目次
- MicrosoftEntraID(旧AzureAD)連携について
- 従業員データの連携とSSO認証連携
- 同期時の登録・更新について
- EntraID連携機能を利用する為の環境
- EntraID側での準備
- EntraIDグループの作成
- EntraID従業員データとWORK AGILEの従業員データの対応
- 特に確認頂きたい、EntraIDのデータ項目
- EntraID連携のお申し込み
- EntraIDでのSAML認証連携
- ご提出頂きたい内容
- アプリへのユーザーの割り当て
- 台帳連携用アプリの作成
- EntraIDとの連携
- EntraID従業員データをWORK AGILE従業員データに同期
- EntraIDの認証を利用してWORK AGILEを利用する
- EntraIDでのログイン
- 同期しないWORK AGILE従業員情報の登録
サポートガイド>機能別紹介
MicrosoftEntraID(旧AzureAD)連携について
ここでは、WORK AGILEとMicrosoftEntraIDとの連携方法についてご説明します。
WORK AGILEはMicrosoftEntraIDと次の連携を行う事が出来ます。
・MicrosoftEntraID内の従業員データとWORK AGILEの従業員データを同期する。
・WORK AGILEへの従業員のログインに際して、MicrosoftEntraIDとSAML連携することによりMicrosoftアカウントでのSSOを行う。
これにより、WORK AGILE利用者の管理を、MicrosoftEntraIDを主として、MicrosoftEntraID側で登録、編集等を行い連携することでWORK AGILE側に反映させることができます。
又、Micorosft365アカウントとして認証がされていればWORK AGILEを利用することができる、つまりMicrosoft365アカウントとして認証が完了していなければWOR KAGILEを利用することが出来ない為、Microsoft365の認証セキュリティレベルでWORK AGILEを利用することができるようになります。
従業員データの連携とSSO認証連携
WORK AGILEの現行バージョンでは、EntraIDとの従業員データの連携とWORK AGILEへのMicrosoft365アカウントでのSAML形式SSO認証は一連の流れで行われます。
EntraIDと従業員データが連携された従業員に関しては、本設定を最後まで終えると、WORK AGILEでのメールアドレス・パスワードを利用したログインは行えなくなります。
同期時の登録・更新について
EntraIDと連携を行い、同期ボタンを押した際に以下の処理が行われます。
①EntraIDに登録されており、WORK AGILEには未登録の従業員
EntraIDのデータを元にして、WORK AGILEに新規登録されます。
②EntraIDに登録されており、WORK AGILEにも登録済みの従業員
EntraIDのデータに全従業員上書き更新されます。
※WORK AGILE固有の情報や、EntraIDに登録されていない一部データは更新されません。
③EntraIDにデータがないが、WORK AGILEに登録されている従業員
連携による更新はありません。EntraIDと連携していないWORK AGILEに登録された従業員となります。
※EntraID上の従業員とWORK AGILE上の従業員が同一かどうかの確認はメールアドレスによって確認します。
EntraID連携機能を利用する為の環境
1.MicrosoftEntraID
MicrosoftEntraIDは、Microsoft社が提供するサービスです。
Office365を法人契約されていると、EntraIDの利用が可能です。
参考(外部サイト): Microsoft Entra Connect とは – Microsoft Entra | Microsoft Learn
2.必要なMicrosoftアカウントの権限
EntraIDとの連携の為に、Microsoftのグローバル管理者権限をもっているアカウントが必要になります。
3.オンプレミスAD環境とWORK AGILEを連携するには
EntraID Connectをご利用いただく必要があります。WORK AGILEはEntraIDとの連携の為、オンプレミスAD環境をご利用のお客様は、事前にEntraID Connectを設定頂く必要があります。
参考(外部サイト): Microsoft Entra Connect と Connect Health とは。 – Microsoft Entra ID | Microsoft Learn
EntraID側での準備
同期する前に、事前にEntraID側での従業員情報の内容を確認し、整備をお願いいたします。
EntraIDのデータについて、オンプレミスAD、Office365、又はマスターとしているデータベースより確認・編集ください。
EntraIDに登録されているデータと、WORK AGILEデータに関して、誤りがあると、WORK AGILEに正常に同期できない場合がありますので、必ずご確認ください。
EntraIDグループの作成
WORK AGILEに同期するEntraIDに登録された従業員をEntraIDグループを選択することによって、EntraIDに登録された従業員からWORK AGILEを利用する従業員を選択・限定することができます。
連携時に、同期するEntraIDのグループを指定できます。
参考(外部サイト): グループを管理する方法 – Microsoft Entra | Microsoft Learn
グループの種類については、Microsoft365グループを選択下さい。
EntraID従業員データとWORK AGILEの従業員データの対応
WORKAGILEは、オフィスの座席を管理する関係から、EntraID内で定義されていないデータ項目があります。
また、WORK AGILEをご利用いただくうえで、EntraID側で設定頂く事を推奨しているデータ項目もあります。
以下にWORK AGILEにでの従業員データとEntraIDでの従業員データの対応表及び同期した際の処理に関して示します。
| WORKAGILE | 必須/任意 | EntraID | 同期時の挙動 | |
| 名前 | 必須 | ①表示名 | 同期連携. 入力必須です. | |
| 従業員名 姓 | 必須 | ②姓 | 同期連携. 入力必須です. | |
| 従業員名 名 | 必須 | ③名 | 同期連携. 入力必須です. | |
| 従業員名 姓 カナ | 必須 | - | 非同期.WORK AGILEにて設定 ※1 | |
| 従業員名 名 カナ | 必須 | - | 非同期.WORK AGILEにて設定 ※1 | |
| メールアドレス | 必須 | ④ユーザープリンシパルID | 同期連携. | |
| 従業員ID | 必須 | 従業員ID | 同期連携. 入力必須です. | |
| 社用携帯番号 | 任意 | ⑤携帯番号 | 同期連携. 入力があれば保存・更新されます. | |
| 拠点名 | 必須 | ⑥勤務先所在地 | 同期連携. 入力がない場合、最初につくられた拠点が対応されます。 | |
| フロア名 | 必須 | - | 非同期.拠点で最も上のフロアが参照.WORK AGILEにて設定 | |
| 所属名 | 必須 | ⑦部署 | 同期連携. 入力が無い場合、全社で登録されます. | |
| 所属長名 | 必須 | AzureADとは現状連携しておりません. | ||
| 勤務形態 | 必須 | - | 非同期. 連携時 チェック無しにて登録. WORK AGILEにて設定 | |
| 指定席 | 必須 | - | 非同期. 連携時 なしにて登録. WORK AGILEにて設定 | |
| 権限 | 必須 | - | 非同期. 連携時 一般社員権限にて登録.WORK AGILEにて設定 | |
| 備考 | 任意 | - | 非同期.WORK AGILEにて設定 |
※1 従業員の姓名のカナは、現在、EntraID側にはありません。連携時、WORK AGILEでは空欄となります。編集を押した場合、キャンセルするか、姓名のカナを入力しないと更新できません。WORK AGILEのCSVでアップロードすることで、一括で登録が可能です。
特に確認頂きたい、EntraIDのデータ項目
EntraID側で入力されていないと、同期・連携に失敗する項目として、 [名前]、[姓]、[名]、[ユーザー名]の4項目があります。
又、特にWORK AGILEと同期頂いた方が良い項目として、[拠点名][所属名]の2項目を、WORK AGILEに登録された文字と同じ文字として登録頂く事で、EntraIDと同じ内容で更新する事が出来ます。
上記項目が入力されていない等の場合、連携時にエラーが発生しますので、ご確認、編集くださいますようお願いいたします。
EntraID側での従業員情報の確認・整備ありがとうございます。
次に、WORK AGILEに対して、EntraIDでSAML認証を行う設定に関して説明します。
EntraID連携のお申し込み
EntraID(AzureAD)との連携を行う場合、SAML認証連携の為の設定が必要となる為、お申し込みをお願いします。
お申し込み後、アナウンスさせていただきますが、以下の設定を通じて、AzurePortalから取得したデータをWORK AGILE運営事務局に送付いただき、SAML連携の設定後、設定完了の連絡をさせていただきます。
EntraIDでのSAML認証連携
Microsoft Azureポータルから、Microsoft EntraIDの管理のビューをクリックして下さい。
。
AzureAD管理画面からEnterprise applicationを開いてください。
[新しいアプリケーション]をクリックしてください
[+ 独自のアプリケーションの作成]をクリックしてください。
[お使いのアプリの名前は何ですか?]
に対して、 任意のアプリの名前を入力してください。(例:WORKAGILE)
[アプリケーションではどのような操作を行いたいですか?]
に対して、[ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)]を選択してください。
[作成]ボタンをクリックしてください。
作成したアプリケーションが開かれています。
[左メニュー]から、[シングルサインオン]をクリックして下さい。
[SAML]をクリックして下さい。
[SAMLによるシングルサインオンのセットアップ画面]が開きます。
ここで、[①基本的なSAML構成]の編集をクリックして下さい。
各項目について、以下ガイドにしたがい入力して保存してください。
| 項目名 | 入力内容 |
| ①識別子 (エンティティ ID): | お申込み頂いた後、メールにて送付させていただきます。 |
| ②応答 URL (Assertion Consumer Service URL): | お申込み頂いた後、メールにて送付させていただきます。 |
| ③サインオン URL: | 未入力で構いません。 |
| ④リレー状態: | 未入力で構いません。 |
| ⑤ログアウト URL: | 未入力で構いません。 |
[②属性とクレーム]の編集をクリックして下さい。
クレーム名のうち http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress の値が[user.mail]になっているか確認してください。
[クレーム名]の値が[user.mail]となっていない場合、右図のように設定下さい。
ご提出頂きたい内容
WORK AGILE運営事務局へ、ご提出いただく情報の取得及びダウンロードをお願いいたします。
SAML 署名証明書
① [拇印]をコピーして下さい。
② [フェデレーション メタデータ XML]のダウンロードをお願いいたします。
[追加したアプリ]のセットアップ
「ログインURL」をコピーして下さい。
| 項目名 | ご提出名 |
| Idpプロバイダー | EntraID, Azure AD等 |
| 設定希望日 | |
| 通知用メールアドレス | 法人管理画面<設定<サービス管理<通知用メールアドレス 参照下さい。 |
| 基本的なSAML構成-①識別子(エンティティID) | |
| SAML署名証明書-①拇印 | |
| フェデレーション メタデータ XML | パスワードをかけたデータで送付願います。 |
| 追加したアプリ(設定したアプリ名)のセットアップー①ログインURL | |
| SAML認証でログインされる方のドメイン | 複数のドメインがある場合は、全て記載してください。 |
| SAML認証でのログイン時に「会社ドメイン」に入力したいドメイン | 複数のドメインがある場合のみ、1つのドメインを記載してください。 |
アプリへのユーザーの割り当て
左メニューにある[ユーザーとグループ]をクリックし、[+ユーザーまたはグループの追加]をクリックし、ユーザーの割当を行って下さい。
ユーザーの割当に関しては、以下のサイトを参考して下さい。
クイックスタート: ユーザー アカウントを作成して割り当てる – Microsoft Entra ID | Microsoft Learn
台帳連携用アプリの作成
シングルサインオン用アプリとは別に、台帳連携の為のアプリを作成頂く必要があります。
Azure Portalより、Microsoft Entra IDの管理よりビューを選択してください。
アプリの登録から、+新規登録をクリックして下さい。
名前については 管理しやすいよう任意のアプリケーションの表示名を設定して下さい。
サポートされているアカウントの種類についてはこの組織ディレクトリのみに含まれるアカウントを選択してください。
リダイレクトURIを設定して下さい。
プラットフォームの選択では、Webを選んで下さい。
リダイレクトURIについては、他の値と同時に、別途担当者より送付させていただきます。
一度、登録を完了ください。
作成されたアプリについて、設定をしていきます。
認証を選択してください。
認証において、承認エンドポイントによって発行してほしいトークンを選択してくださいについて、IDトークン(暗黙的およびハイブリッドフローに使用)を選択してください。
保存して下さい。
APIのアクセス許可を選択し、以下の一覧に示す項目についてAPI/アクセス許可の追加を行い、追加後、管理者の同意を与えますをクリックして下さい。
アクセス許可を付与頂きたいAPIの一覧は右表の通りです。
管理者の同意を与えられた場合、状態で緑色のチェックボックスがつきます。
保存してください。
これで、台帳連携用のアプリの作成は完了です。
EntraIDとの連携
EntraIDとの連携をお申し込みいただき、設定頂いた後、送付いただきました情報を元に、EntraIDとのSAML認証連携を、WORK AGILE事務局にて行います。
認証連携完了後、完了の旨の連絡をさせていただきます。同時に、法人管理画面の外部連携において、[接続する]ボタンが活性化し、クリックできるようになっています。
WORK AGILEでのEntraIDとの連携は従業員データの連携とEntraIDによる認証連携を行います。以下手順でEntraIDと連携することにより、従業員データの連携及び、認証連携の為のEntraIDとの連携が完了します。
WORK AGILEの法人管理画面より、[設定]>[外部連携]より、[ユーザーシステム連携][EntraID]と表示されているなかの、[接続する]ボタンをクリックしてください。
右図のポップアップが表示されますので、内容を確認の上、[接続する]ボタンをクリックしてください。
この時、Microsoftの管理者アカウントで接続下さい。
右図のポップアップが、Microsoft側で表示されます。承諾をクリックしてください。
右図のようにEntraIDの[接続する]ボタンが[解除する]ボタンの表示に変わっていれば、EntraIDとの連携は成功です。
おつかれさまでした。WORK AGILEとEntraIDが連携されました。
EntraID従業員データをWORK AGILE従業員データに同期
WORK AGILEがEntraIDと同期された状態で、従業員管理画面から同期を行う事で、EntraIDの従業員データを同期することが可能です。
EntraIDとの同期が完了していると、[法人管理者画面]>[従業員管理]画面に[AzureADと同期する]ボタンが表示されます。このボタンをクリックする事で、EntraIDの従業員データを同期できます。
同期したタイミングのデータをWORK AGILEに取り込むため、EntraIDでのデータ更新の都度、このボタンを押して、最新の状態に更新してください。
WORK AGILEに同期するEntraIDのグループを選択します。
全てのメンバーを選択するとEntraID上の全ユーザーが同期されます。
新規登録対象者数が、設定されたID数を越えている場合エラーがおきます。
WORK AGILE上での従業員の一括削除はできないため、同期グループについて、正しいものを選択してください。
EntraIDと連携された従業員について、従業員一覧のAzureAD欄に 〇 が表示されます。
詳細画面でも、AzureAD欄にありが表示されます。
EntraIDの認証を利用してWORK AGILEを利用する
WORK AGILEがEntraIDと連携され、WORK AGILEの従業員がEntraIDと同期しています。
招待メールをEntraIDと同期した従業員に送付することで、招待メールの送付を受けた従業員が、EntraID (microsoft365)認証でログインできるようになります。
メール文面は以下の通りです。
メール文面
1. EntraIDで新規に登録・同期したユーザーに招待メールを送る。
EntraIDで登録したユーザーを選択して、招待メールを送付して下さい。
EntraIDとの連携がされていないユーザーには従来通りの招待メールが送付されます。
2. WORK AGILEを既にご利用済みの従業員に対して、EntraIDでの認証を促す。
EntraIDとの同期前に既に、招待メールを送付済みで、WORK AGILEでのメールアドレス、パスワードでログインしたことがある従業員に対して、EntraIDでの認証を切り替える場合、以下の手順となります。
WORK AGILEのID、パスワードで利用中のユーザーの内、EntraIDと連携したユーザーを選択して、招待メールを送付して下さい。
招待メールを送ると、ユーザーに対して、ログイン方法の変更と、ログインIDのみ入力して頂きたい旨のシステムメールが送信されます。
同時に招待者に対して、EntraID認証に対象ユーザーが切り替わった招待メールの数と、招待メール送信に失敗した対象ユーザーのメールアドレスが記載された、システムメールが送信されます。
これで、従業員のEntraID、Microsoft365でのSAML形式でのログイン認証ができるようになりました。
EntraIDでのログイン
EntraIDでのログイン手順は以下の通りとなります。
1.EntraID(Microsoft365)側にログインしていない状態
ログイン時に、WORK AGILE内でのEntraIDと紐づいたメールアドレスを入力し、ログインボタンをクリックする事で、Microsoft365認証が求められます。認証を行うと、EntraID(Microsoft365)へのログインと同時に、WORK AGILEへのログインが行われます。
2.EntraID(Microsoft365)側にログイン済みの状態
WORK AGILEのログイン画面で、メールアドレスにEntraIDと紐づいたメールアドレスを入力することで、EntraIDにログイン済みのユーザーとして、WORK AGILEに自動的にログインします。
3.ログアウトについて
WORK AGILEをログアウトしても、EntraID(Office365)側はログアウトされません。
同期しないWORK AGILE従業員情報の登録
EntraID内にあるないに関わらず、EntraIDとの台帳及びSAML認証での連携を伴わない従業員の登録は以下の手順でお願いいたします。
・入力による従業員登録
・CSVアップロードによる従業員登録
又、EntraID内に同一の従業員が登録されているが、連携を行わない場合、EntraIDのグループから外していただくことにより、WORK AIGLE<>EntraID間の同期から外れます。
