サイドメニュー「管理-システムの管理>オプションの管理」
本サービスにログインできるPCをIPアドレスで制限したり、外部サービスによる認証や2段階認証など、ログイン方法を設定します。
カスタマイズできる項目には (+) が表示されます。
| 大項目/中項目 | 項目種類 | 説明 |
|---|---|---|
| IPアドレス制限/本部のアクセス制限 | x.x.x.x または x.x.x.x/n | 本サービスを利用できる本部端末のIPアドレスまたはネットワークアドレスを設定します。[売場ノートアプリ]を「利用する」 に設定している場合は、[売場ノートアプリも制限する] チェックボックスが表示され、設定した制限を売場ノートアプリにも適用するかどうかを設定できます。 未設定の場合は、本部からのアクセス制限は行いません。 複数のアドレスを設定する場合は、1行に1アドレスずつ記載します。 デフォルトは 無制限 です。 |
| IPアドレス制限/店舗のアクセス制限 | x.x.x.x または x.x.x.x/n | 本サービスを利用できる店舗・FC法人端末のIPアドレスまたはネットワークアドレスを設定します。[売場ノートアプリ]を「利用する」 に設定している場合は、[売場ノートアプリも制限する] チェックボックスが表示され、設定した制限を売場ノートアプリにも適用するかどうかを設定できます。 未設定の場合は、店舗からのアクセス制限は行いません。 アクセス制限を利用した場合は、「店舗の管理」から店舗ごとにアクセスを許可するIPアドレスを設定できるようになります。 店舗ネットワークをVPNで構築している場合など、入力すべきIPアドレスは、本サービスのサーバーに到達するパケットのソースIPです。NATやプロキシが介在している場合は注意してください。 デフォルトは 無制限 です。 |
| 外部サービスによる本部ユーザー認証<*4> | オプションボタン | 外部サービスによる本部ユーザー認証を利用するかどうかを設定します。利用しない/Googleアカウントで認証する/Azure ADアカウントで認証する/SAML2.0で認証する から選択できます。 利用すると、ログイン時に外部サービスの認証画面が表示され、本サービスのログイン画面からログインする必要がなくなります。また、有効なセッションがあれば自動的に本サービスへログインして利用できます。 デフォルトは 利用しない です。 |
| 外部サービスによる本部ユーザー認証/ID・パスワード認証との併用 | オプションボタン | 外部サービスによる認証を利用している際に、ID/パスワードによるログイン認証を利用するかどうかを設定します。 「外部サービスを優先する」:ログイン画面を開くと、自動的に外部サービスの認証画面が表示されます。 「ID/パスワード認証を併用する」:ログイン画面が開き、ID/パスワード認証か外部サービス認証かを選択できます。 デフォルトは 外部サービスを優先する です。 |
| 店舗の自動ログイン機能<*5> | オプションボタン | 店舗・FC法人の自動ログイン機能を利用するかどうかを設定します。利用しない/IPアドレスとコンピュータ名/レジストリのログインキー/店舗ごとの専用URL/Googleアカウントで認証する/SAML2.0で認証する から選択できます。 利用すると、店舗・FC法人端末で店舗コードやパスワードを入力しなくても自動的にログインできます。 デフォルトは 利用しない です。 |
| 店舗の自動ログイン機能/自動ログインが設定された店舗への店舗コードによるログイン(+) | オプションボタン | 店舗の自動ログイン機能を利用する場合に、店舗コードとパスワードによるログインを許可するかどうかを設定します。 許可しない場合は、自動ログイン設定済みの店舗は登録された端末以外からログインできません。 デフォルトは 許可する です。 |
⚙ 前提条件:この機能は、[店舗の自動ログイン機能]を「IPアドレスとコンピュータ名」「レジストリのログインキー」「店舗ごとの専用URL」 のいずれかに設定している場合に利用できます。
| 大項目/中項目 | 項目種類 | 説明 |
|---|---|---|
| 店舗の自動ログイン機能/専用URLの自動発行(+) | オプションボタン | 店舗ごとのログイン専用URLを自動発行するかどうかを設定します。 「自動的に発行する」:既存店舗にログイン専用URLが発行され、店舗追加時にも自動でURLが発行されます。発行されたURLは、店舗の管理や店舗のマイ設定から確認できます。 「発行しない」:「店舗・店舗グループの管理」権限を持つ本部ユーザーが、店舗の管理から店舗ごとにログイン専用URLを発行します。 デフォルトは 発行しない です。 |
⚙ 前提条件:この機能は、[店舗の自動ログイン機能]が「店舗ごとの専用URL」 の場合に利用できます。
| 大項目/中項目 | 項目種類 | 説明 |
|---|---|---|
| 店舗の自動ログイン機能/店舗での専用URLの確認(+) | オプションボタン | 店舗のマイ設定から、ログインURLの確認画面を表示するかどうかを設定します。 表示すると、店舗が自店のログイン専用URLを確認できます。 デフォルトは 表示する です。 |
| 店舗の自動ログイン機能/生成するURLのスキーム(+) | オプションボタン | 店舗のログイン専用URLのスキーム生成方法を設定します。 「デフォルト設定」:スキームを指定せずにURLを生成します。 https:// のURLが生成されます。「Chrome(iOS版)」:Chrome専用の googlechromes:// が生成されます。Safariを制限したiOSデバイスから専用URLを利用する場合、Chromeを選ぶことで、専用URL通知メールのリンクからChromeで起動できます。デフォルトは デフォルト設定 です。 |
| 店舗の自動ログイン機能/専用URLでのログインを許可するブラウザ(+) | チェックボックス | 店舗のログイン専用URLにアクセスできるブラウザを設定します。iPhone/iPad/Androidスマホ/その他のブラウザ から選択できます。 デフォルトは すべて有効 です。 |
⚙ 前提条件:これらの機能は、[店舗の自動ログイン機能]が「店舗ごとの専用URL」 の場合に利用できます。
| 大項目/中項目 | 項目種類 | 説明 |
|---|---|---|
| 店舗の自動ログイン機能/ID・パスワード認証との併用 | オプションボタン | 店舗自動ログイン機能で外部サービス認証を利用している際に、ID/パスワードによるログイン認証を利用するかどうかを設定します。 「外部サービスを優先する」:ログイン画面を開くと、自動的に外部サービスの認証画面が表示されます。 「ID/パスワード認証を併用する」:ログイン画面が開き、ID/パスワード認証か外部サービス認証かを選択できます。 初期値は 外部サービスを優先する です。 |
⚙ 前提条件:この機能は、[店舗の自動ログイン機能]が「Googleアカウントで認証する」または「SAML2.0で認証する」 の場合に利用できます。
| 大項目/中項目 | 項目種類 | 説明 |
|---|---|---|
| ブラウザへのログイン情報保持/本部ログイン情報を保持する期間 | プルダウン | ログイン情報をブラウザ上のCookieに保存するかどうかを設定します。利用しない/7日間/15日間/30日間/90日間/120日間/365日間 から選択できます。 利用すると、一定期間、ログインIDとパスワードを入力せずに本サービスへログインできます。 デフォルトは 利用しない です。 |
ℹ 補足:1つのアカウントにつき、1つのブラウザ(端末)のログイン情報を保持します。別のブラウザや端末で 「ログイン状態を保持する」 をチェックした場合、前回利用したブラウザ(端末)のログイン情報はクリアされます。
| 大項目/中項目 | 項目種類 | 説明 |
|---|---|---|
| ブラウザへのログイン情報保持/店舗ログイン情報を保持する期間 | プルダウン | 店舗・店舗スタッフ・FC法人のログイン情報をブラウザ上のCookieに保存するかどうかを設定します。利用しない/7日間/15日間/30日間/90日間/120日間/365日間 から選択できます。 利用すると、一定期間、店舗(法人)コードとパスワードを入力せずに本サービスへログインできます。 デフォルトは 利用しない です。 |
ℹ 補足:1つのアカウントにつき、1つのブラウザ(端末)のログイン情報を保持します。別のブラウザや端末で 「ログイン状態を保持する」 をチェックした場合、前回利用したブラウザ(端末)のログイン情報はクリアされます。
| 大項目/中項目 | 項目種類 | 説明 |
|---|---|---|
| 2段階認証<*6>/本部 | プルダウン | 本部の2段階認証を利用するかどうかを設定します。 ログインIDとパスワードでの認証に加えて、本部ユーザーに設定されているメールアドレスまたはモバイルメールアドレスあてに届くセキュリティコードによる認証を求めます。1度ログインに成功すると、ブラウザで2段階認証済みのCookieを保持します。ブラウザのCookieをクリアするか、本部ユーザーの編集画面・マイ設定で2段階認証済みブラウザを無効にすると、再度セキュリティコード認証が必要になります。 「利用しない」:2段階認証を利用しません。 「IPアドレス制限外のみ利用する」:IPアドレス制限を利用している環境で、許可したIPアドレス以外からログインした場合のみ2段階認証を求めます。セキュリティコードが正しければログインできます。 「常に利用する」:他の設定に関わらず、ログイン時に常に2段階認証を求めます。 ただし、[外部サービスによる本部ユーザー認証] を利用している環境では、この機能は利用できません。 デフォルトは 利用しない です。 |
| 2段階認証<*6>/店舗 | プルダウン | 店舗の2段階認証を利用するかどうかを設定します。 店舗コードとパスワードでの認証に加えて、店舗に設定されているメールアドレスまたはモバイルメールアドレスあてに届くセキュリティコードによる認証を求めます。1度ログインに成功すると、ブラウザで2段階認証済みのCookieを保持します。ブラウザのCookieをクリアするか、店舗の編集画面・マイ設定で2段階認証済みブラウザを無効にすると、再度セキュリティコード認証が必要になります。 「利用しない」:2段階認証を利用しません。 「IPアドレス制限外のみ利用する」:IPアドレス制限を利用している環境で、許可したIPアドレス以外からログインした場合のみ2段階認証を求めます。セキュリティコードが正しければログインできます。 「常に利用する」:他の設定に関わらず、ログイン時に常に2段階認証を求めます。 ただし、[店舗の自動ログイン機能] を利用している環境では、この機能は利用できません。 デフォルトは 利用しない です。 |
| ログアウトボタンの表示 | オプションボタン | 本部・店舗のヘッダーエリア・サイドメニューエリア に [ログアウト] ボタンを表示するかどうかを設定します。 デフォルトは 表示する です。 |
| アクセスを許可するブラウザ | チェックボックス | 本部・店舗それぞれで、アクセス可能なブラウザを設定します。 デフォルトは すべて有効 です。 |
[変更する] ボタンをクリックすると、編集内容を登録します。
<*4.外部サービスによる本部ユーザー認証について>
■Googleアカウントで認証する
GoogleアカウントでSSOする設定を行います。
SSOしたい本部ユーザーのログインIDが、GoogleのID(Gmailアドレス)と一致している必要があります。
⚠ 注意:Google Workspaceを利用している場合は、本部ユーザーのログインIDとして自社ドメイン内のIDを指定してください。他ドメインのIDになり得る文字列をログインIDに指定すると、意図しないユーザーにログインを許可してしまう可能性があります。
利用できるIDは、@gmail.com と Google Workspaceでホストされているドメインに限られます。
■Azure ADアカウントで認証する
Microsoft Azure Active Directory(Azure AD)でSSOする設定を行います。
SSOしたい本部ユーザーのログインIDが、Azure ADのアカウントと一致している必要があります。
| 項目 | 項目種類 | 説明 |
|---|---|---|
| フェデレーション メタデータ ドキュメント | 文字列 | Azure ADアプリケーションのエンドポイントのフェデレーション メタデータ ドキュメントの値を設定します。本サービスからAzure ADへログインするためのURIです。 |
| アプリケーションID | 文字列 | Azure ADアプリケーションプロパティのサインオンURLに設定します。本サービスへログインするURIです。 |
| URLの返信 | ラベル | 本サービスがAzure ADへSSOリクエストを送信する際に使用するURIが表示されます。Azure ADアプリケーションプロパティのアプリケーションID/URLに設定してください。 |
| ログイン名ポリシー | プルダウン | 認証要求内のNameIdPolicyのフォーマットを設定します。urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress:Azure AD側が指定するNameIDがメールアドレスの場合に指定します。urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified:IdP側が指定するNameIDがIDまたは未指定の場合に指定します。デフォルトは urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress です。 |
設定手順は Azure Active Directoryとのシングルサインオン も参照してください。
店舗・店舗スタッフ・FC法人でAzure AD認証を利用したい場合は、[店舗の自動ログイン機能]を「SAML2.0で認証する」 に設定してください。
■SAML2.0で認証する
SAML2.0認証に対応している各種IdP(IDプロバイダ)と連携してSSOする設定を行います。
SSOしたい本部ユーザーのログインIDが、IdP側に登録した社員IDまたはメールアドレスと一致している必要があります。
| 項目 | 項目種類 | 説明 |
|---|---|---|
| IdPのエンティティID | 文字列 | IdPのエンティティIDを設定します。 |
| SPのエンティティID | 文字列 | SP(サービスプロバイダ)のエンティティIDを設定します。 |
| ログイン名ポリシー | プルダウン | 認証要求内のNameIdPolicyのフォーマットを設定します。urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress:IdP側が指定するNameIDがメールアドレスの場合に指定します。urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified:IdP側が指定するNameIDがIDまたは未指定の場合に指定します。デフォルトは urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress です。 |
| SAMLサインオンエンドポイントURL | 文字列 | IdPの認証情報を受け取るURLを設定します。 |
| SAMLログアウトエンドポイントURL | 文字列 | ログアウト後に遷移するURLを設定します。 |
| X509証明書 | 文字列 | IdPが認証応答メッセージの署名に用いる秘密鍵に対する公開鍵を設定します。ダウンロードした証明書をテキストで開き、内容を枠内に貼り付けてください。 |
動作確認済みのIDプロバイダとの設定手順はサポートサイトに掲載しています。
詳細は シングルサインオン を参照してください。
⚠ 注意:
- 認証フローは SP-initiated のみに対応しています。
- 管理者はSSOできません。次のURLから本サービスへ直接ログインしてください。
https://{your-domain}/h2/Login.do?identity=skip
<*5.店舗の自動ログイン機能について>
■IPアドレスとコンピュータ名
店舗端末のインターネット接続時のソースIPアドレスとWindowsのコンピュータ名を登録し、店舗コードを自動識別してログインします。
利用すると、次のようになります。
- 店舗の編集に [自動ログイン設定] 項目が表示されます。
- 店舗のエクスポート時に自動ログイン情報を出力します。
■レジストリのログインキー
店舗の管理で発行したログインキーを店舗のWindows端末のレジストリに登録し、レジストリ情報から店舗コードを識別してログインします。
- 店舗の編集に [自動ログイン設定] 項目が表示されます。
■店舗ごとの専用URL
店舗ごとにログイン専用URLを発行します。
ログイン専用URLへアクセスすると、自動的にログインします。
店舗スタッフ機能を利用している場合は、店舗スタッフごとのログイン専用URLを発行します。
■Googleアカウントで認証する
GoogleアカウントでSSOする設定を行います。
SSOしたい店舗のメールアドレスが、GoogleのID(Gmailアドレス)と一致している必要があります。
⚠ 注意:Google Workspaceを利用している場合は、店舗のメールアドレスとして自社ドメイン内のIDを指定してください。他ドメインのIDになり得る文字列をメールアドレスに指定すると、意図しないユーザーにログインを許可してしまう可能性があります。
利用できるIDは、@gmail.com と Google Workspaceでホストされているドメインに限られます。
■SAML2.0で認証する
SAML2.0認証に対応している各種IdP(IDプロバイダ)と連携してSSOする設定を行います。
SSOしたい店舗コード・店舗スタッフコード、またはメールアドレスと一致している必要があります。
| 項目 | 項目種類 | 説明 |
|---|---|---|
| IdPのエンティティID | 文字列 | IdPのエンティティIDを設定します。 |
| SPのエンティティID | 文字列 | SP(サービスプロバイダ)のエンティティIDを設定します。 |
| ログイン名ポリシー | プルダウン | 認証要求内のNameIdPolicyのフォーマットを設定します。urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress:IdP側が指定するNameIDがメールアドレスの場合に指定します。urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified:IdP側が指定するNameIDがIDまたは未指定の場合に指定します。デフォルトは urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress です。 |
| SAMLサインオンエンドポイントURL | 文字列 | IdPの認証情報を受け取るURLを設定します。 |
| SAMLログアウトエンドポイントURL | 文字列 | ログアウト後に遷移するURLを設定します。 |
| X509証明書 | 文字列 | IdPが認証応答メッセージの署名に用いる秘密鍵に対する公開鍵を設定します。ダウンロードした証明書をテキストで開き、内容を枠内に貼り付けてください。 |
⚠ 注意:認証フローは SP-initiated のみに対応しています。
<*6.2段階認証利用時のセキュリティコードについて>
セキュリティコードは、各アカウントに設定されているメールアドレスまたはモバイルメールアドレスあてに送信されます。
両方設定されている場合は、モバイルメールアドレスのみに送信 されます。
両方設定されていない場合は、ログインできません。
- セキュリティコードの有効期限:送信から15分間
- セキュリティコードを 3回間違える とログイン画面に戻ります。
- 再度ログインID(店舗コード)とパスワードを入力すると、新しいセキュリティコードが送信され、入力画面が表示されます。