Microsoft Entra ID でのシングル サインオンとは
この記事では、お客様が使用できるシングル サインオン (SSO) オプションに関する情報について説明します。 また、Microsoft Entra ID を使う場合のシングル サインオンのデプロイ計画の概要についても説明します。 シングル サインオンは、ユーザーが 1 セットの資格情報を使用して複数の独立したソフトウェア システムにサインインできるようにする認証方法です。 SSO を使用すると、使用するアプリケーションにいちいちサインインする必要がなくなります。 SSO を使用すれば、ユーザーは、異なる資格情報を使用して認証を行う必要なしに、必要なすべてのアプリケーションにアクセスできます。 簡単な紹介については、Microsoft Entra のシングル サインオンに関する記事を参照してください。
Microsoft Entra ID には、SSO で使用できる多くのアプリケーションが既に存在しています。 アプリケーションのニーズと実装方法に応じて、SSO にはいくつかのオプションがあります。 Microsoft Entra ID でアプリケーションを作成する前に、時間をかけて SSO のデプロイを計画してください。 マイ アプリ ポータルを使用すると、アプリケーションの管理をより簡単に行うことができます。
シングル サインオンのオプション
SSO 方法の選択は、アプリケーションが認証についてどのように構成されているかによって変わります。 クラウド アプリケーションでは、OpenID Connect および SAML などのフェデレーション ベースのオプションを使用できます。 パスワード ベースの SSO やリンク ベースの SSO をアプリケーションで使用したり、SSO を無効にしたりすることもできます。
フェデレーション - 複数の ID プロバイダー間で機能するように SSO を設定することをフェデレーションといいます。 フェデレーション プロトコルに基づく SSO の実装を使用すると、セキュリティ、信頼性、エンド ユーザー エクスペリエンス、実装が向上します。
フェデレーション シングル サインオンでは、Microsoft Entra がアプリケーションに対して Microsoft Entra アカウントを使ってユーザーを認証します。 この方法は、SAML 2.0、WS-Federation、または OpenID Connect アプリケーションについてサポートされています。 フェデレーション SSO は、最も機能が豊富なモードの SSO です。 アプリケーションでフェデレーション SSO がサポートされている場合は、パスワード ベースの SSO と Active Directory フェデレーション サービス (AD FS) ではなく、それを Microsoft Entra ID で使います。
エンタープライズ アプリケーションに対して SSO オプションが表示されないシナリオがいくつかあります。 ポータルで アプリの登録 を使用してアプリケーションが登録された場合は、OpenID Connect を使用するようにシングル サインオン機能が構成されます。 この場合、シングル サインオン オプションは、エンタープライズ アプリケーションのナビゲーションに表示されません。 OpenID Connect は、認可プロトコルの OAuth 2.0 に基づく認証プロトコルです。 OpenID Connect では、OAuth 2.0 を使用してプロセスの認可部分を処理します。 ユーザーがログインしようとすると、OpenID Connect は承認サーバーによって実行された認証に基づいて ID を検証します。 ユーザーが認証されると、OAuth 2.0 を使用して、認証情報を公開することなく、ユーザーのリソースへのアクセス権をアプリケーションに付与します。
アプリケーションが別のテナントでホストされているときは、シングル サインオンを使用できません。 必要なアクセス許可 (クラウド アプリケーション管理者、アプリケーション管理者、またはサービス プリンシパルの所有者) がアカウントにない場合も、シングル サインオンを使用できません。 アクセス許可によっては、シングル サインオンを開くことはできても保存できないシナリオが発生する場合もあります。
パスワード - オンプレミス アプリケーションでは、SSO にパスワードベースの方法を使用できます。 このオプションは、アプリケーションがアプリケーション プロキシ用に構成されている場合に機能します。
パスワード ベースの SSO では、ユーザーは、アプリケーションに初めてアクセスするときに、ユーザー名とパスワードを使用してサインインします。 最初のサインオン後は、Microsoft Entra ID がユーザー名とパスワードをアプリケーションに提供します。 パスワード ベースの SSO では、セキュリティ保護されたアプリケーションのパスワードを保存し、Web ブラウザーの拡張機能またはモバイル アプリを使用して再生できます。 このオプションでは、アプリケーションによって提供される既存のサインイン プロセスが使用され、管理者がパスワードを管理でき、ユーザーがパスワードを知っている必要はありません。 詳細については、「パスワードベースのシングル サインオンをアプリケーションに追加する」をご覧ください。
リンク - リンクされたサインオンでは、一定期間にわたってアプリケーションを移行するときに、一貫したユーザー エクスペリエンスを提供できます。 アプリケーションを Microsoft Entra ID に移行する場合は、リンク ベースの SSO を使って、移行するすべてのアプリケーションへのリンクをすばやく発行できます。 ユーザーは、マイ アプリまたは Microsoft 365 ポータルで、すべてのリンクを見つけることができます。
リンクされたアプリケーションでユーザーの認証が行われた後は、ユーザーにシングル サインオン アクセスが提供される前に、アカウントを作成する必要があります。 このアカウントのプロビジョニングは、自動的に実行することも、管理者が手動で実行することもできます。 リンクされたアプリケーションでは Microsoft Entra ID によるシングル サインオン機能が提供されないため、リンクされたアプリケーションに条件付きアクセス ポリシーや多要素認証は適用できません。 リンクされたアプリケーションを構成するときは、アプリケーションを起動するために表示されるリンクを追加するだけです。 詳細については、「リンクされたシングル サインオンをアプリケーションに追加する」をご覧ください。
無効 - SSO が無効になっていると、アプリケーションでは使用できません。 シングル サインオンが無効になっている場合、ユーザーは 2 回認証することが必要な場合があります。 まず、ユーザーは Microsoft Entra ID に対して認証を行い、次にアプリケーションにサインインします。
次の場合は SSO を無効にします。
このアプリケーションを Microsoft Entra シングル サインオンと統合する準備ができていない
アプリケーションの他の部分をテストしている
オンプレミスのアプリケーションでユーザーの認証は必要ないが、ユーザーに認証を行わせたい。 SSO を無効にすると、ユーザーは認証を行う必要があります。
SP によって開始される SAML ベースの SSO 用に構成してあるアプリケーションの SSO モードを無効に変更する場合、ユーザーが MyApps ポータルの外部でアプリケーションにサインインできなくなることはありません。 ユーザーがマイ アプリ ポータルの外部からサインインできないようにするには、ユーザーがサインインする機能を無効にする必要があります。
SSO のデプロイを計画する
Web アプリケーションは、さまざまな企業でホストされ、サービスとして利用できるようになっています。 Web アプリケーションの代表的な例としては、Microsoft 365、GitHub、Salesforce などがあります。 他にもたくさんあります。 Web アプリケーションには、コンピューター上の Web ブラウザーからアクセスします。 シングル サインオンを使用すると、何度もサインインする必要なく、さまざまな Web アプリケーションを行き来することができます。 詳細については、「シングル サインオンのデプロイを計画する」を参照してください。
SSO の実装方法は、アプリケーションがホストされている場所によって異なります。 ホスティングは、アプリケーションにアクセスするためにネットワーク トラフィックをルーティングする方法に関係するので重要です。 ユーザーは、(ローカル ネットワークでホストされている) オンプレミスのアプリケーションにアクセスするために、インターネットを使用する必要はありません。 アプリケーションがクラウドでホストされている場合は、ユーザーはインターネットを使用する必要があります。 クラウドでホストされるアプリケーションは、サービスとしてのソフトウェア (SaaS) アプリケーションとも呼ばれます。
クラウド アプリケーションでは、フェデレーション プロトコルが使用されます。 オンプレミスのアプリケーションにもシングル サインオンを使用できます。 アプリケーション プロキシを使用して、オンプレミスのアプリケーションへのアクセスを構成できます。 詳細については、「Microsoft Entra アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセス」を参照してください。
マイ アプリ
アプリケーションのユーザーの場合、SSO の詳細を気にする必要はあまりありません。 パスワードを何回も入力しなくても、生産性が向上するアプリケーションを使用できます。 アプリケーションの検索と管理は、マイ アプリ ポータルで行うことができます。 詳細については、「マイ アプリ ポータルからアプリにサインインして開始する」を参照してください。