Microsoft Entra IDでシングルサインオンを設定する
Microsoft Entra IDでは、ディレクトリでSAML設定ができます。SAMLによるログインを利用できるユーザーやグループを設定します。
1.エンタープライズアプリケーションを作成する
エンタープライズアプリケーションを作成します。
エンタープライズアプリケーションを作成するを参照してください。
左ペインの[シングルサインオン]をクリックし、「シングルサインオン方式の選択」で[SAML]をクリックします。
「基本的なSAML構成」の[編集]をクリックします。
以下のとおりに設定します。
Microsoft Entra IDの項目名 | 設定する値 |
---|---|
識別子(エンティティID) | 本サイトの「テナント情報」の「SAML 連携設定」からエンティティIDをコピーして設定します。 |
応答URL(Assertion Consumer Service URL) | 本サイトの「テナント情報」の「SAML 連携設定」から応答URL(Assertion Consumer Service URL)をコピーして設定します。 |
ログアウトURL | 本サイトの「テナント情報」の「SAML 連携設定」からログアウトURLをコピーして設定します。 |
上記以外 | (設定不要) |
[保存]をクリックします。
属性とクレームを設定します。
「2. 属性とクレームを設定する」に進みます。
2. 属性とクレームを設定する
「属性とクレーム」の[編集]をクリックします。
[一意のユーザー識別子(名前ID)]をクリックします。
「ソース属性」のドロップダウンリストから「user.mail」を選択し、[保存]をクリックします。
ユーザーの姓名を同期するかどうかを設定します。
シングルサインオンした場合にユーザーの姓名を同期するときは、「ユーザーの姓名を同期するとき」の手順に進みます。同期しないときは「ユーザーの姓名を同期しないとき」の手順に進みます。
ユーザーの姓名を同期するとき
「追加の要求」に以下の givenname, surname のクレームが設定されているかを確認します。
クレーム名
種類
値
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
SAML
user.givenname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
SAML
user.surname
設定されていないときは[新しいクレームの追加]をクリックします。
設定されているときは手順8に進みます。
givennameを以下の表のとおりに追加して保存します。
Microsoft Entra IDの項目名
値
名前
givenname
名前空間
http://schemas.xmlsoap.org/ws/2005/05/identity/claims
ソース
属性
ソース属性
user.givenname
surnameを以下の表のとおりに追加して保存します。
Microsoft Entra IDの項目名
値
名前
surnname
名前空間
http://schemas.xmlsoap.org/ws/2005/05/identity/claims
ソース
属性
ソース属性
user.surname
SAML連携を設定します。
「3.SAML連携を設定する」に進みます。
ユーザーの姓名を同期しないとき
追加の要求に以下のgivenname,surnameのクレームが設定されているかを確認します。
クレーム名
種類
値
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
SAML
user.givenname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
SAML
user.surname
設定されていたときは削除します。
設定されていないときは次の手順に進みます。
SAML連携を設定します。
「3.SAML連携を設定する」に進みます。
3. SAML連携を設定する
「SAML証明書」で「フェデレーション メタデータXML」の[ダウンロード]をクリックします。
Webブラウザーの別画面で本サイトの「テナント情報」の「SAML連携設定」画面を開きます。
「メタデータで設定」をクリックします。
[ファイルを選択]をクリックし、手順1でダウンロードしたファイルをアップロードします。
手順4までの設定が完了したら、[Test]をクリックします。
エンタープライズアプリケーションへユーザーのアクセス設定をします。
「4.ユーザーのエンタープライズアプリケーションへのアクセスを設定する」に進みます。
4.ユーザーのエンタープライズアプリケーションへのアクセスを設定する
この設定をすることで、Microsoft Entra IDのディレクトリ内のユーザーがSAMLによるログインを利用できるようになります。
すべてのユーザーにアクセスを設定するとき
左ペインの[プロパティ]をクリックします。
「割り当てが必要ですか?」を[いいえ]に設定し、[保存]をクリックします。
特定のユーザーにアクセスを設定するとき
左ペインの[ユーザーとグループ]をクリックします。
[ユーザーまたはグループの追加]をクリックし、SAMLによるログインを利用するユーザーまたは所属するグループを設定します。
本サイトでSAML連携を設定します。
本サイトでSAML連携を設定するを参照してください。