_with_Microsoft_Azure_Active_Directory.svg)
Microsoft Azure Active Directoryでシングルサインオン(SSO)を設定する方法は?
SSOで業務効率を改善
2024年5月7日
著者: Yunes Tarada
翻訳: 永 香奈子
この記事はPowerDMARCのブログ記事 How to Configure Single Sign-On (SSO) with Microsoft Azure Active Directory? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
Microsoft SSOは、1つのアカウントで複数のアプリケーションを操作できるようにすることで、多くの時間と労力を節約できるユーザ認証プロセスです。
ワンクリックで全アカウントからサインアウトすることも可能です。
本ブログでは、Azure ADでのSSOの設定方法について解説します。
重要なポイント
- Microsoft SSOは、ユーザが単一のアカウントで複数のアプリケーションを管理できるようにし、ログインプロセスを簡素化します。
- サポートされているAzure AD Connectのバージョンを使用していることや、適切なファイアウォール設定を行っていることなどの前提条件を満たしていることを確認してください。
- Microsoft 365サービスにおいては、シームレスなユーザ体験を可能にするために、モダン認証がデフォルトで有効になっている必要があります。
- シングルサインオンの構成手順はアプリケーションによって異なる場合があるため、設定の際には特定のガイドを参照してください。
- ユーザがAzure ADの認証情報を使用して正常にサインインできることを確認するために、SSO構成のテストは不可欠です。
前提条件
SSOのMicrosoft構成プロセスを開始する前に、以下の点を確認する必要があります。
Azure AD Connectサーバのセットアップ
パススルー認証ユーザの場合、事前の確認は不要です。
しかし、サインイン方法としてパスワードハッシュ同期を使用する場合は、以下の点を確認してください。
- Azure AD Connectのバージョン1.1.644.0以降を使用していること。
- ファイアウォールまたはプロキシが許可する場合は、ポート443を使用して
*.msappproxy.netのURLへの接続を許可リストに登録してください。
プロキシ構成のためにワイルドカードではなく特定のURLが必要な場合は、tenantid.registration.msappproxy.netをリセットする必要があります。
ここで、テナントIDは機能を構成しているテナントのGUIDです。
ただし、これが不可能な場合は、AzureデータセンターのIP範囲へのアクセスを許可する必要があります。
これらのIP範囲は週に一度更新されます。
この前提条件は、機能を有効にしている場合にのみ確認が必要であり、実際のユーザがサインインのためにこれを行う義務はありません。
サポートされているAzure AD Connectトポロジ(構成パターン)を使用する
Azure AD Connectでサポートされているトポロジのいずれかを使用していることを確認してください。
- オンプレミスのActive Directoryフォレスト
- フィルター付きインポートを使用したオンプレミスのActive Directory
- Azure AD Connect同期サーバ
- Azure AD Connect同期サーバ「ステージングモード」
- Forefront Identity Manager(FIM)2010またはMicrosoft Identity Manager(MIM)2016を使用したGALSync
- Azure AD Connect同期サーバ、詳細
- Azure AD
- サポートされていないシナリオ
ドメイン管理者の資格情報を設定する
各Active Directoryフォレストに対して、以下のドメイン管理者の資格情報を確認してください。
- SSO Azure AD Connectを通じてAzure ADに同期するフォレストです。
- シームレスSSOを有効にしたいユーザが含まれているフォレストです。
モダン認証を有効にする
Microsoft 365サービスにおいて、モダン認証のデフォルト状態は以下の通りです。
- Exchange Onlineではデフォルトで有効になっています。
無効化または有効化するには、「Exchange Onlineでモダン認証を有効または無効にする」を参照してください。 - SharePoint Onlineではデフォルトで有効になっています。
- Skype for Business Onlineではデフォルトで有効になっています。
無効化または有効化するには、「Skype for Business Onlineでモダン認証を有効にする」を参照してください。
最新バージョンのMicrosoft 365クライアントを使用する
Microsoft 365クライアントでスムーズなシングルサインオン体験を得るために、自動更新に設定してください。
シングルサインオン(SSO)を有効にするには?
Microsoft SSOを有効にするために実施すべき内容は以下の通りです。
- Azure Active Directory管理センターにアクセスし、前提条件に記載されているいずれかのロールでサインインしてください。
- 「エンタープライズアプリケーション」>「すべてのアプリケーション」を選択してください。
Azure ADテナント内のアプリケーションの一覧が表示されますので、使用したいものを選択してください。 - 「管理」セクションに移動し、「シングルサインオン」を選択してください。
- SSOペインを開き、編集してください。
- 「SAML」を選択して、SSO構成ページを開いてください。
構成が完了すると、Azure ADテナントのユーザ名とパスワードを使用してアプリケーションにサインインできるようになります。 - Microsoft SSO構成の手順はアプリケーションごとに異なります。
ギャラリー内のエンタープライズアプリケーション構成ガイドを使用して設定することができます。 - 「Azure AD SAML Toolkit 1のセットアップ」セクションで、後で使用するためにログインURL、Azure AD識別子、ログアウトURLの各プロパティの値を記録してください。
テナントでシングルサインオン(SSO)を構成するには?
Azure ADでSSOを構成し始めるには、サインインして応答URLの値を追加し、その後、証明書をダウンロードする必要があります。
手順は以下の通りです。
- Azureポータルに移動し、シングルサインオンの設定ペインで「基本的なSAML構成」の「編集」を選択します。
- 返信URL(Assertion Consumer Service URL)を入力します。
- サインオンURLには、
https://samltoolkit.azurewebsites.net/を入力します。 - 「保存」を選択します。
- SAML証明書セクションで、「証明書(Raw)のダウンロード」を選択し、SAML署名証明書をダウンロードして将来の使用のために保存します。
アプリケーションでシングルサインオンを構成するには?
アプリケーションにユーザアカウントを登録し、事前に登録されたSAML構成値を追加する必要があります。
以下は、ユーザアカウントを登録する手順です。
- 新しいブラウザウィンドウで、アプリケーションのサインインURLにアクセスします。
- ページ右上隅の「登録」を選択します。
- アプリケーションにアクセスするユーザのメールアドレスを追加します。ユーザはすでにアプリケーションに割り当てられている必要があります。
- 確認のためにパスワードを入力します。
- 「登録」をクリックします。
SAML設定を構成するには?
この設定には、事前に登録されたSP開始ログインURLおよびAssertion Consumer Service(ACS)URLの値を使用する必要があります。
SSOの値を更新するには、以下の手順に従ってください。
- Azureポータルに移動し、[シングル サインオンの設定] ペインの [基本的なSAML構成] セクションで [編集] を選択します。
- [応答URL(アサーションコンシューマサービスURL)] には、以前に記録したアサーションコンシューマサービス(ACS)URLの値を入力します。
- [サインオンURL] には、以前に登録したSP起動ログインURLの値を入力します。
- [保存] をクリックします。
シングルサインオンのテスト
Microsoft SSOの構成が完了したら、次の手順に従ってテストしてください。
- [Azure AD SAML Toolkit 1 によるシングルサインオンのテスト] セクションで、[SAMLによるシングルサインオンの設定] ペインの [テスト] を選択します。
- 割り当てたユーザアカウントのAzure AD資格情報を使用してアプリケーションにサインインします。