Contents
SAML認証プロトコルの概要とSSO導入の意義
SAML(Security Assertion Markup Language)は、Webサービス間でユーザー認証情報を安全に共有するためのXMLベースの標準プロトコルです。企業でのSSO(シングルサインオン)導入には、多因子認証の強化と運用効率の向上が主なメリットとして挙げられます。Freshserviceとの連携によって、ユーザーは1つのIDで複数のシステムにアクセスでき、パスワード管理の負担を軽減できます。
SAMLの基本仕組み
SAMLでは、IdP(認証プロバイダ)とSP(サービスプロバイダ)が協力して認証を行います。IdPはユーザー情報を発行し、SPはその情報を受け取ってセッションを認証します。このプロトコルにより、企業内での認証フローの統一が可能になります。
企業でのSSO導入メリット
- パスワード管理の負担軽減:複数のアカウント情報を覚える必要がない
- セキュリティ強化:多因子認証と連携することで不正アクセスを防ぐ
- 運用コスト削減:IT部門が認証関連のサポート業務を効率化できる
SSO環境構築前の準備: IdP/SP両方の初期化手順
SSO導入には、IdPとSP側の設定が必須です。Microsoft Entra IDをIdPとして選択する場合、事前にアカウントやアプリケーション登録の準備が必要になります。
IdP(Identity Provider)側設定
Microsoft Entra IDは企業でのIdPとして広く利用されています。アプリケーション登録とSAML応答設定が主なステップです。
- Microsoft Entra ID管理者アカウントでログインする
- アプリケーション登録画面を開き、Freshserviceを新規追加する
- メタデータURLを取得し、SP側に提供する
注意: メタデータ交換は両方向に行い、認証フローの整合性を確認してください。
SP(Service Provider)側設定
Freshservice側では、SAMLプロトコルの有効化とIdP情報の入力が必要です。メタデータファイルのアップロードや証明書の管理が重要なポイントとなります。
- 証明書は定期的に更新し、期限切れを防ぐ
- SP側でのSAML設定画面は「Admin > Account Settings」からアクセス可能(※バージョン依存の可能性あり)
証明書管理のポイント:
- PEM形式で導入すること
- 有効期限を定期的に確認する
- 証明書が失効しているとSSOが動作しないため、点検が必要
Freshservice管理画面でのSAML SSO設定手順
Freshserviceでは、SAML経由でSSOを有効化するための明確な手順が用意されています。以下にステップバイステップの手順を説明します。
アプリケーション設定画面アクセス
- 管理画面(Admin)を開き、「Account Settings」を選択
- 「Service Desk Security」セクション内で「Single Sign-On (SSO)」をクリックする
- SAML選択肢の有効化ボタンを押下し、設定画面へ移動
メタデータの取得・入力
- IdP側から提供されたメタデータファイルをFreshserviceにアップロードする
- 証明書はPEM形式で導入し、有効期限を確認(※SAML応答URLやエンティティIDなどは実際の環境で置き換えが必要)
証明書が失効しているとSSOが動作しないため、定期的な点検が必要です。
認証プロトコル選択
- IdP開始SSOかSP開始SSOのいずれかを選択(両方とも有効化可能)
- ユーザーがどの経路でログインするかを事前に明確に設定
Microsoft Entra IDとの統合実例: セットアッププロセス
Microsoft Entra IDとFreshserviceの統合は、企業内での認証基盤を強化する上で有効な手段です。以下に具体的なセットアップ手順を解説します。
Microsoft Entra IDアプリケーション登録
- Microsoft Entra ID管理者アカウントで「アプリケーション登録」画面へアクセス
- 「New registration」からFreshserviceを新規登録し、クライアントIDとシークレットを取得する
SAML応答設定
- Microsoft Entra ID側でSAML応答URLとエンティティIDを設定
- Freshservice側でこれらの情報を入力し、認証フローを確認
| 項目 | 値 | 補足 |
|---|---|---|
| SAML応答URL | https://freshservice.com/saml |
SP側の受信エンドポイント |
| エンティティID | https://login.microsoftonline.com/tenant_id |
Microsoft Entra IDの識別子 |
重要: 上記のSAML応答URLやエンティティIDは、実際の導入環境に合わせて置き換えてください。
デバッグモード活用法
- Microsoft Entra IDのデバッグログを有効化し、SSO認証フローを確認する
- エラー発生時は「Application Insights」や「Azure Monitor」でロギング情報を取得
IdP開始SSOとSP開始SSOの違いと選定基準
IdP開始SSOとSP開始SSOは、ユーザーがどの側から認証を始めるかによって使い分けられます。企業規模や用途に応じて適切な方法を選択することが重要です。
利用シーン別の比較表
| 項目 | IdP開始SSO | SP開始SSO |
|---|---|---|
| ログイン起点 | Microsoft Entra IDから始まる | Freshserviceから始まる |
| 適したユーザー層 | IT管理者やセキュリティ担当者 | 一般社員・エンドユーザー |
| セットアップ負担 | 高(Microsoft Entra ID側管理が重い) | 中〜低(Freshservice側管理が主) |
企業規模ごとの最適な選択肢
- 中小企業: SP開始SSOを優先し、手順をシンプルに設定
- 大規模企業: IdP開始SSOを導入し、一括管理によるセキュリティ強化
よくあるトラブルシューティングと対処法
SSO導入後は、認証エラーが発生する可能性があります。以下に代表的な問題とその解決策を整理します。
証明書エラーの確認手順
- Freshservice管理画面で証明書の有効期限を確認
- Microsoft Entra ID側の証明書が一致しているかメタデータを再取得する
- ブラウザのSSL/TLS設定やクライアント証明書の信頼性をチェック
タイムアウト対策
- IdPとSP間のネットワーク通信に遅延がないか確認
- Microsoft Entra IDで「Session Timeout」の設定値を確認し、必要に応じて増やす
ログの取得方法
- FreshserviceのSSOログは、「Admin > Audit Logs」から取得可能
- Microsoft Entra IDでは「Azure AD Sign-ins」から認証フローの詳細情報を確認
特殊なケースとして、Microsoft Entra IDとFreshservice間で証明書アルゴリズムが異なる場合、対応する証明書を再発行してください。