このページでは、FS契約レコードのリンク項目からfreeeサインの文書詳細画面へシングルサインオン(SSO)で遷移するための設定手順を説明します。
この作業を行うSalesforceユーザーは、下記の条件をすべて満たす必要があります。
- Salesforceのユーザー名(ユーザーID/メールアドレス形式)とfreeeサインに登録しているメールアドレスが同一であること
- 以下が割り当てられていること
- システム管理者プロファイル
目次
シングルサインオン(SSO)の概要
通常、freeeサインの文書詳細画面を開くにはパスワードの入力が必要です。シングルサインオン(SSO)を設定すると、Salesforceにログイン中のユーザーは、パスワード入力なしでFS契約レコードからfreeeサインの文書詳細画面へ直接遷移できます。
【シングルサインオン(SSO)でのアクセス】
「FS契約レコード」のリンク項目に表示された[freeeサイン文書参照はこちら]をクリックすると、freeeサインにログインされ、作成された文書詳細ページに遷移します。
- SSO認証方式について
freeeサインで利用できるSSOの認証方式は、SAML2.0です。 - freeeサインの文書詳細画面へアクセスする目的
通常の操作はSalesforce上のFS契約レコードで行いますが、一部の機能や情報はfreeeサインの文書詳細画面でのみ利用・確認できます。必要に応じてfreeeサインへアクセスする際に、SSO設定が有効です。
freeeサインで確認・利用できる機能は、以下の表の通りです。
| 機能名 | 説明 |
|---|---|
| コメント・履歴 |
受領者が署名時に入力したメッセージを「コメント・履歴」欄で確認できます。 メッセージは署名・合意時の通知メールでも確認できますが、メールが埋もれた場合でも、文書詳細画面から確認できます。 確認方法については、「コメントを確認・保存する」のヘルプページをご覧ください。 |
| 共有 |
受領者が締結後の文書ファイル(PDF)や締結時の通知メールを削除してしまった場合に利用します。 締結完了後は通知メールの再送ができません。通常はファイルをダウンロードしてメールに添付する必要がありますが、freeeサインの共有機能を利用すると、文書詳細画面から直接メールで送信できます。 本機能の操作方法ついては、「文書を共有する」のヘルプページをご覧ください。 |
| アクティビティ |
有効期限が近付いても「確認待ち」ステータスから変わらない場合など、受領者が文書を開封したかどうかをアクティビティで確認できます。 本機能の操作方法については、「文書のアクティビティを確認する」のヘルプページをご覧ください。 |
| 進行状況 |
三者間以上の契約(相手方の人数を2名以上)の場合、受領者全員が署名合意するまで、ステータスは「要確認」に変わりません。相手方が複数名の場合、誰が署名済みで誰が未署名なのか、どこで止まっているのかを「進行状況」で確認できます。 本機能の操作方法ついては、「文書の進行状況を確認する」のヘルプページをご覧ください。 |
| 入力項目・検索項目 |
Salesforce上で受領者が入力した値を確認する場合、文書ファイル(PDF)を開いて差し込まれた箇所を確認する必要があります。 文書全体をチェックする際は問題ありませんが、ページ数が多いと入力箇所を探すのが大変です。そのような場合、「入力項目・検索項目」で入力された値のみを確認できます。 確認方法については、「記入済み入力項目の内容を確認する」のヘルプページをご覧ください。 |
上記の表に記載した機能以外の操作は、freeeサインから行わないでください。
Salesforce上のレコードの内容と相違が発生したり、正常に機能しない原因となります。
操作は必ずSalesforce上で実行してください。
freeeサインからの操作に関しては、連携の動作保証対象外となります。
① ID プロバイダーを有効化しメタデータを準備する
SalesforceからfreeeサインへSSOで接続するには、Salesforceを認証元(ID プロバイダー)として機能させる必要があります。
この手順では、ID プロバイダーを有効化し、freeeサインとの連携に必要なメタデータをダウンロード・編集します。
- Salesforceの「設定」画面で、画面左部の[クイック検索]欄に「IDプロバイダー」と入力して検索します。
検索結果から[ID プロバイダー]を選択し、[ID プロバイダーを有効化]をクリックします。 - 「ID プロバイダーの設定」画面へ遷移したら、freeeサインとの通信に使用する証明書の選択を要求されます。任意の証明書を選択し、[保存]をクリックします。
※本画面が表示されず、手順③の画面が表示される場合は、本手順をスキップして手順③へ進みます。 - 有効化が完了し「IDプロバイダーの設定」画面へ遷移したら、[メタデータのダウンロード]をクリックします。
-
ダウンロードしたメタデータファイルを編集します。
ダウンロードしたメタデータファイル(XMLファイル)をメモ帳などのテキストエディタで開きます。メモ帳で編集する場合、「右端での折り返し」が有効になっていると、削除する行を誤る可能性があります。
[表示]→[右端での折り返し]のチェックを外してから編集することを推奨します。 -
ファイルを開いたら、下方4行目にある以下の文字列から始まる1行を探し、該当する1行全体を削除します。
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Locationこの行全体を削除します。以下は削除対象の行の例です。
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://example.my.salesforce.com/idp/endpoint/HttpPost"/>
行ごと削除し、空白の改行を残さないようにします。
- 編集後に上書き保存し、準備は完了です。
つづいて、freeeサインにシングルサインオンの設定を行うため、本ページ「② freeeサインにシングルサインオン設定を登録する」へ進みます。
② freeeサインにシングルサインオン設定を登録する
SalesforceとfreeeサインをSSO連携するには、freeeサイン側でSalesforceを認証元として認識させる必要があります。
この手順では、本ページ「① ID プロバイダーを有効化しメタデータを準備する」で編集したメタデータファイルを使用して、freeeサインにシングルサインオン設定を登録します。
- freeeサインの[設定(ギアアイコン)]→[シングルサインオン(SAML認証)]をクリックします。
- 「シングルサインオン(SAML認証)設定」画面へ遷移したら、[SAML SSO 有効化]チェックボックスにチェックを入れ、[更新する]をクリックします。
※既に「有効化」されている場合は、本手順をスキップして手順③へ進みます。 - [外部ID(idP)を追加]をクリックします。
- 「外部idP登録」画面へ遷移したら、以下を設定します。
- 外部ID(idP)名:freeeサイン for Salesforce
- メタデータファイル:本ページ「① ID プロバイダーを有効化しメタデータを準備する」の手順⑤で編集したファイル
- 必要事項を設定したら、[登録する]をクリックします。
- 外部idPの登録が完了すると、「ACS URL」「エンティティID」「ログアウトURL」が発行されます。つづいて、これらを使用してSalesforce側の設定を行います。
③ シングルサインオン用の権限セットを作成する
シングルサインオンを利用するには、外部クライアントアプリケーションを作成する必要があります。
外部クライアントアプリケーションの設定と、SSOを利用できるユーザーは、権限セットで制御します。
この手順では、SSO用の権限セットを作成します。
- [クイック検索]欄に「権限セット」と入力して検索します。[権限セット]から、[新規]をクリックします。
-
「権限セット」の作成画面に遷移したら、必要事項を入力し、[保存]をクリックします。
番号 項目名 入力内容 ① 表示ラベル freeeサイン_User_SAML ② API参照名 FS_User_SAML - 「権限セット」の設定画面に遷移したら、画面最下部までスクロールし、「システム」欄の[システム権限]をクリックします。
- [編集]をクリックします。
-
「システム権限」の一覧から、以下の項目の「有効」にチェックを入れます。
権限の名前 説明 すべての外部クライアントアプリケーションの表示 すべての外部クライアントアプリケーションを表示します。 - 画面を最上部までスクロールし、[保存]をクリックします。
- 「権限変更確認」ウィンドウが表示されたら、[保存]をクリックします。以上で権限セットの作成は完了です。
つづいて、SalesforceからfreeeサインへSSO接続するための外部クライアントアプリケーションを作成するため、「④ 外部クライアントアプリケーションを作成する」に進みます。
④ 外部クライアントアプリケーションを作成する
この手順では、Salesforceからfreeeサイン(外部サービス)へSSO接続するために必要な、「外部クライアントアプリケーション」を作成します。
- [クイック検索]欄に「アプリケーションマネージャー」と入力し、検索します。
[外部クライアントアプリケーションマネージャー]から、[新規外部クライアントアプリケーション]をクリックします。 -
「外部クライアントアプリケーションマネージャー」の登録画面へ遷移したら、必要事項を入力します。
【基本情報】番号 項目名 入力内容 ①
接続外部クライアントアプリケーション名 freeeSign_SAML ②
取引先責任者メールアドレス 設定作業者のSalesforceアカウントのメールアドレス ③
API参照名 freeeSign_SSO ④
配信状態 [ローカル]を選択
【Webアプリケーション(SAML設定の有効化)】
[Webアプリケーション(SAML設定の有効化)]をクリックして展開します。
※⑥以降の項目は、⑤にチェックを入れることで展開します。
※⑪以降の項目は、⑩にチェックを入れることで展開します。番号 項目名 入力内容 ⑤ SAMLの有効化 チェックを入れます。 ⑥ エンティティID 「② freeeサインにシングルサインオン設定を登録する」の手順⑥参照 ⑦ ACS URL 「② freeeサインにシングルサインオン設定を登録する」の手順⑥参照 ⑧ 件名種別 「ユーザー名」を選択します。 ⑨ SAMLメッセージの署名アルゴリズム 「SHA256」を選択します。 ⑩ シングルログアウトを有効化 チェックを入れます。 ⑪ シングルログアウト URL 「② freeeサインにシングルサインオン設定を登録する」の手順⑥参照 ⑫ シングルログアウトバインド 「HTTPポスト」を選択します。 - 必要事項を入力したら、[作成]をクリックします。
- 作成したアプリケーションに関する「外部クライアントアプリケーションを管理」画面へ遷移したら、[編集]をクリックします。
- 「選択可能な権限セット」から、本ページ「③ シングルサインオン用の権限セットを作成する」で作成した「freeeサイン_User_SAML」を選択し、追加ボタン(右向き三角)をクリックします。「選択済みの権限セット」に移動したら、[保存]をクリックします。
- 外部クライアントアプリケーション登録で発行されたSAML認証用ログインURLを、カスタム設定に登録します。
[SAMLポリシー]をクリックして展開し、「SAMLログイン情報」が表示されるまでスクロールします。 -
「SAMLログイン情報]をクリックして展開したら、[Idp-initのログインURL]をカスタム設定に登録します。URLをコピーし、メモ帳などに張り付けておきます。
URLの選択範囲が不足するとSSO用のURLを正しく作成できず、SSOの認証に失敗します。選択範囲が不足しないよう、URLを右クリックして「リンクのアドレスをコピー」などでURLを取得することを推奨します。
つづいて、SalesforceからfreeeサインへSSO接続するためのURLを作成するため、「⑤ カスタム設定にシングルサインオンの設定を登録する」に進みます。
⑤ カスタム設定にシングルサインオンの設定を登録する
この手順では、FS契約レコードの「リンク」項目にSSO用のURLを正しく作成するため、カスタム設定にシングルサインオンの設定を登録します。
- [クイック検索]欄に「カスタム設定」と入力し、検索します。
[カスタム設定]から、「freeeサイン」の[Manage]をクリックします。 - freeeサインの「カスタム設定」画面へ遷移したら、[編集]をクリックします。
-
「freeeサインの編集」画面へ遷移したら、必要事項を入力します。
番号 項目名 入力内容 ① チームID freeeサインのチームID
チームIDの確認方法は、「プラン・チームIDを確認する」のヘルプページをご覧ください。② SSO URL 本ページ「④ 外部クライアントアプリケーションを作成する」の手順⑦ で取得した「Idp-initのログイン」のURL - 必要事項を入力したら、[保存]をクリックします。
- 「カスタム設定」画面に遷移したら、入力した内容が表示されていることを確認したら、カスタム設定の登録は完了です。
つづいて、SSOを利用するユーザーに権限セットを割り当てるため、「⑥ 作成したシングルサインオン用の権限セットを割り当てる」へ進みます。
⑥ 作成したシングルサインオン用の権限セットを割り当てる
本ページ「③ シングルサインオン用の権限セットを作成する」で作成した権限セット「freeeサイン_User_SAML」を、freeeサインの文書詳細ページへのアクセスを許可したいSalesforceユーザーに割り当てます。
権限セットの割り当ては、シングルサインオン設定の必要な手順の1つです。
権限セットの割り当て手順については、「freeeサイン for Salesforce 初期設定-3.権限設定を行う-②権限セットを割り当てる」のヘルプページをご覧ください。
権限セットの割り当てが完了したら、つづいて、後述「⑦ シングルサインオンの認証テストを行う」でSSOの設定全体に問題がないかを確認します。
⑦ シングルサインオンの認証テストを行う
この手順では、SSOの設定が正しく動作するか認証テストを行います。
- freeeサインの[設定(ギアアイコン)]→[シングルサインオン(SAML認証)]をクリックします。
- 「シングルサインオン(SAML認証)設定」画面へ遷移したら、本ページ「② freeeサインにシングルサインオン設定を登録する」の手順③で作成した「freeeサイン for Salesforce」の[認証テスト]をクリックします。
-
「文書一覧」画面へ遷移し、「ログインしました」というメッセージが表示されたら、シングルサインオンの設定は完了です。
【認証テストが成功しない場合】
表示されたメッセージに応じて、以下の表から該当する内容を確認し、必要に応じて設定を修正します。メッセージ 原因と対策 422:Unprosessable Entity -
[外部クライアントアプリケーション]→[ポリシー]→[SAMLポリシー]→「件名種別」で[ユーザー名]が選択されているかを確認します。
※「ユーザーID」と間違えやすいためご注意ください。 -
Salesforceのユーザー名(メールアドレス型)が、freeeサインのアカウントと一致していない。
※SSO認証は、ユーザー情報のメールアドレスではなく、ユーザー名(メールアドレス型)項目とfreeeサインのメールアドレスが一致している必須です。
Sandbox組織の場合、アドレスの末尾にSANDBOXのドメイン名が含まれている場合があります。
Failure: The status code of the Response was not Success, was AuthnFailed
または、アクセス権がありません
- 本ページ「⑥ 作成したシングルサインオン用の権限セットを割り当てる」を参照し、権限セット「freeeサイン_User_SAML」を割り当てます。
- 本ページ「④ 外部クライアントアプリケーションを作成する」の手順で作成した「freeeSignSAML」の[ポリシー]タブからSAMLポリシーを編集し、「選択済みの権限セット」に「freeeサイン_User_SAML」を設定します。
ページが表示できません 404: Not Found 本ページ「② freeeサインにシングルサインオン設定を登録する」を参照し、freeeサインのシングルサインオン(SAML認証)設定で「SAML SSO 有効化」にチェックを入れて有効化します。 ページは存在しません 本ページ「⑤ カスタム設定にシングルサインオンの設定を登録する」の手順を参照し、カスタム設定に登録した「チームID」が正しいかを確認し、必要に応じて再入力します。 Single Sign-On Error
Error: Unable to resolve request into a Service Provider
本ページ「④ 外部クライアントアプリケーションを作成する」の手順で作成した「freeeSignSAML」の[ポリシー]タブからSAMLポリシーを編集し、以下の3つを再入力します。
- エンティティ ID
- ACS URL
-
シングルログアウト URL
※すでに入力されている値は一度すべて削除してから入力します。
Failure: Invalid Signature on SAML Respons 本ページ「① ID プロバイダーを有効化しメタデータを準備する」の手順で、IDプロバイダに設定した証明書の有効期限が切れているため、無効化してから再度有効化し、証明書を選択しなおします。
証明書を変更した場合、証明書を作成して選択しなおし、本ページで作成した設定をすべて削除して再設定します。
※権限セットは削除する必要はありません。証明書の作成方法についての不明点は、Salesforce社へご確認ください。
-
[外部クライアントアプリケーション]→[ポリシー]→[SAMLポリシー]→「件名種別」で[ユーザー名]が選択されているかを確認します。