エンタープライズ アプリケーションのシングル サインオンを有効にする
この記事では、Microsoft Entra 管理センターを使用して、Microsoft Entra テナントに追加したエンタープライズ アプリケーションのシングル サインオン (SSO) を有効にします。 SSO を構成すると、ユーザーは自分の Microsoft Entra 資格情報を使用してサインインできるようになります。
Microsoft Entra ID には、SSO を使用する、あらかじめ統合された何千ものアプリケーションが含まれるギャラリーがあります。 この記事では、例として Microsoft Entra SAML Toolkit 1 というエンタープライズ アプリケーションを使用しますが、この概念はあらかじめ構成されている Microsoft Entra アプリケーション ギャラリーのエンタープライズ アプリケーションのほとんどに適用されます。
この記事の手順をテストするには、非運用環境を使うことをお勧めします。
前提条件
SSO を構成するには、次のものが必要です。
- Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
- 次のいずれかのロール: クラウド アプリケーション管理者、アプリケーション管理者、サービス プリンシパルの所有者。
- 「クイックスタート: ユーザー アカウントを作成して割り当てる」の手順を完了していること。
シングル サインオンの有効化
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
アプリケーション用に SSO を有効にするには:
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。 たとえば、Microsoft Entra SAML Toolkit 1 とします。
左側のメニューの [管理] セクションで、 [シングル サインオン] を選択して、編集用の [シングル サインオン] ペインを開きます。
[SAML] を選択して SSO の構成ページを開きます。 アプリケーションの構成が済むと、ユーザーは Microsoft Entra テナントから自分の資格情報を使用してそれにサインインできるようになります。
SAML ベースの SSO に Microsoft Entra ID を使用するようにアプリケーションを構成するプロセスは、アプリケーションによって異なります。 ギャラリー内のどのエンタープライズ アプリケーションについても、[構成ガイド] リンクを使用して、アプリケーションの構成に必要な手順に関する情報を見つけることができます。 この記事では、Microsoft Entra SAML Toolkit 1 の手順について説明します。
[Set up Microsoft Entra SAML Toolkit 1] (Microsoft Entra SAML Toolkit 1 のセットアップ) セクションで、後で使用する [ログイン URL]、[Microsoft Entra 識別子]、[ログアウト URL] の各プロパティの値を記録します。
テナントでシングル サインオンを構成する
サインインと応答 URL の値を追加し、証明書をダウンロードして Microsoft Entra ID で SSO の構成を開始します。
Microsoft Entra ID で SSO を構成するには:
- Microsoft Entra 管理センターの [SAML によるシングル サインオンのセットアップ] ペインで、[基本的な SAML 構成] セクションの [編集] を選択します。
- [応答 URL (Assertion Consumer Service URL)] に「
https://samltoolkit.azurewebsites.net/SAML/Consume
」と入力します。 - [サインオン URL] に「
https://samltoolkit.azurewebsites.net/
」と入力します。 [識別子 (エンティティ ID)] は一般的に、統合するアプリケーションに固有の URL です。 この例の Microsoft Entra SAML Toolkit 1 アプリケーションの場合は、この値は [サインオン] URL と [応答 URL] の値が入力されると自動的に生成されます。 統合するアプリケーションの構成ガイドに従って正しい値を特定してください。 - [保存] を選択します。
- [SAML 証明書] セクションで、[証明書 (未加工)] の [ダウンロード] を選択して SAML 署名証明書をダウンロードし、後で使用できるように保存します。
アプリケーションでシングル サインオンを構成する
アプリケーションでシングル サインオンを使用するには、ユーザー アカウントをアプリケーションに登録し、前に記録した SAML 構成の値を追加する必要があります。
ユーザー アカウントを登録する
ユーザー アカウントをアプリケーションに登録するには:
新しいブラウザー ウィンドウを開き、アプリケーションのサインイン URL を参照します。 Microsoft Entra SAML Toolkit アプリケーションの場合、アドレスは
https://samltoolkit.azurewebsites.net
です。ページの右上隅にある [登録] を選択します。
[電子メール] には、アプリケーションにアクセスできるユーザーのメール アドレスを入力します。 ユーザー アカウントがアプリケーションに既に割り当てられていることを確認します。
[パスワード] を入力し、確認用にもう一度入力します。
[登録] を選択します。
SAML の設定を構成する
アプリケーションの SAML 設定を構成するには:
- アプリケーションのサインイン ページで、アプリケーションに既に割り当てたユーザー アカウントの資格情報を使用してサインインし、ページの左上隅にある [SAML の構成] を選択します。
- ページ中央の [作成] を選択します。
- [ログイン URL]、[Microsoft Entra 識別子]、[ログアウト URL] に、前に記録した値を入力します。
- [ファイルの選択] を選択して、前にダウンロードした証明書をアップロードします。
- [作成] を選択します。
- 後で使用する [SP Initiated Login URL](SP によって開始されたログイン URL) と [Assertion Consumer Service (ACS) URL](Assertion Consumer Service (ACS) URL) の値をコピーします。
シングル サインオンの値を更新する
[SP Initiated Login URL](SP によって開始されたログイン URL) と [Assertion Consumer Service (ACS) URL](Assertion Consumer Service (ACS) URL) の記録した値を使用して、テナントのシングル サインオンの値を更新します。
シングル サインオンの値を更新するには:
- Microsoft Entra 管理センターの [シングル サインオンのセットアップ] ウィンドウで、[基本的な SAML 構成] セクションの [編集] を選択します。
- [応答 URL (Assertion Consumer Service URL)] には、前に記録した Assertion Consumer Service (ACS) URL の値を入力します。
- [サインオン URL] には、前に記録した [SP Initiated Login URL](SP によって開始されたログイン URL) の値を入力します。
- [保存] を選択します。
シングル サインオンのテスト
[Set up single sign-on](シングル サインオンのセットアップ) ペインから、シングル サインオンの構成をテストできます。
SSO をテストするには:
- [Test single sign-on with Microsoft Entra SAML Toolkit 1] (Microsoft Entra SAML Toolkit 1 によるシングル サインオンのテスト) セクションの [SAML によるシングル サインオンのセットアップ] ペインで、[テスト] を選択します。
- アプリケーションに割り当てたユーザー アカウントの Microsoft Entra 資格情報を使用して、アプリケーションにサインインします。