Entra ID(Azure AD)とのSAML連携設定を行なう

はじめに

ここではAzure ADとのSAML連携設定を行なう手順を説明します。本設定を行なうには、シングルサインオンオプションが必要となります。

手順

STEP1: 「エンタープライズアプリケーション」をクリック

Microsoft Azureにサインインして、ホーム画面から「エンタープライズアプリケーション」を選択します。
補足
Azureにサインインした後に表示される画面は、上の画像とは異なる場合があります。
「エンタープライズアプリケーション」が見つからない場合は、画面最上部の検索ボックスに「エンタープライズ」と入力し、エンターキーを押してください。

STEP2: 「新しいアプリケーション」をクリック

「新しいアプリケーション」をクリックします。

STEP3: 「独自のアプリケーションの作成」をクリック

「独自のアプリケーションの作成」をクリックします。

STEP4: アプリケーションを作成

アプリケーション名を入力し、「ギャラリーに見つからないその他のアプリケーションを統合します」にチェックが入っていることを確認して「作成」ボタンをクリックします。

STEP5: アプリケーションが作成されたことを確認

アプリケーションが作成されました。

STEP6: 「シングルサインオンの設定」をクリック

画面下部にスクロールし、「シングルサインオンの設定」の「作業開始」をクリックします。

STEP7: 「SAML」をクリック

「シングルサインオン方式の選択」で「SAML」をクリックします。

STEP8: 「メタデータファイルをアップロードする」をクリック

「メタデータファイルをアップロードする」をクリックします。

STEP9: ファイルアップロード画面を確認

メタデータファイルのアップロードウインドウが表示されます。

STEP10: edenのシステム設定画面からメタデータファイルをダウンロード

edenに全体管理者としてログインし、「その他メニュー」ー「アカウント管理」ー「システム設定」の順でクリックし、画面下部「許可するログイン方法」で「両方」をクリック、「連携するシステム」で「SAML」をクリック、「SAMLレスポンスの送信先URL」の「メタデータのダウンロード」をクリックしてメタデータファイルをダウンロードします。

STEP11: メタデータファイルをアップロード

メタデータファイルのアップロードウインドウの右端のフォルダアイコンをクリックし、STEP10でダウンロードしたファイルを選択後、「追加」ボタンをクリックします。

STEP12: 「保存」をクリック

「保存」をクリックします。

STEP13: 閉じるボタンをクリック

「×」をクリックして閉じます。

STEP14: 「いいえ、後でtestします」をクリック

すぐにテストするかどうかの確認画面が表示されますので、「いいえ、後でtestします」をクリックします。

STEP15: 証明書(Base64)をダウンロード

証明書(Base64)の「ダウンロード」をクリックして証明書を保存します。

STEP16: edenに証明書をアップロード

edenのシステム設定画面から、「SAML署名検証用の証明書」の「ファイルの選択」ボタンをクリックし、STEP15でダウンロードしたファイルを選択します。

STEP17: アップロードされたことを確認

証明書がアップロードされると、テキストエリアに内容が入力されます。

STEP18: 「ユーザーとグループ」をクリック

Microsoft Azureの「ユーザーとグループ」を選択します。

STEP19: 「ユーザーまたはグループの追加」をクリック

「ユーザーまたはグループの追加」をクリックします。

STEP20: 「選択されていません」をクリック

「割り当ての追加」画面で「選択されていません」をクリックします。

STEP21: ユーザーを選択して「選択」をクリック

割り当てたいユーザーを選択して「選択」をクリックします。

STEP22: 「割り当て」をクリック

「割り当て」をクリックします。

STEP23: 「シングルサインオン」をクリック

「シングルサインオン」を選択します。

STEP24: 「ログインURL」をコピー

SAMLベースのサインオン画面の「ログインURL」をクリップボードにコピーします。

STEP25: 「SAMLのログインURL」に貼り付けて保存

edenのシステム設定画面の「SAMLのログインURL」に貼り付け、「保存」ボタンをクリックします。

さいごに

以上で、シングルサインオンの設定は完了しました。これで、edenのログインURL(全体管理者のユーザーID等をお送りしたメールに記載してある、「 https://eden.ac/login/1234 」というようなURLです)にアクセスすると、自動的にシングルサインオンが実行されます。(SAMLでの自動ログインを有効化した状態でパスワードログインを行なう場合は、「?auto_redirect=false」を付与したURL(https://eden.ac/login/1234?auto_redirect=false ようなURLです)からアクセスしてください。)

初回のSSO時にエラーが発生した場合
Azure ADとの設定後、SSOをしようとしても「SAMLResponseを受診しましたが、署名の検証に失敗したか、XML内にNameIDが見つかりませんでした。」というエラーが表示されることがあります。Azure ADではアプリケーションを作成直後は証明書が正しくないことがあるようです。30分ほど待った後に、STEP15~STEP17の手順を再度試してみてください。

また、以下の画面から取得できる「ユーザーのアクセスURL」へのリンクをSharePoint等へ掲載することで、社内ポータルサイトから直接edenへアクセスさせる、といった使い方もできます。

STEP1: 「プロパティ」をクリック

STEP2: 「ユーザーのアクセスURL」をコピー