Microsoft社が提供するクラウドベースの認証サービス「Microsoft Entra ID」のアプリケーション統合の機能である、シングルサインオン(SSO)の設定例を紹介します。
これにより、Microsoft Entra IDのマイアプリ画面から他のアプリへアクセスする際、他のアプリのパスワードを使用せずに認証を通すことができます。
他のアプリの例としてGoogle Workspaceを使用し、認証方式は第1回はOIDC(Open ID Connect)、第2回(この記事)はSAML(Security Assertion Markup Language)を取り上げます。
- 操作環境:
- OS:Windows 11
- Webブラウザー:Edge
- 使用プラン:Microsoft Entra ID P1(試用版)
- 対象アプリ:Google Workplace Business Starter(試用版)
Entra管理C SAML設定
この記事ではSAMLの設定方法を紹介します。
WebブラウザーよりMicrosoft Entra管理センターにアクセスし、左メニューの[ID>アプリケーション>エンタープライズアプリケーション]を選択し、サブメニューの[概要]を選択し、[新しいアプリケーション]を選択します。
[Google Cloud Platform]を選択します。
なお、ギャラリーに表示されないアプリのSAML設定を行いたい場合は、[独自のアプリケーションの作成]を選択します。
[Google Cloud / G Suite Connector by Microsoft]を選択します。
[作成]を選択します。
設定ウィザードが表示されたら、[1.ユーザーとグループの割り当て]を選択します。
[ユーザーまたはグループの追加]を選択します。
[ユーザーとグループ]の[選択されていません]を選択します。
この例ではアプリを組織内のメンバが使用することとし、internal_membersグループとシステム管理者に割り当てます。
割り当てが完了したら、サブメニューの[シングルサインオン]を選択します。
[SAML]を選択します。
[①基本的なSAML構成]の右上の[編集]を選択します。
各項目の下にあるパターンを参考に、以下項目を設定し、[保存]を選択します。
- 識別子(エンティティID):google.com
- 応答URL:https://www.google.com/a/{{自組織のドメイン名}}, https://google.com
- サインオンURL:https://www.google.com/a/{{自組織のドメイン名}}/ServiceLogin?continue=https://drive.google.com
*この例ではGoogleドライブのURLを指定しています。これに限らず、良く使う機能のURLを指定するのがお奨めです
[③SAML証明書]の[証明書(Base64)]の[ダウンロード]から、証明書ファイルをダウンロードしておきます。
なお、この後、Google側の設定を行いますが、さらにその後でこの画面を使用しますので、開いたままにおいてください。
Google WS SAML設定
Webブラウザーの別タブにてGoogle Workspaceの管理画面にアクセスし、左メニューの[セキュリティ>認証>サードパーティのIdPによるSSO]を選択し、[組織向けのサードパーティのSSOプロファイル]の[SSOプロファイルを追加]を選択します。
なお、左メニューの一つ上の[SAMLアプリケーションによるSSO]は、Googleから他アプリへSAMLでSSOするためのメニューです。
以下の通り設定し、[保存]を選択します。
- サードパーティのIDプロバイダでSSOを設定する:チェックを付ける
- ログインページURL:(前の工程の最後の画面の[④Google Cloud / G Suite Connector by Microsoftのセットアップ]のログインURL)
- ログアウトページURL:(前の工程の最後の画面の[④Google Cloud / G Suite Connector by Microsoftのセットアップ]のログアウトURL)
- 証明書を更新:(前の工程でダウンロードしたファイルを選択)
Google Workspace側の設定はこれで完了です。
Entra管理C サインインテスト
Microsoft Entra管理センターのSAML設定の画面に戻り、[Test]を選択します。
[サインインのテスト]を選択します。
Google Workspaceへのリダイレクト処理が行われ、画面が表示されました。
補足として、サブメニューの[サインインログ]より、SAML設定したアプリのサインインをログを確認できます。
次の工程でマイアプリからのアクセスを試しますが、そのログもここに出力されます。
マイアプリからのSAML動作確認
Microsoft Entraにサインインし直し、Webブラウザーからマイアプリ画面にアクセスし、[Google Cloud / G Suite Connector by Microsoft]を選択します。
ユーザー名とパスワードを入力することなく、Google Workspaceにアクセスできました。
SAML証明書更新(参考)
SAMLの証明書の有効期限は最長三年となっており、期限が近くなると更新が必要となります。
更新の流れを簡単に紹介します。
対象アプリのSAML設定画面にアクセスし、[③SAML証明書]の[編集]を選択します。
[新しい証明書]を選択します。
有効期限を設定(設定作業時点から最長三年後)し、[保存]を選択します。
今保存した証明書の[…]を選択し、[証明書をアクティブにする]を選択します。さらに、[Base64証明書のダウンロード]を選択します。
Google Workspaceの管理画面にアクセスし、左メニューの[セキュリティ>認証>サードパーティのIdPによるSSO]を選択し、既存のSSO設定を編集します。
[証明書を更新]を選択し、図表9-4でダウンロードした証明書を選択します。
これでSAMLの証明書の更新は完了です。
おわりに
SAMLはOIDCと違ってユーザー名の入力が不要となり利便性は高くなりますが、証明書の更新等のシステム管理者の作業が必要となります。
SAMLの証明書の期限が近くなると、システム管理者宛に通知メールが届くようになっています。更新時期は最長で三年先となりますが、あまり長いとシステム管理者が変わっている可能性が高くなり、対応漏れに注意しないといけません。
次の記事では、SAML関連の追加情報として、自動プロビジョニングの設定方法を紹介します。
当ブログ内の連載記事
