シングルサインオン概要 ( 製品共通 ) 以下の SAP Concur ソリューションに適用されます Expense Professional/Premium edition Standard edition Travel Professional/Premium edition Standard edition Invoice Professional/Premium edition Standard edition Request Professional/Premium edition Standard edition
目次 セクション 1: SAP Concur サービスへのアクセス... 1 セクション 2: 認証... 1 セクション 3: SAP Concur における SSO... 1 セクション 4: 機能... 2 自己完結型の SSO サービス... 3 シングルサインオンのセルフサービスツール... 3 SSO サインインポリシー... 4 複数の IdP のサポート... 5 暗号化された SAML... 5 モバイル SSO... 6 セクション 5: 実装のロールおよび責任... 6 セクション 6: よくある質問... 7 シングルサインオン概要 ( 製品共通 ) i
改訂履歴 日付 注意事項 / コメント / 変更内容 2020 年 11 月 14 日初版発行 シングルサインオン概要 ( 製品共通 ) ii
SSO サービス 概要 セクション 1: SAP Concur サービスへのアクセス SAP Concur サービスは Web ベースのアプリケーションです このため ソフトウェアやハー ドウェアを購入 インストール または保守していただく必要はありません サービスにアクセ スするには Web ブラウザから https://www.concursolutions.com を開きます また SAP Concur Mobile アプリを使用して ios および Android デバイス上で SAP Concur サービスにアクセスすることもできます サポートされているデバイスやブラウザ ベストプラクティスの設定については Concur Travel & Expense 推奨環境 ガイドをご参照ください セクション 2: 認証 既定では SAP Concur サービスは SAP Concur ログイン ID とパスワードを使用します パ スワードの複雑性ルールは導入時に設定できます または SAP Concur サポートにご連絡くだ さい SAP Concur では SAML 2.0 規格によるシングルサインオン (SSO) もサポートしています SAML 2.0 規格について詳しくは OASIS SAML Wiki をご参照ください NOTE: SAP Concur では現時点では Web ベースのシングルサインオンについて OIDC (OpenID Connect) はサポートしていません セクション 3: SAP Concur における SSO SAML SSO では アイデンティティプロバイダ (IdP) とサービスプロバイダ (SP) の両者が 関与します SAP Concur はサービスプロバイダです SAP Concur では SAML 2.0 規格に 準拠したアイデンティティプロファイルをサポートしています たとえば SAP Concur の SSO シングルサインオン概要 ( 製品共通 ) 1
サービスでは SAP IAS Microsoft Azure AD Okta Ping Identity OneLogin JumpCloud Idaptive Google G Suite ADFS Shibboleth VMWare Workspace One Siteminder な ど さまざまなアイデンティティプロバイダをサポートしています これまで SAP Concur の SSO サポートでは SAP Concur 技術者がサービスをアクティブ化および設定する必要がありましたが 今回設定料金無料のシングルサインオンのセルフサービスオプションが提供されるようになりました シングルサインオンのセルフサービスオプションと一緒に アクティブ化のための各手順が記載された設定ガイド シングルサインオン ( 製品共通 ) が提供されます NOTE: 料金無料のシングルサインオンのセルフサービスオプションの他 有料サポートのシン グルサインオン支援サービスオプションをご利用いただくこともできます アクティブ化手順について 詳しくは設定ガイドに記載されていますが 要約すると以下のよう になります 1. 社内の SSO 管理者を指名します 2. SSO 管理者は [ シングルサインオンの管理 ] ページにアクセスして SAP Concur SP メタデータを取得します 3. SSO 管理者は SP メタデータの情報に基づいて IdP の SSO 設定を行います 4. SSO 管理者は IdP から IdP メタデータを取得して [ シングルサインオンの管理 ] ペ ージにアップロードします 5. SSO 管理者は テストユーザーを数人追加し 新しい SSO 接続をテストします 6. テストが成功した後 社内のすべての SAP Concur ユーザーに SSO を展開します セクション 4: 機能 SSO サービスでは 以下の機能を提供します シングルサインオン概要 ( 製品共通 ) 2
自己完結型の SSO サービス SSO サービスは SAML 2.0 に完全に準拠し セルフサービス設定を目的として設計されています 従来の SAP Concur SSO スタックとは別で 既存の SSO 設定と並行して安全に使用することができます 既存の SSO をお使いのお客様は SSO サービスの設定 テスト および導入が完了したら 従来の SSO 設定の削除を依頼し 管理するツールを 1 つに絞ることができます シングルサインオンのセルフサービスツール SSO を迅速に導入するとともに SSO を長期的に容易かつ安全に管理するために [ シングルサ インオンの管理 ] ページを使用して 独自の SSO 設定を管理できます 設定ガイド シングルサインオン ( 製品共通 ) に記載されているように [ シングルサインオンの管理 ] ページでは以下の操作を行うことができます 全社的に SSO のみのサインインポリシーを強制する SAP Concur SP メタデータを取得する IdP メタデータを SAP Concur にアップロードする 各 SSO サインインオプション名を指定する SAP Concur からサインアウトしたときにリダイレクトされる URL を指定する NOTE: SSO の設定プロセスは SAP Concur SP メタデータを IdP にアップロードする部分と IdP メタデータを SAP Concur にアップロードする部分の 2 つの部分から構成されます シングルサインオンのセルフサービスツールは 2 番目の部分 (IdP メタデータを SAP Concur にアップロードする ) に対してのみ使用します シングルサインオン概要 ( 製品共通 ) 3
SSO サインインポリシー 社内の SSO 管理者は [ シングルサインオンの管理 ] ページの [SSO 設定 ] フィールドを使用 して SSO サインインポリシーを管理できます! 重要 SSO 設定を [SSO 必須 ] に変更すると サービスの停止を招く恐れがあります SSO 設定を [SSO 必須 ] に変更した場合 すべてのユーザーが SSO を使用して IdP から concursolutions.com にサインインする必要があります ユーザー (TMC 管理者 Web サービス テストユーザーアカウントを含む ) のユーザー名とパスワードによる concursolutions.com へのサインインはブロックされます このアカウントを TMC が管理している場合は SSO 設定を [SSO 必須 ] に変更する前に TMC に通知する必要があります この変更についてご質問がある場合は SAP Concur サポートへお問い合わせください NOTE: ユーザーグループごとの SSO 強制のサポートは 今後の機能強化の対象です 現時点では 特定のグループだけに SSO を強制することはできません たとえば FTE( 正社員 ) グループには SSO を強制するものの 請負業者 グループには SSO を強制しない場合があります 現時点では このような場合 すべてのユーザーを IdP に追加し IdP を使用して SAP Concur へのアクセスを管理することがベストプラクティスです シングルサインオン概要 ( 製品共通 ) 4
複数の IdP のサポート シングルサインオンのセルフサービスツールにより SAP Concur にアップロードできる IdP メタデータの数に制限はありません つまり 1 つの SAP Concur エンティティに対して IdP アプリまたはコネクタをいくつでも接続することができます SSO 管理者は各 IdP に Okta( 会社 A) などユーザーがわかりやすい名前を付けることで ユーザーが SP-Initiated SSO サインイン時にどの IdP を選択するか迷わないようにすることができます 例 暗号化された SAML SAP Concur では 暗号化された SAML アサーションをサポートしています 暗号化鍵は SAP Concur SP メタデータに含まれます 詳しくは 設定ガイド シングルサインオン ( 製品共通 ) をご参照ください IdP-Initiated SSO がサポートされています IdP-Initiated SSO では ユーザーは IdP にサインインした後 通常 IdP ページでリンクまたはタイルをクリックして SAP Concur にアクセスします オプションで SSO HTTP-Redirect URL(IdP が提供 ) を使用して サインインを開始することもできます シングルサインオン概要 ( 製品共通 ) 5
SP-Initiated SSO がサポートされています SP-Initiated SSO では ユーザーは concursolutions.com に移動して ユーザー名 認証済みのメールアドレス または会社の SSO コードを入力し 適切な SSO オプションを選択します SAP Concur Mobile アプリでは SP-Initiated SSO フローに従い SSO を使用して目的のプラ ットフォームにサインインします モバイル SSO ios および Android プラットフォームでの SAP Concur Mobile アプリで SSO がサポートさ れています SAP Concur Mobile アプリでは SP-Initiated SSO フローに従い SSO を使用して目的のプラ ットフォームにサインインします モバイル SSO について詳しくは 設定ガイド シングルサインオン ( 製品共通 ) を ご参照ください セクション 5: 実装のロールおよび責任 ロールおよび責任を以下の表に示します SAP Concur アイデンティティプロバイダお客様 文書を提供します IdP 側での SSO の設定方法に関 する文書を提供します SAML 2.0 規格をサポートする SSO ソリューションを入手また は開発します Q&A Q&A SSO 設定をセットアップし 自己 管理します SAP Concur 側のエラーの場 合にトラブルシューティング を行います IdP 側のエラーの場合にトラブル シューティングを行います 問題の所在を明確にします シングルサインオン概要 ( 製品共通 ) 6
セクション 6: よくある質問 Q: 自己署名 証明書は IdP メタデータで許容されますか A: 信頼できる証明書発行局からの公開 X509(SSL) 鍵を提供する必要があります 商用アイデンティティプロバイダをお使いであれば このような問題はないはずです SSO を内製した場合は たとえばルート証明書から自己署名のサブ証明書がいくつか生成される場合など 証明書のチェーン内であれば 自己署名 証明書は許容されます Q: SAP Concur は IP 制限をサポートしていますか A: SAP Concur では現時点でプラットフォームへのアクセスを特定の IP ゲートウェイに制限するためのオプションを提供していますが 社内で選定した IdP の IP 制限機能を使用することをお勧めします この場合 ユーザーは VPN から会社のネットワークに接続して IdP にアクセスする必要があります VPN クライアントでサーバーのスプリットトンネリングは無効にしておいてください 特定の IP ゲートウェイにアクセスを制限すると ユーザーはまず企業ネットワークに転送された後インターネットに接続し SAP Concur コンテンツ配信およびアクセラレーションパートナーを経由することがなくなるため パフォーマンスに影響が及ぶ可能性があるので注意してください Q: SAP Concur は多要素認証 (MFA) をサポートしていますか A: SAP Concur では MFA を直接はサポートしていません ただし ほとんどのアイ デンティティプロバイダが MFA のサポートを提供しており SSO を使用して SAP Concur にサインインするための機能を設定することができます Q: SSO サービスはすべての地域でサポートされていますか A: 北米 ( 米国 ) EMEA および中国のすべてのデータセンターで SSO サービスがサ ポートされています Q: HMAC ベースの SSO はまだサポートされていますか A: サポートは廃止されているため 現在 HMAC をお使いのお客様は HMAC から SAML SSO に移行する準備を整えてください シングルサインオン概要 ( 製品共通 ) 7
Q: Mobile アプリでは SSO 強制はどのように機能しますか A: SAP Concur Mobile アプリでは SP 主導型の SSO フローに従い SSO を使用してサインインします 上記の SSO サインインポリシー セクションで説明したように [SSO 設定 ] が [SSO 必須 ] に設定されている場合 または Mobile 固有のポリシーで SSO が必要とされる場合は ユーザーは SSO を使用して Mobile アプリにサインインする必要があります Q: モバイル SSO に複数の IdP を設定できますか A: はい シングルサインオンのセルフサービスツールにより SAP Concur にアップ ロードできる IdP メタデータの数に制限はありません 各設定を Mobile アプリから 使用することができます Q: SAP Concur Mobile アプリでは SP 主導型の SSO をサポートしていますか A: はい SAP Concur Mobile アプリでは SP 主導型の SSO フローに従い SSO を使 用して目的のプラットフォームにサインインします 詳しくは 設定ガイド シングルサインオン ( 製品共通 ) をご参照ください シングルサインオン概要 ( 製品共通 ) 8