、SSO を使用して目的のプラ ットフォームにサインインします。
モバイル SSO
iOS および Android プラットフォームでの SAP Concur Mobile アプリで SSO がサポートさ れています。
SAP Concur Mobile アプリでは SP-Initiated SSO フローに従い、SSO を使用して目的のプラ ットフォームにサインインします。
モバイル SSO について詳しくは、設定ガイド「シングル サインオン(製品共通)」を ご参照ください。セクション 5: 実装のロールおよび責任
ロールおよび責任を以下の表に示します。 SAP Concur アイデンティティ プロバイダ お客様 文書を提供します IdP 側での SSO の設定方法に関 する文書を提供します SAML 2.0 規格をサポートする SSO ソリューションを入手また は開発しますQ&A Q&A SSO 設定をセットアップし、自己 管理します SAP Concur 側のエラーの場 合にトラブルシューティング を行います IdP 側のエラーの場合にトラブル シューティングを行います 問題の所在を明確にします
シングル サインオン 概要(製品共通) 7 最終更新日: 2020 年 11 月 14 日
セクション 6: よくある質問
Q: 「自己署名」証明書は IdP メタデータで許容されますか。 A: 信頼できる証明書発行局からの公開 X509(SSL)鍵を提供する必要があります。商 用アイデンティティ プロバイダをお使いであれば、このような問題はないはずです。SSO を内製した場合は、たとえばルート証明書から自己署名のサブ証明書がいくつか生成され る場合など、証明書のチェーン内であれば、「自己署名」証明書は許容されます。 Q: SAP Concur は IP 制限をサポートしていますか。 A: SAP Concur では現時点でプラットフォームへのアクセスを特定の IP ゲートウェイ に制限するためのオプションを提供していますが、社内で選定した IdP の IP 制限機能 を使用することをお勧めします。この場合、ユーザーは VPN から会社のネットワークに 接続して、IdP にアクセスする必要があります。VPN クライアントでサーバーのスプリ ットトンネリングは無効にしておいてください。特定の IP ゲートウェイにアクセスを制 限すると、ユーザーはまず企業ネットワークに転送された後インターネットに接続し、 SAP Concur コンテンツ配信およびアクセラレーション パートナーを経由することがな くなるため、パフォーマンスに影響が及ぶ可能性があるので注意してください。 Q: SAP Concur は多要素認証(MFA)をサポートしていますか。A: SAP Concur では MFA を直接はサポートしていません。 ただし、ほとんどのアイ デンティティ プロバイダが MFA のサポートを提供しており、SSO を使用して SAP Concur にサインインするための機能を設定することができます。 Q: SSO サービスはすべての地域でサポートされていますか。 A: 北米(米国)、EMEA、および中国のすべてのデータ センターで SSO サービスがサ ポートされています。 Q: HMAC ベースの SSO はまだサポートされていますか。 A: サポートは廃止されているため、現在 HMAC をお使いのお客様は HMAC から SAML SSO に移行する準備を整えてください。
シングル サインオン 概要(製品共通) 8 最終更新日: 2020 年 11 月 14 日
Q: Mobile アプリでは SSO 強制はどのように機能しますか。
A: SAP Concur Mobile アプリでは、SP 主導型の SSO フローに従い、SSO を使用し てサインインします。上記の「SSO サインイン ポリシー」セクションで説明したように [SSO 設定] が [SSO 必須] に設定されている場合、または Mobile 固有のポリシーで SSO が必要とされる場合は、ユーザーは SSO を使用して、Mobile アプリにサインイ ンする必要があります。
Q: モバイル SSO に複数の IdP を設定できますか。
A: はい。シングル サインオンのセルフサービス ツールにより SAP Concur にアップ ロードできる IdP メタデータの数に制限はありません。 各設定を Mobile アプリから 使用することができます。
Q: SAP Concur Mobile アプリでは SP 主導型の SSO をサポートしていますか。
A: はい。SAP Concur Mobile アプリでは SP 主導型の SSO フローに従い、SSO を使 用して目的のプラットフォームにサインインします。
