| その他 | SAMLオプションプラン |
本ページでは、SAMLログインの設定方法を説明します。
本機能は「SAMLオプションプラン」をご契約していただいている方のみご利用可能です。
目次
- SAMLオプションプラン対象プロダクト
- SAMLオプションプランを契約・解約する
-
IDプロバイダ(IdP)でSAMLログインするアプリを作成する
- freeeのSAML設定画面から設定を確認する
- IDプロバイダ(IdP)でアプリを作成する
- Oktaの場合
- OneLoginの場合
- Microsoft Entra ID(旧:Azure Active Directory)の場合 -
IDプロバイダ(IdP)からメタデータXMLをダウンロードする
- Oktaの場合
- OneLoginの場合
- Microsoft Entra ID(旧:Azure Active Directory)の場合 - freeeにIDプロバイダ(IdP)からメタデータをアップロードする
- 接続テストを行ってSAMLを有効にする(SP Initiated対応IdPのみ)
- freeeで人単位でSAML ログインを有効にする
- SAMLログインを無効にして、パスワードログインをできるようにする
- SAMLログインが有効なメンバーを確認する
- SAMLログインが有効なメンバー数を確認する
- よくある質問
SAMLオプションプラン対象プロダクト
SAML SSOを行えるfreeeプロダクトは次の通りです。
- freee会計(※)
- freee人事労務(※)
- freee請求書(※)
- freee販売
- freee工数管理
- freee申告(※)
※ Webおよびモバイルアプリいずれも対象です。なお、freee会計はモバイルアプリだけでなく経費精算アプリも対象となります。
上記に記載されていないfreeeプロダクトへアクセスする場合、一度上記いずれかのプロダクトにSAML SSOでログインし、プロダクトを切り替えてください。
SAMLオプションプランを契約・解約する
営業担当者にお問い合わせください。
アドバイザー事業所はSAML SSOログインをご利用いただくことができません。
また、アドバイザー事業所に所属している方は招待されている他の事業所においても、SAML SSOをご利用いただくことができません。
IDプロバイダ(IdP)でSAMLログインするアプリを作成する
Okta、OneLoginを始めとするIDプロバイダ(IdP)でSAMLログインするアプリケーションを作成します。
このページの一連の作業は一部サービス(※)のいずれかの管理者の方のみが作業可能になります。SAML の設定をされる場合は管理者の方にご依頼ください。
※ 一部サービスとは次のとおりです。
- freee会計
- freee人事労務
- freee工数管理
- freeeマイナンバー管理
- freee開業
- freee会社設立です。
freeeのSAML設定画面から設定を確認する
freeeアカウント管理画面から、SAML設定に必要な情報を確認します。
freeeアカウント管理のメニュー[事業所管理]→[セキュリティ]→[SAML SSO]のセクションからSAMLの設定を行います。
- [SAML SSOを設定する]ボタンをクリックします。
- 画面中央のサービスプロバイダー情報を確認します。
Entity ID、 ACS URLは事業所ごとに異なります。
IDプロバイダ(IdP)でアプリを作成する
IDプロバイダ(IdP)でアプリを作成します。
上述「freeeのSAML設定画面から設定を確認する」で確認したfreeeの「Entity ID」、「ACS URL」、 「NameID Format」を利用して設定を行います。
Oktaの場合
Okta上でSAMLログインするアプリケーションを作成します。現在はカスタム統合のみをサポートしています。詳しくはOktaのヘルプページ「SAMLアプリ統合を作成する」をご確認ください。
以下の必須パラメータのみ設定いただければ動作します。
| Oktaのパラメータ名 | freeeのパラメータ名 |
|---|---|
| Single sign-on URL | ACS URL |
| Audience URI (SP Entity ID) | Entity ID |
|
Default RelayState ※ このパラメータを設定するのはオプショナルです。後述の「Tips」部分をご確認ください。 |
accounting |
| Name ID format | EmailAddress |
OneLoginの場合
OneLogin上でSAMLのカスタムコネクタのみをサポートしています。詳しくは「OneLoginのヘルプページ」をご確認ください。また、OneLoginのアプリケーションの各パラメータには以下の値を入れてください。
| OneLoginのパラメータ名 | freeeのパラメータ名 |
|---|---|
|
RelayState ※ このパラメータを設定するのはオプショナルです。後述の「Tips」部分をご確認ください。 |
accounting |
| Audience | Entity ID |
| Recipient | ACS URL |
| ACS (Consumer) URL Validator | ACS URL |
| ACS (Consumer) URL* | ACS URL |
Microsoft Entra ID(旧:Azure Active Directory)の場合
SAMLの設定から設定することができます。Microsoft Entra 管理センターからアプリケーション →「エンタープライズアプリケーション」を作成してください。
その後、「シングルサインオンの設定」から以下の項目を設定してください。
| Microsoft Entra IDのパラメータ名 | freeeのパラメータ名 |
|---|---|
| 識別子(エンティティID) | Entity ID |
| 応答URL(Assertion Consumer Service URL) | ACS URL |
|
リレー状態 ※ このパラメータを設定するのはオプショナルです。後述の「Tips」部分をご確認ください。 |
accounting |
|
一意のユーザーID ※ このパラメーターはデフォルトではuser.principalnameになっています。 |
user.email |
freeeは、Single Logout(SLO)には対応しておりません。
RelayStateに値を設定することでIDプロバイダ(IdP)からログイン後に表示するプロダクトを指定できます。
| RelayStateの値 | ログイン後に表示するプロダクト |
|---|---|
| accounting | freee会計 |
| payroll | freee人事労務 |
| project_management | freee工数管理 |
| sales_management | freee販売 |
| invoice | freee請求書 |
| (指定しない場合) | アカウント管理画面 |
IDプロバイダ(IdP)からメタデータXMLをダウンロードする
freeeでSAML設定に利用するメタデータをIDプロバイダ(IdP)からダウンロードします。ここではいくつかのIDプロバイダ(IdP)におけるダウンロード方法について紹介します。
freeeにおけるSAML設定を手動で入力する機能はサポートされておりません。
そのため、この手順でIDプロバイダ(IdP)からメタデータをダウンロードしてください。
Oktaの場合
OktaからSAML設定を行うメタデータをダウンロードします。詳しくは「Oktaのヘルプページ」をご確認ください。
OneLoginの場合
OneLoginからSAML設定を行うメタデータをダウンロードします。[More Action]→[SAML Metadata]をクリックしてメタデータをダウンロードしてください。
Microsoft Entra ID(旧:Azure Active Directory)の場合
[SAML署名証明書]→[フェデレーションメタデータXML]の[ダウンロード]からダウンロードしてください。
freeeにIDプロバイダ(IdP)からメタデータをアップロードする
IDプロバイダ(IdP)からダウンロードしたSAMLのメタデータをアップロードします。
- [SAML SSO設定]を開きます。
- [IDプロバイダ(IdP)の設定]→ [メタデータをアップロード]からメタデータをアップロードします。
- [保存する]ボタンをクリックします。
この段階ではSAML設定は有効になりません。
後述の「接続テストを行ってSAMLを有効にする(SP Initiated対応IdPのみ)」の手順を実行して、SAMLの設定を有効にしてください。
設定を更新する場合は[保存する]ボタンをクリックするまではSAML接続の設定は更新されません。
接続テストを行ってSAMLを有効にする(SP Initiated対応IdPのみ)
IdPがSP Initiatedに対応している場合は接続テストを実行して、設定が有効になっていることを確認できます。
【事前準備】IdPのアプリに接続テスト実行するユーザーを追加する
freeeのSAML 接続テストは実際にSAMLの通信を行って接続テストを行います。そのため、接続テストの前にIdPのアプリに接続テストを実行するユーザーを追加した状態にすることが必要です。
事前準備が終わった状態のイメージ
- 前提:freee上でSAMLを設定するユーザーのメールアドレス「freee-saml-sample@example.com」
- 「freee-saml-sample@example.com」のユーザーはIdPに招待されている
- 「freee-saml-sample@example.com」のユーザーはIdP上で作成される freeeのSAMLコネクターアプリに追加する
事前準備の手順
- 前述の手順までを実行して、メタデータをアップロードできる状態にします。
- 接続テストを実行するユーザーのIdPのUserを、IdPのアプリに追加します。
- Oktaの場合:
Oktaのヘルプページ「ユーザーにアプリの統合を割り当てる」の手順をご参考ください。 - OneLoginの場合:
「OneLoginのヘルプページ」の手順をご参考にマニュアルで追加してください。
- Oktaの場合:
- [接続テスト(外部サイトに移動)]のボタンをクリックして、接続テストを実行します。
- 接続テストに失敗した場合はエラーメッセージを確認し、設定を再確認します。
よくある設定ミスやエラー解消方法
-
エラー内容:
NameIDが未設定、または255文字を超えています。
- 対応方法:NameID formatが emailAddress以外を指定しているため、 Emailアドレスを指定してください。
- (IdPの仕様に依ります)IdPのusernameがemailアドレスになっていない → IdPのusernameにemailアドレスを入れてください。
-
エラー内容:
IdP 側で HTTP Post Binding または HTTP Redirect Binding がサポートされていません。- 対応方法: 接続テストはSP initiatedで行っており、認証要求をHTTP Redirect Bindingで行い、レスポンスを受け取るので現状のmetadataに追加で以下が必要です。
- <md:SingleSignOnService Binding=""urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"" Location=""<sso_url>"">
-
エラー内容:
- 接続テストに成功した場合は次の手順に進みます。
接続テストに成功すると、「接続テストに成功しました。」のメッセージが表示されます。 - [有効にする]ボタンをクリックしてください。これでSAML接続が有効になります。有効化に成功すると「SAML SSOを始める準備ができました」のメッセージが表示されます。
IdPがSP Initiatedに対応していない場合は接続テストができません。
freeeで人単位でSAML ログインを有効にする
freeeではSAMLログインを有効にする従業員を選択することができます。
ここではfreeeにSAMLログインする人を選択し、その人にSAMLログインを利用してもらう手順を示します。
なお、本セクションの操作は毎月の従業員入社に伴って、SAMLログインを有効にする際に毎月行う操作になります。
- [事業所管理]→[メンバー]タブをクリックします。
- [一括操作]→[SAML SSOの一括有効設定]をクリックします。
- SAMLログインの対象にしたい人を選択し、[有効にする]ボタンをクリックします。
※ 本画面はSAMLの設定からも開くことができます。詳しくは後述の「Tips」部分をご確認ください。 - 注意事項が表示されます。注意事項に問題なければ[有効にする]ボタンをクリックします。
- メンバーがSAMLログイン可能になります。クリック後、有効にしたメンバーが一覧で表示されます。
- SAMLログインが有効になったメンバーは、以下の方法でログインが可能になります。
- お使いのIDプロバイダ(IdP)からログイン
- freeeログイン画面の「SAML SSOでログイン」からログイン
- freeeログイン画面からのSAMLログインは、「ログイン一覧」のリンク先のものをご活用ください。
- SAML SSOを有効にしたメンバーはSAMLによるログインのみが利用できます。以下のログイン手段は利用できなくなります。
- メールアドレスとパスワード
- ソーシャルログイン
- 二要素認証
- 以下のアカウントはSAML ログインを有効にできません。
- 複数事業所に所属しているメンバー
- メールアドレスではなく、ログインIDでログインしているメンバー
※ ログインIDの詳細は「ログインIDで従業員を招待する」のヘルプページをご確認ください。 - メール認証中のメンバー
- また、SAML SSOを有効にしたメンバーは事業所作成をすることはできません。
パスワードリセットを行うことで、事業所作成者はパスワードログインも利用可能です。
SAML SSOの一括有効化設定画面は以下の操作でも開くことができます。
[事業所管理]→[セキュリティ]タブ→[SAML SSO]セクション→[メンバー一括有効]をクリックします。
SAMLログインを無効にして、パスワードログインをできるようにする
この手順では特定のメンバーに対してSAMLログインを無効にして、パスワードログインできる方法を説明します。
- freeeアカウント管理のメニュー[事業所管理]→[メンバー]のタブを開きます。
- 画面右上の[セキュリティ]タブを選択します。
- 画面右上の[一括操作]リストから、[SAML SSOの一括無効設定]をクリックします。
- 無効にするメンバーを選択し、[無効にする]ボタンをクリックします。
この画面にはSAML SSOの設定セクションからも移動することができます。詳しくは後述の「Tips」部分をご確認ください。 - 選択している人数を確認して、再度[無効にする]ボタンをクリックします。
- SAMLログインを無効化したメンバーにパスワード再設定を依頼してください。
パスワードを再設定するまではパスワードログインは利用できません。
SAML SSOを無効にしたタイミングでfreeeからパスワードリセット依頼メールがfreeeから送信されます。
このメールに従ってパスワードリセットを行うことをメンバーに依頼してください。
SAML SSOの一括無効化設定画面は以下の操作でも開くことができます。
[事業所管理]→[セキュリティ]タブ→[SAML SSO]セクション→[メンバー一括無効]をクリックします。
SAMLログインが有効なメンバーを確認する
ここではSAMLログインが有効なメンバーを確認します。
- freeeアカウント管理のメニュー[事業所管理]→[メンバー]のタブを開きます。
- 画面右上の[セキュリティ]タブを選択します。
- SAML SSOの列にチェックが入っている人がSAML SSOが有効なメンバーです。
SAMLログインが有効なメンバー数を確認する
ここではSAMLログインが有効なメンバーの数を確認します。
- freeeアカウント管理のメニュー[事業所管理]→[メンバー]のタブを開きます。
- 画面右上の[一括操作]リストから、[SAML SSOの一括無効設定]をクリックします。
- 一覧に表示される人がSAML SSOが有効なメンバーになります。こちらの数を数えて、SAML SSOが有効なメンバー数を確認ください。
よくある質問
Q:SAMLのバージョンを教えてください。
A:SAML2.0です。
Q:プロビジョニング(SCIM)に対応していますか?
A:現在はSCIMプロトコルによるプロビジョニングには対応していません。
Q:認証フローはIdP Initiated, SP Initiatedのどちらに対応していますか?
A:IdP Initiated、SP Initiatedいずれも対応しています。SP InitiatedでSAMLログインをご利用の場合、「ログイン一覧」のリンク先のログイン画面をご活用ください。
Q:SSOのURLはどうなるでしょうか?
A:ログイン用の専用URLは発行されません。ご利用のIdPのアプリポータル、もしくは「ログイン一覧」リンク先のログイン画面からfreeeにログインしてください。
Q:SAMLログインをする際にログインURLは変わりますか?
A:ご利用のIdPのアプリポータル、もしくは「ログイン一覧」リンク先のログイン画面からfreeeにログインしてください。
Q:SAMLログインが有効な人は他のログイン手段は利用できますか?
A:利用できません。SAMLログインを有効にした時点で、パスワード、ソーシャルログインの機能は利用できなくなります。SAMLを有効にする際の確認モーダルにも記載があります。詳しくは、本ページ「freeeで人単位でSAML ログインを有効にする」の手順④をご確認ください。
Q:SAMLログインする人でもfreee側で二要素認証を求められますか?
A:求められません。SAMLログインの場合はfreee側の二要素認証はスキップされます。
Q:SAMLログインが有効になっていない人はどうなりますか?
A:これまで通り、IDとPW認証となります。
Q:SAMLログインを有効にしたときにSAMLログインが強制されないプロダクトはなんですか?
A:freeeアカウントを利用しないログイン方法ではSAMLログインが強制されません。freeeアカウントを利用しないログイン方法を提供しているプロダクトは以下になります。
- freee受取請求書
- freeeサイン
※ ここではfreeeサインのログイン画面でご説明します。
- メールアドレス/パスワード:SAMLログインを強制できません。
- freeeアカウントでログイン:SAMLログインを強制できます。
Q:SAMLログインを適応している従業員がPublic APIの認証画面のログイン画面から認証できません。どうしたら良いですか?
A:一度SAMLログインを行ってから、Public APIの認可フローを行ってください。認証画面をスキップして、認可画面に遷移することができます。
Q:個人事業主アカウントでも対応可能ですか?
A:個人、法人アカウントに関わらず、ご利用いただけます。
Q:SAML SSO をやめる際に送信されるパスワードリセットメールの期限が切れてしまいました。対応方法を教えてください。
A:メンバーにログイン画面からパスワードリセットメールを再送することができます。
「メールアドレス・パスワードを変更・再発行する - メールアドレスでログインしている場合」のヘルプページをご確認ください。
Q:IdPを切り替えたいです。どうすればよいですか?
A:メタデータを再アップロードした後、設定を保存してください。
設定手順は、本ページの「freeeにIDプロバイダ(IdP)からメタデータをアップロードする」のセクションを確認してください。
Q:複数事業所に所属するアカウントの代替手段はありますか?
A:基本的にはfreeeは複数事業所に対するSAML連携を提供しておりません。しかし、IdP側でカスタム属性でのログイン設定がある場合は代替手段があります。IdP上で特定の設定を行うと、セキュリティを担保した運用が可能です。以下の例ではOktaを参考に設定しています。
- freee上で事業所ごとにアカウントを用意します。
- これまで複数事業所に所属していたアカウントを事業所毎に作ります。
例:
【before】
- freeeのログイン「freee_user1@example.co.jp」さんはfreeeのA事業所、B事業所にログインしていた。
- IdPにも「freee_user1@example.co.jp」でログインしていた。
【after】
- 「freee_user1@example.co.jp」をfreeeのA事業所用のアカウントにする。
- 「freee_user1+B_company@example.co.jp」をfreeeのB事業所用のアカウントにする。
- IdPのログインIDは「freee_user1@example.co.jp」のまま変更しない。
-
IdP側のアカウントに上記のfreeeアカウントのメールアドレスを紐付けます。
Oktaの場合はカスタム属性を利用して、紐づけを行います。詳しくはOktaのヘルプページ「カスタム属性をOktaユーザープロファイルに追加する」をご確認ください。例:
1. カスタム属性として「B事業所用のログインID」を作成します。
2. 「freee_user1@example.co.jp」のアカウントの「B事業所用のログインID」として、「freee_user1+B_company@example.co.jp」を作成します。 - 複数事業所にアクセスする必要がある人向けにIdPでログインするアプリを作り、ログインに利用するキーをカスタム属性を指定します。
- Oktaの場合はSAMLのapplication usernameにカスタム属性を指定します。詳しくはOktaのヘルプページ「アプリケーション統合ウィザードのSAMLフィールドのリファレンス」をご確認ください。
例:
- 「アプリ名:複数事業所にアクセスする人向けfreeeアプリ(B事業所)」を作成します。
- 普通の人はfreeeアプリを使い、複数事業所がアクセスする必要ない人はこのアプリを利用することはない
- freeeアプリではemailを「application username」として使う
- 上記のアプリ上では、SAMLのusernameとして「B事業所用のログインID」を指定します。
【ログインの仕方】
-
複数事業所にアクセスする必要ない人:
- freeeアプリを利用してSSOします。
-
複数事業所にアクセスする人
- A事業所にログインする場合:freeeアプリを利用してSSOします。
- B事業所にログインする場合:「アプリ名:複数事業所にアクセスする人向けfreeeアプリ(B事業所)」を利用してSSOします。
Q:SAMLログインによって課金を停止したいです。どうすればよいですか?
A:契約が従量課金の場合は、本ページの「SAMLログインを無効にして、パスワードログインをできるようにする」の手順に従って、メンバーのSAMLログインを無効化してください。この作業で請求金額を0円にすることができます。その後、営業担当者にご連絡いただき、契約を解除してください。
契約が従量課金ではない場合は営業担当者にご確認ください。
Q:HENNGE ONEで設定したいのですがどうすればよいですか?
A:詳しくはHENNGE ONEのヘルプページ「freeeのシングルサインオン設定」をご確認ください。