次の方法で共有

SAML/WS-Fed ID プロバイダーとのフェデレーション

  • [アーティクル]

適用対象: 白いチェック マーク記号が付いた緑の円。 従業員テナント 白いチェック マーク記号が付いた緑の円。 外部テナント (詳細はこちら)

Microsoft Entra テナントは、SAML または WS-Fed ID プロバイダー (IdP) を使用する外部組織と直接フェデレーションできます。 外部組織のユーザーは、新しい Microsoft Entra 資格情報を作成しなくても、IdP マネージド アカウントを使用してテナントにサインインできます。 新しく招待されたユーザーの場合、プライマリ サインイン方法として SAML/WS-Fed IdP フェデレーションが優先されます。 ユーザーは、アプリにサインアップまたはサインインするときに IdP にリダイレクトされ、正常にサインインすると Microsoft Entra に戻ります。

複数のドメインを 1 つのフェデレーション構成に関連付けることができます。 パートナーのドメインは、Microsoft Entra の検証済みまたは未検証のいずれかになります。

SAML/WS-Fed IdP フェデレーションを設定するには、テナントと外部組織の IdP の両方で構成が必要です。 場合によっては、パートナーが DNS テキスト レコードを更新する必要があります。 必要な要求と証明書利用者の信頼で IdP を更新する必要もあります。

Note

この機能は現在、外部テナントのプレビュー段階にあり、従業員テナントで一般提供されています。

ユーザーが SAML/WS-Fed IdP フェデレーションで認証されるのはいつですか?

フェデレーションを設定した後、外部ユーザーのサインイン エクスペリエンスは、サインイン設定と、パートナーのドメインが Microsoft Entra 検証済みかどうかによって異なります。

検証済みドメインと未検証ドメインとのフェデレーション

次を使用して、SAML/WS-Fed IdP フェデレーションを設定できます。

  • 未検証ドメイン: これらのドメインは、Microsoft Entra ID では DNS 検証されません。 未検証ドメインの場合、外部組織のユーザーはフェデレーション SAML/WS-Fed IdP を使用して認証されます。
  • Microsoft Entra ID で検証されたドメイン: テナントで管理者引き継ぎが行われたドメインを含め、これらのドメインは Microsoft Entra ID で検証されています。 検証済みドメインの場合、Microsoft Entra ID は招待の利用時に使用されるプライマリ ID プロバイダーです。 ワークフォース テナントでの B2B コラボレーションの場合は、フェデレーション IdP を主要な方法にするために、引き換えの順序を変更 できます。

Note

現時点では、引き換え注文の設定は、外部テナントまたはクラウド間ではサポートされていません。

管理されていない(メール認証済み)テナントとのフェデレーション

管理されていない (電子メール検証済みまたは "バイラル") Microsoft Entra テナントを含む、Microsoft Entra ID で DNS 検証されていないドメインとの SAML/WS-Fed IdP フェデレーションを設定できます。 そのようなテナントは、ユーザーが B2B の招待に応じたときや、現在は存在しないドメインを使って Microsoft Entra ID のセルフサービス サインアップを実行したときに作成されます。

フェデレーションが現在の外部ユーザーに与える影響

フェデレーションを設定しても、招待を既に利用しているユーザーの認証方法は変更されません。 例:

  • フェデレーションのセットアップ前に招待を引き換えたユーザーは、元の認証方法を引き続き使用します。 たとえば、フェデレーションを設定する前にワンタイム パスコード認証で招待を利用したユーザーは、ワンタイム パスコードを引き続き使用します。
  • フェデレーション IdP で招待を利用したユーザーは、組織が後で Microsoft Entra に移行した場合でも、引き続きその方法を使用します。
  • 現在 SAML/WS-Fed IdP を使用しているユーザーは、フェデレーションが削除された場合にサインインできなくなります。

既存のユーザーは現在のサインイン方法を引き続き使用するため、新しい招待を既存のユーザーに送信する必要はありません。 ただし、従業員テナントの B2B コラボレーションの場合、ユーザーの引き換えステータスをリセットできます。 次にユーザーがアプリにアクセスすると、引き換え手順が繰り返され、フェデレーションに切り替わります。 現時点では、引き換え注文の設定は、外部テナントまたはクラウド間ではサポートされていません。

従業員テナントのサインイン エンドポイント

フェデレーションが従業員テナントで設定されている場合、フェデレーション組織のユーザーは、共通エンドポイント (つまり、テナント コンテキストを含まない一般的なアプリ URL) を使用して、マルチテナントアプリまたは Microsoft ファーストパーティ アプリにサインインできます。 サインイン プロセス中に、ユーザーは サインイン オプションを選択し、次に 組織にサインインを選択します。 彼らは組織の名前を入力し、自分自身の資格情報を使用してサインインを続けます。

SAML/WS-Fed IdP フェデレーション ユーザーは、テナント情報を含むアプリケーション エンドポイントを使用することもできます。次に例を示します。

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

また、テナント情報 (https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>など) を含めることで、アプリケーションまたはリソースへの直接リンクをユーザーに付与することもできます。

フェデレーションの設定に関する考慮事項

フェデレーションの設定には、Microsoft Entra テナントと外部組織の IdP の両方を構成する必要があります。

パートナー IdP 要件

パートナーの IdP によっては、パートナーが自身の DNS レコードを更新して、お客様とのフェデレーションを有効にすることが必要な場合があります。 「手順 1: パートナーが DNS テキスト レコードを更新する必要があるかどうかを判断する」を参照してください。

外部フェデレーションに対して Microsoft Entra ID によって送信された SAML 要求の発行者 URL はテナントエンドポイントになりましたが、以前はグローバル エンドポイントでした。 グローバル エンドポイントとの既存のフェデレーションは引き続き機能します。 ただし、新しいフェデレーションの場合は、外部 SAML または WS-Fed IdP の対象ユーザーをテナントエンドポイントに設定します。 必要な属性と要求については、SAML 2.0 セクションのWS-Fed セクション を参照してください。

署名証明書の有効期限

IdP の設定でメタデータ URL を指定した場合、署名証明書が有効期限切れになると、Microsoft Entra ID によって自動的に更新されます。 ただし、証明書が有効期限切れになる前に何らかの理由でローテーションされた場合、またはメタデータ URL を指定しなかった場合には、Microsoft Entra ID による更新はできません。 この場合、署名証明書を手動で更新する必要があります。

セッションの有効期限

Microsoft Entra セッションの有効期限が切れたり無効になったり、フェデレーション IdP で SSO が有効になっている場合、ユーザーは SSO を体験します。 フェデレーション ユーザーのセッションが有効な場合、ユーザーに再度サインインのダイアログが表示されることはありません。 それ以外の場合、ユーザーはサインインのために IdP にリダイレクトされます。

その他の考慮事項

SAML/WS-Fed ID プロバイダーとフェデレーションする場合のその他の考慮事項を次に示します。

  • フェデレーションでは、部分的に同期されたテナントによって発生するサインインの問題は解決されません。パートナーのオンプレミス ユーザー ID がクラウド内の Microsoft Entra と完全に同期されていません。 これらのユーザーは B2B 招待でサインインできないため、代わりに メール ワンタイム パスコード 機能を使用する必要があります。 SAML/WS-Fed IdP フェデレーション機能は、独自の IdP で管理される組織アカウントを持ち、Microsoft Entra が存在しないパートナー向けです。

  • フェデレーションは、ディレクトリ内の B2B ゲスト アカウントの必要性を置き換えるわけではありません。 B2B コラボレーションでは、使用される認証またはフェデレーション方法に関係なく、従業員テナント ディレクトリ内のユーザーに対してゲスト アカウントが作成されます。 このユーザー オブジェクトを使用すると、アプリケーションにアクセス権を付与したり、ロールを割り当てたり、セキュリティ グループのメンバーシップを定義したりできます。

  • 現在のところ、Microsoft Entra SAML/WS-Fed フェデレーション機能では、署名された認証トークンを SAML ID プロバイダーに送信することはサポートされていません。

SAML/WS-Fed IdP フェデレーションを構成する

手順 1: パートナーが DNS テキスト レコードを更新する必要があるかどうかを判断する

パートナーが DNS レコードを更新してフェデレーションを有効にする必要があるかどうかを判断するには、次の手順に従います。

  1. パートナーの IdP パッシブ認証 URL を調べて、ドメインがターゲット ドメインまたはターゲット ドメイン内のホストと一致するかどうかを確認します。 すなわち、fabrikam.com のフェデレーションを設定する場合は次のようになります。

    • パッシブ認証エンドポイントが https://fabrikam.com または https://sts.fabrikam.com/adfs (同じドメイン内のホスト) の場合、DNS の変更は必要ありません。
    • パッシブ認証エンドポイントが https://fabrikamconglomerate.com/adfs または https://fabrikam.co.uk/adfs の場合、ドメインは fabrikam.com ドメインと一致していないため、パートナーは DNS 構成に認証 URL のテキスト レコードを追加する必要があります。

  2. 前の手順に基づいて DNS の変更が必要な場合は、次の例のように、ドメインの DNS レコードに TXT レコードを追加するようにパートナーに依頼します。

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

手順 2: パートナー組織の IdP を構成する

次に、パートナー組織において、必須の要求と証明書利用者の信頼を指定して IdP を構成する必要があります。

Note

フェデレーション用に SAML/WS-Fed IdP を構成する方法を示すために、例として Active Directory フェデレーション サービス (AD FS) を使用します。 AD FS との SAML/WS-Fed IdP フェデレーションの構成に関する記事を参照してください。フェデレーションの準備として、AD FS を SAML 2.0 または WS-Fed の IdP として構成する方法の例が示されています。

SAML 2.0 の構成

Microsoft Entra B2B は、個のセクションに示す特定の要件を伴う SAML プロトコルを使用する IdP とフェデレーションを行うように構成できます。 ご利用の SAML IdP と Microsoft Entra ID の間に信頼を設定する方法の詳細については、「SSO に SAML 2.0 ID プロバイダー (IdP) を使用する」を参照してください。

Note

他の Microsoft Entra 検証済みドメインと SAML/WS-Fed IdP フェデレーションを設定できるようになりました。 詳細情報

必須の SAML 2.0 属性および要求

サード パーティの IdP に構成する必要がある特定の属性と要求の要件を次の各表に示します。 フェデレーションを設定するには、IdP からの SAML 2.0 応答において以下の属性が受け取られる必要があります。 これらの属性は、オンライン セキュリティ トークン サービスの XML ファイルにリンクするか手動で入力することによって、構成できます。

Note

値が、外部フェデレーションを設定しているクラウドと一致することを確認してください。

表 1. IdP からの SAML 2.0 応答に必要な属性。

属性
AssertionConsumerService https://login.microsoftonline.com/login.srf
対象者 https://login.microsoftonline.com/<tenant ID>/ (推奨) <tenant ID> を、フェデレーションを設定する Microsoft Entra テナントのテナント ID に置き換えます。

外部フェデレーションに対して Microsoft Entra ID によって送信された SAML 要求の場合、発行者 URL はテナント エンドポイントです (たとえば https://login.microsoftonline.com/<tenant ID>/)。 新しいフェデレーションでは、すべてのパートナーは、SAML または WS-Fed ベースの IdP の対象ユーザーをテナントのエンドポイントに設定することをお勧めします。 グローバル エンドポイント (urn:federation:MicrosoftOnlineなど) で構成されている既存のフェデレーションは引き続き機能しますが、外部 IdP が Microsoft Entra ID によって送信された SAML 要求のグローバル発行者 URL を想定している場合、新しいフェデレーションは機能しなくなります。
発行者 パートナーの IdP の発行者 URI (たとえば http://www.example.com/exk10l6w90DHM0yi...)

表 2. IdP によって発行された SAML 2.0 トークンに必要な要求。

属性名
NameID の形式 urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

WS-Fed の構成

Microsoft Entra B2B は、WS-Fed プロトコルを使う IdP と連携するように構成できます。 このセクションでは、要件について説明します。 現在、Microsoft Entra ID との互換性がテストされている 2 つの WS-Fed プロバイダーは、AD FS と Shibboleth です。 WS-Fed 準拠のプロバイダーと Microsoft Entra ID の間に証明書利用者信頼を確立する方法の詳細については、Microsoft Entra ID プロバイダーの互換性に関するドキュメントで「STS Integration Paper using WS Protocols」(WS プロトコルを使用した STS 統合に関する文書) を参照してください。

Note

他の Microsoft Entra 検証済みドメインと SAML/WS-Fed IdP フェデレーションを設定できるようになりました。 詳細情報

必須の WS-Fed 属性および要求

サード パーティの WS-Fed IdP に構成する必要がある特定の属性と要求の要件を次の各表に示します。 フェデレーションを設定するには、IdP からの WS-Fed メッセージにおいて以下の属性が受け取られる必要があります。 これらの属性は、オンライン セキュリティ トークン サービスの XML ファイルにリンクするか手動で入力することによって、構成できます。

Note

値が、外部フェデレーションを設定しているクラウドと一致することを確認してください。

表 3. IdP からの WS-Fed メッセージに必要な属性。

属性
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
対象者 https://login.microsoftonline.com/<tenant ID>/ (推奨) <tenant ID> を、フェデレーションを設定する Microsoft Entra テナントのテナント ID に置き換えます。

外部フェデレーションに対して Microsoft Entra ID によって送信された SAML 要求の場合、発行者 URL はテナント エンドポイントです (たとえば https://login.microsoftonline.com/<tenant ID>/)。 新しいフェデレーションでは、すべてのパートナーは、SAML または WS-Fed ベースの IdP の対象ユーザーをテナントのエンドポイントに設定することをお勧めします。 グローバル エンドポイント (urn:federation:MicrosoftOnlineなど) で構成されている既存のフェデレーションは引き続き機能しますが、外部 IdP が Microsoft Entra ID によって送信された SAML 要求のグローバル発行者 URL を想定している場合、新しいフェデレーションは機能しなくなります。
発行者 パートナーの IdP の発行者 URI (たとえば http://www.example.com/exk10l6w90DHM0yi...)

表 4. IdP によって発行された WS-Fed トークンに必要な要求。

属性
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

手順 3: Microsoft Entra External ID で SAML/WS-Fed IdP フェデレーションを構成する

次に、Microsoft Entra External ID で手順 1 で構成した IdP とのフェデレーションを構成します。 Microsoft Entra管理センターまたは Microsoft Graph API のいずれかを使用できます。 フェデレーション ポリシーが有効になるまで 5 分から 10 分かかる場合があります。 この間、フェデレーション ドメインの招待を利用しようとしないでください。 次の属性は必須です。

  • パートナーの IdP の発行者 URI
  • パートナー IdP のパッシブ認証エンドポイント (サポートされているのは https のみ)
  • 証明書

Microsoft Entra 管理センターで Facebook フェデレーションを構成するには

  1. Microsoft Entra 管理センターに少なくとも外部 ID プロバイダー管理者としてサインインします。

  2. 複数のテナントにアクセスできる場合は、上部メニューの [設定] アイコン 使用し、[ディレクトリ] メニューからテナントに切り替えます。

  3. [ID]>[External Identities]>[すべての ID プロバイダー] に移動します。

  4. [カスタム] タブを選び、[新規追加]>[SAML/WS-Fed] を選びます。

    新しい SAML または WS-Fed IdP を追加するためのボタンを示すスクリーンショット。

  5. [新しい SAML/WS-Fed IdP] ページで、次のように入力します。

    • 表示名 - パートナーの IdP を識別するのに役立つ名前を入力します。
    • ID プロバイダー プロトコル - SAML または WS-Fed を選択します。
    • フェデレーション IdP のドメイン名 - フェデレーションに使用するパートナーの IdP ターゲットのドメイン名を入力します。 この初期構成時に、ドメイン名を 1 つだけ入力します。 ドメインは後からさらに追加できます。

    新しい SAML または WS-Fed IdP ページを示すスクリーンショット。

  6. メタデータを設定する方法を選択します。 メタデータを含むファイルがある場合は、[メタデータ ファイルの解析] を選んでファイルを参照することで、フィールドに自動的に設定できます。 または、[メタデータを手動で入力する] を選び、次の情報を入力することもできます。

    • パートナーの SAML IdP の発行者 URI、またはパートナーの WS-Fed IdP のエンティティ ID
    • パートナーの SAML IdP のパッシブ認証エンドポイント、またはパートナーの WS-Fed IdP のパッシブ要求元エンドポイント
    • 証明書 - 署名証明書 ID。
    • メタデータ URL - 署名証明書の自動更新に使用する IdP のメタデータの場所。

    メタデータ フィールドを示すスクリーンショット。

    Note

    メタデータ URL は省略可能です。 ただし、強くお勧めします。 メタデータ URL を指定すると、署名証明書が有効期限切れになったときに、Microsoft Entra ID によって自動的に更新することができます。 有効期限が切れる前に何らかの理由で証明書がローテーションされた場合、またはメタデータ URL を指定しない場合、Microsoft Entra ID はそれを更新できません。 この場合、署名証明書を手動で更新する必要があります。

  7. [保存] を選択します。 ID プロバイダーが SAML/WS-Fed ID プロバイダーの一覧に追加されます。

    新しいエントリーを含む SAML/WS-Fed プロバイダーの一覧を示すスクリーンショット。

  8. (省略可能) このフェデレーション ID プロバイダーにドメイン名を追加するには、次の手順を行います。

    1. [ドメイン] 列のリンクを選択します。

      SAML/WS-Fed ID プロバイダーにドメインを追加するためのリンクを示すスクリーンショット。

    2. [フェデレーション IdP のドメイン名] の横にドメイン名を入力し、[追加] を選択します。 追加するドメインごとに繰り返します。 完了したら、 [完了] をクリックします。

      ドメインの詳細ウィンドウの [追加] ボタンを示すスクリーンショット。

Microsoft Graph API を使用してフェデレーションを構成する方法

Microsoft Graph API samlOrWsFedExternalDomainFederation リソースの種類を使用して、SAML または WS-Fed プロトコルをサポートする ID プロバイダーとのフェデレーションを設定できます。

償還順序を設定する(企業テナントにおけるB2Bコラボレーション)

確認済みドメインとの B2B コラボレーションのためにワークフォース テナントでフェデレーションを構成する場合は、招待の利用時にフェデレーション IdP が最初に使用されていることを確認します。 インバウンド B2B コラボレーションのテナント間アクセス設定で引き換え順序設定を構成しますSAML/WS-Fed ID プロバイダープライマリ ID プロバイダーのリストの一番上に移動し、フェデレーション IdP を使用して引き換えの優先順位を付けます。 検証済みドメインとの B2B コラボレーションの場合は、フェデレーション IdP を招待の利用のプライマリ ID プロバイダーにします。 招待の引き換え中、他の ID プロバイダーよりも優先されます。

新しい B2B ゲスト ユーザーを招待することで、フェデレーションのセットアップをテストできます。 詳細については、「Microsoft Entra 管理センターで Microsoft Entra B2B コラボレーション ユーザーを追加する」を参照してください。

Note

構成可能な引き換え機能のための Microsoft Entra 管理センターの設定は、現在お客様へのロールアウトを行っている段階です。 管理センターでこの設定が利用可能になるまでは、Microsoft Graph REST API (ベータ版) を使用して招待の引き換え順序を構成できます。 Microsoft Graph リファレンス ドキュメントの「例 2: 既定の招待の引き換え構成を更新する」を参照してください。

証明書や構成の詳細はどのようにして更新できますか?

[すべての ID プロバイダー ] ページで、構成されている SAML/WS-Fed ID プロバイダーとその証明書の有効期限の一覧を表示できます。 この一覧から、証明書を更新したり、その他の構成の詳細を変更したりできます。

  1. Microsoft Entra 管理センターに少なくとも外部 ID プロバイダー管理者としてサインインします。

  2. [ID]>[External Identities]>[すべての ID プロバイダー] に移動します。

  3. カスタム タブを選択します。

  4. 一覧内の ID プロバイダーまでスクロールするか、検索ボックスを使用します。

  5. 証明書を更新するか、構成の詳細を変更するには、次の手順を実行します。

    • ID プロバイダーの [構成] 列で、編集リンクを選択します。
    • 構成ページで、次の詳細から任意のものを変更します。
      • 表示名 - パートナーの組織の表示名。
      • ID プロバイダー プロトコル - SAML または WS-Fed を選択します。
      • パッシブ認証エンドポイント - パートナー IdP のパッシブ要求元エンドポイント。
      • 証明書 - 署名証明書の ID。 更新するには、新しい証明書 ID を入力します。
      • メタデータ URL - 署名証明書の自動更新に使用されるパートナーのメタデータを含む URL。
    • [保存] を選択します。

    IDP 構成の詳細のスクリーンショット。

  6. パートナーに関連付けられているドメインを編集するには、[ドメイン] 列のリンクを選択します。 ドメインの詳細ウィンドウで、次の操作を行います。

    • ドメインを追加するには、[フェデレーション IdP のドメイン名] の横にドメイン名を入力し、[追加] を選択します。 追加するドメインごとに繰り返します。
    • ドメインを削除するには、ドメインの横にある削除アイコンを選択します。
    • 完了したら、 [完了] をクリックします。

    ドメイン構成ページのスクリーンショット。

    Note

    パートナーとのフェデレーションを削除するには、最初に 1 つを除くすべてのドメインを削除してから、次のセクション の手順に従います。

フェデレーションを削除する方法

フェデレーション構成は削除できます。 その場合、既に招待を利用したフェデレーション ゲスト ユーザーはサインインできなくなります。 ただし、ユーザーの引き換え状態をリセットすることで、リソースへのアクセスを再度許可することができます。 Microsoft Entra管理センターで IdP の構成を削除するには:

  1. Microsoft Entra 管理センターに少なくとも外部 ID プロバイダー管理者としてサインインします。

  2. [ID]>[External Identities]>[すべての ID プロバイダー] に移動します。

  3. [カスタム] タブを選び、一覧内の ID プロバイダーまでスクロールするか、検索ボックスを使用します。

  4. [ドメイン] 列のリンクを選択して、IdP のドメインの詳細を表示します。

  5. [ドメイン名] の一覧にあるドメインのうち、1 つを除くすべてを削除します。

  6. [構成の削除] を選択し、[完了] を選択します。

    構成の削除のスクリーンショット。

  7. [OK] をクリックして削除を確認します。

Microsoft Graph API samlOrWsFedExternalDomainFederation リソースの種類を使用してフェデレーションを削除することもできます。

次のステップ

外部ユーザーがさまざまな ID プロバイダーでサインインするときの招待の利用エクスペリエンスを確認します。