Azure Active DirectoryはMicrosoftから展開されているツールの一つで、オンプレミスでもクラウドでもシングルサインオンができます。Azure Active Directoryを導入するとコスト削減や管理者の負担が減るなどのメリットがあります。そこでこの記事では、Azure Active DirectoryのSSO設定をわかりやすく解説していきます。また注意点についても触れているので、ぜひご覧ください。
Azure Active DirectoryのSSO設定をわかりやすく解説
Azure Active DirectoryはMicrosoftから展開されているツールの一つで、オンプレミスでもクラウドでもシングルサインオンができます。Azure Active DirectoryのSSO設定には、8つのステップがあります。
- エンタープライズアプリケーションの選択
- 新しいアプリケーションを選択
- 「独自のアプリケーションの作成」を選択
- シングルサインオンの設定をする
- SAML署名証明書とクラウドサインのセットアップから、必要な情報をSSO設定画面に入力する
- 動作テスト
- メンバーの追加
- アクセス権限を追加
なお、エディションは「Premium P1」か「 Premium P2」である必要があります。あらかじめ確認しておきましょう。
エンタープライズアプリケーションの選択
はじめに、エンタープライズアプリケーションの選択をします。ホームにある「Azureサービス」または左上にある「ポータルメニュー」から、Microsoft Azure Active Directory>「エンタープライズアプリケーションを選択します。
新しいアプリケーションを選択
次に新しいアプリケーションを選択します。
「独自のアプリケーションの作成」を選択
次に新しいアプリケーションから「独自のアプリケーションの作成」を選択します。ここで「独自のアプリケーションの作成」がない場合は、「ギャラリー以外のアプリケーション」を選択してください。
すると「名前を入力」という項目が出てきます。ここではクラウドサインだと認識できるようなネーミングをしましょう。
続いて「アプリケーションでどのような操作を行いたいですか?」という項目が出てくるので、「ギャラリーに見つからないそのほかのアプリケーションを統合します(ギャラリー以外)」にチェックを入れましょう。
名前の入力とチェックが完了したら、「作成」をクリックします。
シングルサインオンの設定をする
次にシングルサインオンの設定をします。左側のメニューから「シングルサインオン」をクリックして、シングルサインオン方式から「SAML」を選択します。
SAMLとは「Security Assertion Markup Language」の略称で、ユーザー認証で利用する言語XMLを用いた企画です。
「SAML」から「基本的なSAML構成の編集」をクリックして以下の情報を入力していきましょう。
- 識別子(エンティティID)
- 応答URL(Assertion Consumer Service URL)
- サインオンUR
識別子(エンティティ ID)は、「SSO設定画面」のAudienceを入力してください。また、応答 URL (Assertion Consumer Service URL)については、「SSO設定画面」のACS URLを入力しましょう。入力が完了したら保存します。
続いて「ユーザー属性とクレームの編集」をクリックして、「一意のユーザー識別子 (名前 ID)」から「user.mail」を選んで保存します。
SAML署名証明書とクラウドサインのセットアップから、必要な情報をSSO設定画面に入力する
「SAML署名証明書」と「クラウドサインのセットアップ」から、必要な情報をSSO設定画面に入力していきましょう。
SAML署名証明書では「証明書(Base64)」を入力します。証明書はダウンロードしてからテキストで開き、コピーアンドペーストで入力しましょう。
「クラウドサインのセットアップ」からは、ログインURLとAzureAD 識別子をコピーし、「管理者設定」>「セキュリティ」>「SSO設定画面 」から入力します。
動作テスト
入力設定が完了したら、動作テストを行います。これは管理者が実施するようにしましょう。Microsoft 365(旧Office 365)にログインして Microsoft 365のアプリメニューからアプリを選択し、SSOでログインします。
メンバーの追加
動作テストが完了したらメンバーを追加しましょう。アプリのメンバー追加方法にしたがって行なってください。
アクセス権限を追加
アクセス権限は「ユーザーとグループ」からユーザーかグループを選択し、メンバーを追加します。
Azure Active DirectoryのSSO設定においてよくある質問・注意点
Azure Active DirectoryのSSO設定では、いくつか注意点があります。あらかじめ確認しておくとスムーズです。
AZURE AD資格情報の有無
1つ目はAZURE AD資格情報の有無についてです。資格情報はアクセスする際のIDとパスワードを記憶させる機能のことです。AZURE ADには資格情報があるため、シングルサインオンを有効にすると、GMailやGoogle Drive、YouTubeなどに Azure AD 資格情報を使用できます。これは組織で有効・無効の選択が可能です。
互換性
2つ目は互換性についてです。ChromebookとChrome デバイスにはAzure ADシングルサインオンとの互換性があります。そのため、Azure ADの資格情報を使ってChromebook デバイスにサインインできます。
ユーザーの一部にサインオンを有効
そして3つ目はユーザーの一部にサインオンを有効にできるかどうかです。AZURE ADでは一部のユーザーに対して有効にはできません。一度有効にすると、すべてのユーザーが Azure AD 資格情報で要求されるようになります。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
この記事では、Azure Active DirectoryのSSO設定について解説しました。SSO設定は8つのステップで行います。Azure Active Directoryには資格情報があり、GMailやGoogle Drive、YouTubeなどに Azure AD 資格情報を使用可能です。また互換性があるのでAzure ADの資格情報を使ってChromebook デバイスにサインインできます。
Azureはリモートワークやクラウド化を実現できる便利なツールです。SSO設定をすればオンプレミスでもクラウドでもシングルサインオンができます。ぜひ導入してみてください。
