Microsoft Entra IDでシングルサインオンを設定する
Microsoft Entra IDでは、ディレクトリでSAML設定ができます。SAMLによるログインを利用できるユーザーやグループを設定します。
- Microsoft Entra IDとのシングルサインオンでは、SAML以外にもOpen ID Connectによるシングルサインオンも提供しています。Open ID Connectによるシングルサインオンは設定が簡単で自動同期にも対応しています。SAMLでのシングルサインオンを設定する前に、以下の「Open ID Connectによるシングルサインオンの設定方法」をご確認ください。
Open ID Connectによるシングルサインオンの設定方法
「テナント情報」の「ログイン設定」で「全て」または、「Microsoft 365アカウント」を設定します。
「一般ユーザーの初回ログイン方法」、「マイアカウント設定」の「外部サービスログイン連携」、またはIDを同期するで、「Microsoft 365アカウント」とアカウントを連携できるようになります。
アカウントの連携を設定します。
本サイトへ「Microsoft 365アカウント」でログインできるようになります。
1.エンタープライズアプリケーションを作成する
エンタープライズアプリケーションを作成します。
エンタープライズアプリケーションを作成するを参照してください。
左ペインの[シングルサインオン]をクリックし、「シングルサインオン方式の選択」で[SAML]をクリックします。
「基本的なSAML構成」の[編集]をクリックします。
以下のとおりに設定します。
| Microsoft Entra IDの項目名 | 設定する値 |
|---|---|
| 識別子(エンティティID) | 本サイトの「テナント情報」の「SAML連携設定」からエンティティIDをコピーして設定します。 |
| 応答URL(Assertion Consumer Service URL) | 本サイトの「テナント情報」の「SAML連携設定」から応答URL(Assertion Consumer Service URL)をコピーして設定します。 |
| ログアウトURL | 本サイトの「テナント情報」の「SAML連携設定」からログアウトURLをコピーして設定します。 |
| 上記以外 | (設定不要) |
[保存]をクリックします。
属性とクレームを設定します。
「2. 属性とクレームを設定する」に進みます。
2. 属性とクレームを設定する
「属性とクレーム」の[編集]をクリックします。
[一意のユーザー識別子(名前ID)]をクリックします。
「ソース属性」のドロップダウンリストから「user.mail」を選択し、[保存]をクリックします。
ユーザーの姓名を同期するかどうかを設定します。
シングルサインオンした場合にユーザーの姓名を同期するときは、「ユーザーの姓名を同期するとき」の手順に進みます。同期しないときは「ユーザーの姓名を同期しないとき」の手順に進みます。
ユーザーの姓名を同期するとき
- 「追加の要求」に以下の givenname, surname のクレームが設定されているかを確認します。
| クレーム名 | 種類 | 値 |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | SAML | user.givenname |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | SAML | user.surname |
- 設定されていないときは[新しいクレームの追加]をクリックします。
設定されているときは手順3に進みます。
- givennameを以下の表のとおりに追加して保存します。
| Microsoft Entra IDの項目名 | 値 |
|---|---|
| 名前 | givenname |
| 名前空間 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims |
| ソース | 属性 |
| ソース属性 | user.givenname |
- surnameを以下の表のとおりに追加して保存します。
| Microsoft Entra IDの項目名 | 値 |
|---|---|
| 名前 | surnname |
| 名前空間 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims |
| ソース | 属性 |
| ソース属性 | user.surname |
- SAML連携を設定します。
「3.SAML連携を設定する」に進みます。
ユーザーの姓名を同期しないとき
- 追加の要求に以下のgivenname,surnameのクレームが設定されているかを確認します。
| クレーム名 | 種類 | 値 |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | SAML | user.givenname |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | SAML | user.surname |
- 設定されていたときは削除します。
設定されていないときは次の手順に進みます。
- SAML連携を設定します。
「3.SAML連携を設定する」に進みます。
3. SAML連携を設定する
「SAML証明書」で「フェデレーション
メタデータXML」の[ダウンロード]をクリックします。
Webブラウザーの別画面で本サイトの「テナント情報」の「SAML連携設定」画面を開きます。
「メタデータで設定」をクリックします。
[ファイルを選択]をクリックし、手順1でダウンロードしたファイルをアップロードします。
手順4までの設定が完了したら、[Test]をクリックします。
エンタープライズアプリケーションへユーザーのアクセス設定をします。
「4.ユーザーのエンタープライズアプリケーションへのアクセスを設定する」に進みます。
4.ユーザーのエンタープライズアプリケーションへのアクセスを設定する
この設定をすることで、Microsoft Entra IDのディレクトリ内のユーザーがSAMLによるログインを利用できるようになります。
すべてのユーザーにアクセスを設定するとき
左ペインの[プロパティ]をクリックします。
「割り当てが必要ですか?」を[いいえ]に設定し、[保存]をクリックします。
特定のユーザーにアクセスを設定するとき
左ペインの[ユーザーとグループ]をクリックします。
[ユーザーまたはグループの追加]をクリックし、SAMLによるログインを利用するユーザーまたは所属するグループを設定します。
本サイトでSAML連携を設定します。
本サイトでSAML連携を設定するを参照してください。