Zoho CRMポータルでのSAML認証によるシングルサインオン(SSO)の設定方法

Zoho CRMポータルでのSAML認証によるシングルサインオン(SSO)の設定方法

この記事では、Zoho CRMのポータルユーザーに対してSAML認証によるシングルサインオン(SSO)を有効にする方法を説明します。 
SAML認証によるシングルサインオンの基本的な概要については、「Zoho CRMポータルでのSAML認証によるシングルサインオン(SSO)の概要」の記事をご参照ください。
前提条件
用語の説明
前提条件
  1. プラン:エンタープライズまたはアルティメット
  2. パッケージ製品(Zoho CRM PlusまたはZoho One)
  3. 試用版:対応していません。
  4. 開発者向けプラン:対応していません。
  5. サンドボックス(テスト環境):対応していません。
  6. モバイル版:対応していません。
  7. 権限:Zoho CRMのポータルに対してSAML認証によるシングルサインオンの設定と管理を行うには、ポータル管理の権限が必要です(権限の詳細については、[設定]→[権限]に移動して[管理者]を選択すると確認できます)。

用語の説明
  1. 認証
  2. ユーザーにシステムへのアクセスを許可する前に、そのユーザーが本人であることを確認するプロセスです。認証のプロセスを実施することによって、システムを不正利用から守ることができます。
  3. SAML(Security Assertion Markup Language)
    SAMLは、認証を行うための通信の標準規格です。SAMLの使用により、異なるシステム間でも認証に関する情報のやりとりが簡単になります。
  4. シングルサインオン(SSO:Single Sign On)
    1回のログインで複数のアプリやサービスにアクセスできるようにする認証の仕組みです。シングルサインオンは、ユーザーにとって使いやすい仕組みであるだけでなく、セキュリティを強化する効果もあります。
  5. IDプロバイダー(IdP:Identity Provider)
    ユーザーのIDを保管しているシステムです。ユーザーがアプリやサービスにアクセスしようとすると、このIDプロバイダーによって認証が行われます。複数のシステムの認証機能をひとつのIDプロバイダーに統合してシングルサインオンを可能にすることで、全体のセキュリティを強化できます。
  6. サービスプロバイダー(SP:Service Provider)
    ユーザーがアクセスしようとしているアプリまたはサービスを提供しているシステムです。
  7. ACS URL(Assertion Consumer Service URL)
    ACS(アサーションコンシューマーサービス)URLは、IDプロバイダーがSAML応答(レスポンス)を送信する宛先URLです。このURLで指定されるサービスプロバイダーに、認証されたユーザーIDの情報を含むメッセージがIDプロバイダーから送信されます。
  8. 発行者(Issuer)
    要求(リクエスト)または応答(レスポンス)の発行者です。IDプロバイダーか、サービスプロバイダーのいずれかを指します。SAMLの要求や応答は、発行者にもとづいて適切な場所に送信されます。 
  9. 初期設定のリレー状態(RelayState)
    IDプロバイダーでの認証後にユーザーが転送されるURLです。
  10. シングルログアウトURL(Single Logout URL)
    ユーザーがログアウトしようとする際に、IDプロバイダーがログアウト要求(リクエスト)を送信する宛先URLです。
  11. ログインURL
    IDプロバイダーへのログインURLです。IDプロバイダーにログインしていないユーザーは、アプリまたはサービスにアクセスしようとすると、このURLに転送されます。
  12. ログアウトURL
    IDプロバイダーからのログアウトURLです。IDプロバイダーによって管理されているアプリまたはサービスからユーザーがログアウトすると、ログアウト要求(リクエスト)がこのURLに送信されます。
  13. 公開鍵と証明書
    公開鍵は、サービスプロバイダーおよびIDプロバイダーによって、署名の検証と、SAMLメッセージの暗号化/復号に使用されます。証明書は、公開鍵が改ざんされておらず真正のものであることを証明するために使用されます。
  14. アルゴリズム
    IDプロバイダーとサービスプロバイダーの間で送信されるメッセージの暗号化と復号に使用される手法やプロセスを意味します。

シングルサインオンは、IDプロバイダーとサービスプロバイダーが相互に通信をすることによって実現されます。この通信が正常に行われるようにするため、サービスプロバイダーにはIDプロバイダーの情報を、IDプロバイダーにはサービスプロバイダーの情報をそれぞれ登録する必要があります。 
設定をスムーズに進めるため、以下の情報を手元にご用意ください。
  1. ログインURL(IDプロバイダーに関する情報。IDプロバイダーから入手する必要があります)
    IDプロバイダーへのログインURLです。IDプロバイダーにログインしていないユーザーは、アプリまたはサービスにアクセスしようとすると、このURLに転送されます。
  2. ログアウトURL(IDプロバイダーに関する情報。IDプロバイダーから入手する必要があります)
    IDプロバイダーからのログアウトURLです。IDプロバイダーによって認証情報が管理されているアプリまたはサービスからユーザーがログアウトすると、ログアウト要求(リクエスト)がこのURLに送信されます。
  3. 公開鍵と証明書(IDプロバイダーに関する情報。IDプロバイダーから入手する必要があります)
    公開鍵は、サービスプロバイダーによって、署名の検証と、IDプロバイダーからのSAMLメッセージの暗号化/復号に使用されます。証明書は、この公開鍵が改ざんされておらず真正のものであることを証明するために使用されます。
前提条件 
以下で説明する手順を行うには、ポータル管理の権限が必要です([設定]→[権限]に移動して[管理者]を選択すると確認できます)。
注
注:以下で行う設定は、ポータルで作成されるすべての種類のポータルユーザーに一律に適用されます。

Zoho CRMポータルでのSAML認証によるシングルサインオンの有効化

  1. 画面右上の設定アイコンをクリックし、[チャネル]→[ポータル]に移動します。
  2. [SAML認証の設定]をクリックします。

  3. 表示される画面で、以下の情報を入力します。

    1. [ログインURL]に、IDプロバイダーから入手した情報を入力します。
    2. [ログアウトURL]に、IDプロバイダーから入手した情報を入力します。
    3. [公開鍵/証明書]に、IDプロバイダーから入手した情報を入力します。
    4. 画面に表示されている以下の情報をメモします。この情報は、Zoho CRMのポータルをIDプロバイダーに登録するときに必要になります。
      1. ACS URL(アサーションコンシューマーサービスURL):IDプロバイダーがSAML応答(レスポンス)を送信する宛先URLです。 
      2. 発行者(Issuer):サービスプロバイダーを特定する識別子です。
      3. 初期設定のリレー状態(RelayState):IDプロバイダーでの認証後にユーザーが転送されるURLです(IDプロバイダーを起点としたログインの場合)。
      4. シングルログアウトURL(Single Logout URL):ユーザーがログアウトしようとする際に、IDプロバイダーがログアウト要求(リクエスト)を送信する宛先URLです。
  4. [有効にする]をクリックします。
以上により、Zoho CRMポータルでSAML認証を有効にする手順が完了します。

次のステップ

  1. シングルサインオンを正常に機能させるためには、以下の設定が必要です。
    1. IDプロバイダーに、Zoho CRMのポータルをサービスプロバイダー(アプリ)として登録する。
    2. Zoho CRMのポータルに、IDプロバイダーに関する情報を登録する。
    3. IDプロバイダーに、ユーザー情報を登録する。
  2. 上記の情報がすべて正しく登録されていないと、ユーザーに対してエラーページが表示されます。
Zoho CRMのポータルでシングルサインオンの利用を開始するためには、IDプロバイダー側でも設定を行う必要があります。以下の情報は、Zoho CRMのポータルにおけるSAML認証の設定画面からコピーできます(SAML認証の設定画面を確認する方法については上記の手順をご参照ください)。この情報を使用して、IDプロバイダーにZoho CRMのポータルをサービスプロバイダーとして登録します。
  1. ACS URL(Assertion Consumer Service URL)
    ACS(アサーションコンシューマーサービス)URLは、IDプロバイダーがSAML応答(レスポンス)を送信する宛先URLです。このURLで指定されるサービスプロバイダーに、認証されたユーザーの情報を含むメッセージがIDプロバイダーから送信されます。 
  2. 発行者(Issuer)
    サービスプロバイダーを特定する識別子です。SAMLの要求(リクエスト)や応答(レスポンス)を適切な宛先に送信するために使用されます。 
  3. 初期設定のリレー状態(RelayState)
    IDプロバイダーでの認証後にユーザーが転送されるURLです。
  4. シングルログアウトURL(Single Logout URL)
    ユーザーがログアウトしようとする際に、IDプロバイダーがログアウト要求(リクエスト)をサービスプロバイダーに送信する宛先URLです。
これらの設定方法は、使用するIDプロバイダーによって異なります。一般的によく使用されるIDプロバイダーについては、手順説明のページへのリンクを次のセクションに記載しています。

IDプロバイダー側での設定

一般的によく使われるIDプロバイダーとしては、Zoho VaultOktaOne LoginAuth0Google WorkspaceMicrosoft Entra ID(以前のAzure Active Directory)、KeycloakZitadelなどがあります。IDプロバイダーには、サービスプロバイダーのACS URLや発行者の情報を設定する必要があります。

SAML認証を有効にするには、IDプロバイダーに、Zoho CRMのポータルをサービスプロバイダーとして登録する必要があります。登録方法については、使用しているIDプロバイダーのヘルプをご参照ください。以下は、一般的によく使用されるIDプロバイダーの手順説明ページへのリンクです(英語のページが表示される場合があります)。

  1. Zoho Vault

  2. Okta

  3. One Login

  4. Auth0

  5. Google Workspace

  6. Microsoft Entra ID

SAML認証によるシングルサインオンの無効化

IDプロバイダーを切り替える場合や、Zoho CRMのポータルユーザーに対してポータルへの登録時に使用した認証情報を使ってログインすることを求める場合(IDプロバイダーの認証情報を使用しない場合)は、SAML認証によるシングルサインオンを無効にします。

前提条件
以下で説明する手順を行うには、ポータル管理の権限が必要です(権限の詳細については、[設定]→[権限]に移動して[管理者]を選択すると確認できます)。

留意事項
Zoho CRMのポータルでSAML認証によるシングルサインオンを無効にした場合、Zoho CRMのポータルユーザーはポータルにログインする時に、Zoho CRMへの登録時に使用した認証情報を入力する必要があります。

SAML認証によるシングルサインオンを無効にするには、以下の手順を行います。
  1. 画面右上の設定アイコンをクリックし、[チャネル]→[ポータル]に移動します。
  2. [詳細を表示する]をクリックします。
  3. 表示された画面で、[無効にする]をクリックします。
次のステップ:SAML認証を有効に戻すには、上記の「Zoho CRMポータルでのSAML認証によるシングルサインオンの有効化」に説明されている手順をもう一度行ってください。

関連情報
Zoho CRMのポータルの設定については、「ポータルの設定とユーザーの招待」をご参照ください。