Zoho AccountsにおけるSAML認証の設定

Zoho AccountsにおけるSAML認証の設定


メモ: Zoho OneまたはZoho DirectoryでSAML認証を設定する場合は、次のそれぞれのヘルプをご参照ください: Zoho One | Zoho Directory

Zoho と IDプロバイダー(IdP)の間で SAML認証を設定するには、Zoho Accountsから取得した情報をIDプロバイダーの設定画面で入力する必要があります。また、反対に、IDプロバイダーから取得した情報をZoho Accountsの設定画面に入力する必要もあります。Zohoアカウントの認証に必要な情報はメタデータファイルとして取得し、IDプロバイダーのサイトでアップロード/入力できます。その後、IDプロバイダーから取得した詳細情報をZoho Accountsの設定画面に入力します。

Zohoのメタデータ

認証情報を提供するIDプロバイダー(Identity Provider、IdP)において、Zohoをサービスプロバイダー(Service Provider、SP)として設定するには、Zohoの詳細情報を登録する必要があります。必要な情報は、Zoho Accountsからダウンロード可能なメタデータファイルに含まれています。IDプロバイダーでは、メタデータファイルをアップロードするか、手動でIDプロバイダーの詳細を入力する必要があります。具体的な手順については、IDプロバイダーのヘルプを参照するか、サポート窓口にお問い合わせください。

Zohoのメタデータファイルには、以下の情報が含まれます:
  1. エンティティID(または発行者URL/ID)
  2. ACS URL(または返信URL/シングルサインオンURL)
  3. サインアウトURL
  4. ユーザー識別情報(名前ID)の形式(NameID Format)
  5. ZOID (ACS URLの最後の部分)


Zohoのメタデータをダウンロードするには:
  1. accounts.zoho.com にサインインします。
  2. 画面左側のメニューから [組織] [SAML認証] をクリックします。
  3. [メタデータをダウンロードする] をクリックします。「zohometadata.xml」という名前のファイルがダウンロードされます。
  4. 必要なデータを表示/コピーするには、ブラウザーまたはテキストエディターでファイルを開いてください。


Zoho AccountsにおけるSAML認証の設定手順

Zoho AccountsでSAML認証を設定するには、あらかじめアイデンティティプロバイダー(IdP)から以下の認証情報を取得する必要があります。取得した認証情報は、Zoho Accountsに手動で入力することも、アイデンティティプロバイダー(IdP)から取得したメタデータファイルをアップロードして自動入力することもできます。
  1. サインインURL
  2. サインアウトURL(任意)
  3. 名前ID(NameID)
  4. X.509証明書(対応しているファイル形式:Base64形式でエンコードされた.cer、.crt、.cert、.pem)
認証情報の入力方法:
  1. Zoho Accounts(accounts.zoho.com)にサインインします。
  2. 画面左側のメニューから[組織]をクリックし、[SAML認証]に移動します。画面左側のメニューに[組織]が見つからない場合は、[さらに表示する]をクリックします。 
  3. [設定する]をクリックします。 
  4. アイデンティティプロバイダー(IdP)から取得したメタデータファイルをアップロードして自動入力するか、手動で入力します。 
  5. [名前ID(NameID)]の項目は、初期設定で「メールアドレス」が指定されています。アイデンティティプロバイダー(IdP)で別の名前ID(NameID)が使用される場合は、一覧から選択します。 
  6. [Zohoサービス]の項目には、ユーザーがアイデンティティプロバイダー(IdP)からサインインした後に移動するZohoアプリを選択します。詳細については、こちらをご参照ください。


SAML認証の設定には、必要に応じて、次の方法も利用できます:


パラメーター

ユーザーがサインインまたはサインアウトする際、アイデンティティプロバイダーからZohoのユーザー名またはメールアドレスが要求される場合があります。たとえば、ユーザーがZohoに直接サインインしようとした場合、アイデンティティプロバイダー(IdP)に自動的に移動します。アイデンティティプロバイダー(IdP)によって、ユーザーに認証用のサインインフォームが表示されます。アイデンティティプロバイダー(IdP)にZohoからユーザーのユーザー名またはメールアドレスを送信すると、サインインフォーム内の該当の項目に自動で入力されます。

Zohoからこのような情報をアイデンティティプロバイダー(IdP)に送信するには、パラメーターの設定を有効にする必要があります。[値]の項目には、ユーザー名またはメールアドレスを設定できます。[Name]の項目に入力したパラメーター名は、アイデンティティプロバイダー(IdP)において、Zohoから送信された値を識別するために使用されます。 

SAMLの送信データに署名する

ユーザー認証のために、Zohoからアイデンティティプロバイダー(IdP)に対して、SAML認証リクエストが送信されます。その際、以下を保証するために、SAML認証のリクエストに署名することをアイデンティティプロバイダー(IdP)から求められる場合があります。
  1. 送信されたリクエストがZohoからのものであること
  2. 送信された情報が改ざんされていないこと
SAMLリクエストに署名するには、ZohoからのSAMLの送信データに署名する設定を有効にします。設定を有効にすると、公開鍵が生成され、SAML認証ページでダウンロードできるようになります。署名付きSAMLリクエストの検証用に、この公開鍵をアイデンティティプロバイダー(IdP)に提供する必要があります。 

認証用の鍵のセット(キーペア)の生成

アイデンティティプロバイダー(IdP)によってユーザーが認証されると、認証済みのユーザーに関する情報を含むSAML認証のレスポンスがZohoに送信されます。この情報の機密性を保つため、SAML認証のレスポンスを暗号化することをアイデンティティプロバイダー(IdP)から求められる場合があります。この条件を満たすために、公開鍵と非公開鍵とのセット(暗号化キーペア)を生成できます。公開鍵はダウンロードして、アイデンティティプロバイダー(IdP)に提供する必要があります。非公開鍵はZohoにおいて安全に保管されます。アイデンティティプロバイダー(IdP)において、この公開鍵を使用してSAML認証のレスポンスの情報が暗号化されます。暗号化されたレスポンスが、Zohoに送信されます。暗号化されたレスポンスの情報を復号するには、Zohoが保管している非公開鍵を使用する必要があります。したがって、送信されたレスポンスの情報は、アイデンティティプロバイダー(IdP)とZohoの間で機密性を保つことができます。

メモ:SAMLの送信データに署名する設定を有効にすると、公開鍵と非公開鍵のセット(キーペア)が自動で生成されます。

一括サインアウト(シングルサインアウト)

一括サインアウト(シングルサインアウト)には、次の2種類があります:
  1. サービスプロバイダー(Zoho)を起点とした一括サインアウト(シングルサインアウト):ユーザーがZohoサービスからサインアウトした際に、アイデンティティプロバイダー(IdP)からも自動的にサインアウトします。
  2. アイデンティティプロバイダー(IdP)を起点とした一括サインアウト(シングルサインアウト):ユーザーがアイデンティティプロバイダー(IdP)からサインアウトした際に、Zohoサービスからも自動的にサインアウトします。
なお、認証情報を提供するアイデンティティプロバイダー(IdP)が一括サインアウト(シングルサインアウト)に対応している場合にのみ、一括サインアウト(シングルサインアウト)の設定を有効にできます。アイデンティティプロバイダー(IdP)によっては、2種類の一括サインアウト(シングルサインアウト)の両方に対応している、どちらかのみに対応している、両方とも対応していないことがあります。 

一括サインアウト(シングルサインアウト)の設定を設定するには: 
  1. SAML認証の設定画面の下部にある、一括サインアウト(シングルサインアウト)の設定を有効にします。 
  2. Zoho AccountsのSAML認証の設定において、アイデンティティプロバイダー(IdP)のサインアウトURLを入力します。
  3. アイデンティティプロバイダー(IdP)のSAML認証の設定において、ZohoのサインアウトURLを入力します。ZohoのサインアウトURLは、メタデータファイル内の<md:SingleLogoutService>タグの中の「Location」属性に記載されています。アイデンティティプロバイダー(IdP)において一括サインアウト(シングルサインアウト)を有効にする手順は、該当のSAMLに関するヘルプ記事をご参照ください。 

アカウントの自動作成(ジャストインタイムプロビジョニング)

アカウントの自動作成(ジャストインタイムプロビジョニング)の設定を有効にすると、新しいユーザーがSAMLを通じてZohoサービスにサインインした際に、該当のユーザーをZohoの組織に自動で追加することができます。新しいユーザーを追加する際には、SAML認証のレスポンスとユーザーのドメインの検証が行われます。アカウントの自動作成(ジャストインタイムプロビジョニング)の設定が無効の場合に、新しいユーザーに対してシングルサインオンを有効にするには、管理者が該当のユーザーをZohoサービスの組織に手動で追加する必要があります。 

また、アカウントの自動作成(ジャストインタイムプロビジョニング)の設定を有効にすると、アイデンティティプロバイダー(IdP)を通じてユーザー情報を取得することもできます。取得したデータは、Zohoサービスのユーザー情報の項目に自動で入力されます。ユーザー情報を取得するには、アカウントの自動作成(ジャストインタイムプロビジョニング)の設定を有効にする際に、Zohoサービスのユーザー情報の項目とアイデンティティプロバイダー(IdP)の項目を関連付ける必要があります。 
  1. 表示名
アイデンティティプロバイダー(IdP)によっては、属性名があらかじめ設定されている場合や、独自の属性名を入力できる場合があります。独自の属性名を入力する場合は、Zohoで属性名を入力し、同じ属性名をアイデンティティプロバイダー(IdP)でも使用します。


SAML認証における各用語については、 こちら のページをご参照ください。

次の各アイデンティティプロバイダー(IdP)のサービスにおけるSAMLを使用したシングルサインオンを設定できます。設定方法については、以下のヘルプをご参照ください:

    Zoho CRM 管理者向けトレーニング

    「導入したばかりで基本操作や設定に不安がある」、「短期間で集中的に運用開始できる状態にしたい」、「運用を開始しているが再度学び直したい」 といった課題を抱えられているユーザーさまに向けた少人数制のオンライントレーニングです。

    日々の営業活動を効率的に管理し、導入効果を高めるための方法を学びましょう。

    Zoho CRM Training



              Zoho WorkDrive Resources



                Zoho Desk Resources

                • Desk Community Learning Series


                • Digest


                • Functions


                • Meetups


                • Kbase


                • Resources


                • Glossary


                • Desk Marketplace


                • MVP Corner


                • Word of the Day









                                • Related Articles

                                • Zohoアカウントの復元

                                  この記事では、パスワード忘れや2段階認証の問題などにより、Zohoアカウントにサインインできない場合のアカウントの復元方法をご紹介します。 以下の中から、Zohoアカウントへのサインイン方法を選択してください。 パスワードのみ パスワード + ワンタイムパスワード(認証アプリ/SMS)または認証用デバイス パスワード + Zoho OneAuthアプリ Zoho OneAuthアプリでのパスワード不要のサインイン ...
                                • Zohoアカウントの保護

                                  安全性の高いパスワードを使用する アカウントを保護するうえで最もお勧めなのは、Zoho OneAuth(Zohoが提供する認証用のアプリ)で指紋認証や顔認証を使用することです。それらのいずれかの方法を使用することが推奨されますが、引き続きパスワードの使用を希望する場合は、以下の点にご注意ください。 誕生日、電話番号、名前などの個人情報は使用しないでください。 一単語のみの言葉を使用しないでください。 ...
                                • 複数のZohoアカウントの管理

                                  OneAuthアプリでは、複数のアカウントによるサインインに対応しています(Zoho MailやZoho CRMのモバイルアプリと同様です)。複数のZohoアカウントに対して多要素認証を設定して管理することが可能です。 OneAuthでの複数のアカウントへのサインイン方法 OneAuthアプリを開きます。 をタップします。 プロフィール写真の欄にある[アカウントを追加する]をタップします。 Zohoアカウントの認証情報を入力して、サインインします。 アカウントを切り替える方法 ...
                                • Zohoアカウントのデータセンター

                                  Zohoのデータセンターは、世界中のさまざまな場所にあります。国や地域ごとにユーザーのデータを保存することで、各国、各地域の要件に準拠したデータやプライバシーの保護が可能です。関連情報:データセンターとサービス提供地域の一覧(英語) ...
                                • OneAuthによるZohoアカウントの管理

                                  複数のアカウントの管理 Zoho MailやZoho CRMのモバイルアプリと同様に、OneAuthアプリでは複数のアカウントによるサインインに対応しています。複数のZohoアカウントに対して多要素認証を設定することが可能です。 OneAuthでの複数のアカウントへのサインイン方法 OneAuthアプリを開きます。 をタップします。 プロフィール写真の欄にある[アカウントを追加する]をタップします。 Zohoアカウントの認証情報を入力して、サインインします。 アカウントを切り替える方法 ...

                                Resources

                                Videos

                                Watch comprehensive videos on features and other important topics that will help you master Zoho CRM.



                                eBooks

                                Download free eBooks and access a range of topics to get deeper insight on successfully using Zoho CRM.



                                Webinars

                                Sign up for our webinars and learn the Zoho CRM basics, from customization to sales force automation and more.



                                CRM Tips

                                Make the most of Zoho CRM with these useful tips.