ギャラリー以外のアプリケーションのフェデレーション シングル サインオンを構成する方法How to configure federated single sign-on for a non-gallery application

"コードの記述なしで" ギャラリー以外のアプリケーションのシングル サインオンを構成するには、サブスクリプションまたは Azure AD Premium を持っており、アプリケーションが SAML 2.0 をサポートしている必要があります。To configure single sign-on for a non-gallery application without writing code, you need to have a subscription or Azure AD Premium and the application must support SAML 2.0. Azure AD のバージョンの詳細については、Azure AD の価格に関するページを参照してください。For more information about Azure AD versions, visit Azure AD pricing.

必要な手順の概要Overview of steps required

以下は、ギャラリー以外の (たとえばカスタム) アプリケーションの SAML 2.0 を使用するフェデレーション シングル サインオンの構成に必要な手順の概要です。Below is a high-level overview of the steps required to configure federated single sign-on with SAML 2.0 for a non-gallery (e.g. custom) application.

Azure AD ギャラリーに含まれていないアプリケーションのシングル サインオンを構成するには、次の手順に従います。To configure single sign-on for an application that is not in the Azure AD gallery, follow the steps below:

  1. Azure Portal を開き、グローバル管理者または共同管理者としてサインインします。Open the Azure portal and sign in as a Global Administrator or Co-admin.

  2. 左側のメイン ナビゲーション メニューの上部にある [すべてのサービス] をクリックして [Azure Active Directory 拡張機能] を開きます。Open the Azure Active Directory Extension by clicking All services at the top of the main left-hand navigation menu.

  3. フィルター検索ボックスに「Azure Active Directory」と入力し、 [Azure Active Directory] 項目を選択します。Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Azure Active Directory の左側のナビゲーション メニューから [エンタープライズ アプリケーション] をクリックします。click Enterprise Applications from the Azure Active Directory left-hand navigation menu.

  5. [エンタープライズ アプリケーション] ウィンドウの右上隅にある [追加] ボタンをクリックします。click the Add button at the top-right corner on the Enterprise Applications pane.

  6. [自分のアプリを追加] セクションで、 [非ギャラリー アプリケーション] をクリックします。click Non-gallery application in the Add your own app section

  7. [名前] ボックスに、アプリケーションの名前を入力します。Enter the name of the application in the Name textbox.

  8. [追加] ボタンをクリックして、アプリケーションを追加します。Click Add button, to add the application.

  9. アプリケーションが読み込まれたら、アプリケーションの左側のナビゲーション メニューから [シングル サインオン] をクリックします。Once the application loads, click the Single sign-on from the application’s left-hand navigation menu.

  10. [モード] ボックスの一覧から、 [SAML ベースのサインオン] を選択します。Select SAML-based Sign-on in the Mode dropdown.

  11. [ドメインおよび URL] に必要な値を入力します。Enter the required values in Domain and URLs. これらの値は、アプリケーション ベンダーから取得する必要があります。You should get these values from the application vendor.

    1. IdP によって開始された SSO としてアプリケーションを構成するには、応答 URL と識別子を入力します。To configure the application as IdP-initiated SSO, enter the Reply URL and the Identifier.

    2. 省略可能: SP によって開始された SSO としてアプリケーションを構成するには、サインオン URL が必要な値になります。Optional: To configure the application as SP-initiated SSO, the Sign-on URL it’s a required value.

  12. [ユーザー属性] で、 [ユーザー識別子] ボックスの一覧からユーザーの一意の識別子を選択します。In the User attributes, select the unique identifier for your users in the User Identifier dropdown.

  13. 省略可能: [その他のすべてのユーザー属性を表示および編集する] をクリックして、ユーザーがサインインするときに SAML トークンでアプリケーションに送信される属性を編集します。Optional: click View and edit all other user attributes to edit the attributes to be sent to the application in the SAML token when users sign in.

    属性を追加するには、次の手順に従います。To add an attribute:

    1. [属性の追加] をクリックします。click Add attribute. [名前] を入力し、ドロップダウンから [値] を選択します。Enter the Name and the select the Value from the dropdown.

    2. [保存] をクリックします。Click Save. テーブルに新しい属性が表示されます。You see the new attribute in the table.

  14. アプリケーションでシングル サインオンを構成する方法に関するドキュメントにアクセスするには、 [<アプリケーション名> の構成] をクリックします。click Configure <application name> to access documentation on how to configure single sign-on in the application. また、アプリケーションに必要な Azure AD URL と証明書が用意されています。Also, you has Azure AD URLs and certificate required for the application.

  15. アプリケーションにユーザーを割り当てます。Assign users to the application.

ユーザー識別子を選択し、アプリケーションに送信するためのユーザー属性を追加するSelect User Identifier and add user attributes to be sent to the application

ユーザー識別子を選択したり、ユーザー属性を追加したりするには、次の手順に従います。To select the User Identifier or add user attributes, follow the steps below:

  1. Azure Portal を開き、グローバル管理者または共同管理者としてサインインします。Open the Azure portal and sign in as a Global Administrator or Co-admin.

  2. 左側のメイン ナビゲーション メニューの上部にある [すべてのサービス] をクリックして [Azure Active Directory 拡張機能] を開きます。Open the Azure Active Directory Extension by clicking All services at the top of the main left-hand navigation menu.

  3. フィルター検索ボックスに「Azure Active Directory」と入力し、 [Azure Active Directory] 項目を選択します。Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Azure Active Directory の左側のナビゲーション メニューから [エンタープライズ アプリケーション] をクリックします。click Enterprise Applications from the Azure Active Directory left-hand navigation menu.

  5. [すべてのアプリケーション] をクリックして、すべてのアプリケーションの一覧を表示します。click All Applications to view a list of all your applications.

    • ここに表示したいアプリケーションが表示されない場合は、 [All Applications List (すべてのアプリケーション リスト)] の上部にある [フィルター] コントロールを使用して、 [表示] オプションを [すべてのアプリケーション] に設定します。If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. シングル サインオンを構成したアプリケーションを選択します。Select the application you have configured single sign-on.

  7. アプリケーションが読み込まれたら、アプリケーションの左側のナビゲーション メニューから [シングル サインオン] をクリックします。Once the application loads, click the Single sign-on from the application’s left-hand navigation menu.

  8. [ユーザー属性] セクションで、 [ユーザー識別子] ボックスの一覧からユーザーの一意の識別子を選択します。Under the User attributes section, select the unique identifier for your users in the User Identifier dropdown. 選択したオプションは、ユーザーを認証するアプリケーションで想定されている値と一致する必要があります。The selected option needs to match the expected value in the application to authenticate the user.

    注意

    Azure AD は、選択した値に基づく NameID 属性 (ユーザー ID) の形式、または SAML AuthRequest でアプリケーションによって要求された形式を選択します。Azure AD select the format for the NameID attribute (User Identifier) based on the value selected or the format requested by the application in the SAML AuthRequest. 詳細については、「シングル サインオンの SAML プロトコル」の「NameIDPolicy」セクションを参照してください。For more information visit the article Single Sign-On SAML protocol under the section NameIDPolicy.

  9. ユーザー属性を追加するには、 [その他のすべてのユーザー属性を表示および編集する] をクリックして、ユーザーがサインインするときに SAML トークンでアプリケーションに送信される属性を編集します。To add user attributes, click View and edit all other user attributes to edit the attributes to be sent to the application in the SAML token when users sign in.

    属性を追加するには、次の手順に従います。To add an attribute:

    1. [属性の追加] をクリックします。click Add attribute. [名前] を入力し、ドロップダウンから [値] を選択します。Enter the Name and the select the Value from the dropdown.

    2. [保存] をクリックします。Click Save. テーブルに新しい属性が表示されます。You see the new attribute in the table.

Azure AD メタデータまたは証明書をダウンロードするDownload the Azure AD metadata or certificate

Azure AD からアプリケーションのメタデータまたは証明書をダウンロードするには、次の手順に従います。To download the application metadata or certificate from Azure AD, follow the steps below:

  1. Azure Portal を開き、グローバル管理者または共同管理者としてサインインします。Open the Azure portal and sign in as a Global Administrator or Co-admin.

  2. 左側のメイン ナビゲーション メニューの上部にある [すべてのサービス] をクリックして [Azure Active Directory 拡張機能] を開きます。Open the Azure Active Directory Extension by clicking All services at the top of the main left-hand navigation menu.

  3. フィルター検索ボックスに「Azure Active Directory」と入力し、 [Azure Active Directory] 項目を選択します。Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Azure Active Directory の左側のナビゲーション メニューから [エンタープライズ アプリケーション] をクリックします。click Enterprise Applications from the Azure Active Directory left-hand navigation menu.

  5. [すべてのアプリケーション] をクリックして、すべてのアプリケーションの一覧を表示します。click All Applications to view a list of all your applications.

    • ここに表示したいアプリケーションが表示されない場合は、 [All Applications List (すべてのアプリケーション リスト)] の上部にある [フィルター] コントロールを使用して、 [表示] オプションを [すべてのアプリケーション] に設定します。If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. シングル サインオンを構成したアプリケーションを選択します。Select the application you have configured single sign-on.

  7. アプリケーションが読み込まれたら、アプリケーションの左側のナビゲーション メニューから [シングル サインオン] をクリックします。Once the application loads, click the Single sign-on from the application’s left-hand navigation menu.

  8. [SAML 署名証明書] セクションに移動して、 [ダウンロード] 列の値をクリックします。Go to SAML Signing Certificate section, then click Download column value. アプリケーションでシングル サインオンを構成するために何が必要かに応じて、メタデータ XML または証明書をダウンロードするオプションが表示されます。Depending on what the application requires configuring single sign-on, you see either the option to download the Metadata XML or the Certificate.

Azure AD では、メタデータを取得するための URL も提供されます。Azure AD also provides a URL to get the metadata. アプリケーションに固有のメタデータ URL を取得するには、次のパターンを使用します。https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>Follow this pattern to get the metadata URL specific to the application: https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

アプリケーションにユーザーを割り当てるAssign users to the application

1 人以上のユーザーをアプリケーションに直接割り当てるには、次の手順に従います。To assign one or more users to an application directly, follow the steps below:

  1. Azure Portal を開き、グローバル管理者としてサインインします。Open the Azure portal and sign in as a Global Administrator.

  2. 左側のメイン ナビゲーション メニューの上部にある [すべてのサービス] をクリックして [Azure Active Directory 拡張機能] を開きます。Open the Azure Active Directory Extension by clicking All services at the top of the main left-hand navigation menu.

  3. フィルター検索ボックスに「Azure Active Directory」と入力し、 [Azure Active Directory] 項目を選択します。Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Azure Active Directory の左側のナビゲーション メニューから [エンタープライズ アプリケーション] をクリックします。click Enterprise Applications from the Azure Active Directory left-hand navigation menu.

  5. [すべてのアプリケーション] をクリックして、すべてのアプリケーションの一覧を表示します。click All Applications to view a list of all your applications.

    • ここに表示したいアプリケーションが表示されない場合は、 [All Applications List (すべてのアプリケーション リスト)] の上部にある [フィルター] コントロールを使用して、 [表示] オプションを [すべてのアプリケーション] に設定します。If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. ユーザーを割り当てるアプリケーションを一覧から選びます。Select the application you want to assign a user to from the list.

  7. アプリケーションが読み込まれたら、アプリケーションの左側のナビゲーション メニューから [ユーザーとグループ] をクリックします。Once the application loads, click Users and Groups from the application’s left-hand navigation menu.

  8. [ユーザーとグループ] 一覧の上部にある [追加] ボタンをクリックして、 [割り当ての追加] ウィンドウを開きます。Click the Add button on top of the Users and Groups list to open the Add Assignment pane.

  9. [割り当ての追加] ウィンドウから [ユーザーとグループ] セレクターをクリックします。click the Users and groups selector from the Add Assignment pane.

  10. 割り当てる対象のユーザーのフル ネームまたは電子メール アドレス[名前または電子メール アドレスで検索] 検索ボックスに入力します。Type in the full name or email address of the user you are interested in assigning into the Search by name or email address search box.

  11. リスト内でユーザーにポインターを合わせ、チェック ボックスを表示します。Hover over the user in the list to reveal a checkbox. ユーザーのプロファイル写真またはロゴの横にあるチェック ボックスをオンにして、ユーザーを [選択済み] リストに追加します。Click the checkbox next to the user’s profile photo or logo to add your user to the Selected list.

  12. 省略可能: 複数のユーザーを追加する場合は、別のフル ネームまたは電子メール アドレス[名前または電子メール アドレスで検索] 検索ボックスに入力し、チェック ボックスをオンにして [選択済み] リストにこのユーザーを追加します。Optional: If you would like to add more than one user, type in another full name or email address into the Search by name or email address search box, and click the checkbox to add this user to the Selected list.

  13. ユーザーの選択が完了したら、 [選択] ボタンをクリックして、アプリケーションに割り当てるユーザーとグループの一覧に追加します。When you are finished selecting users, click the Select button to add them to the list of users and groups to be assigned to the application.

  14. 省略可能: [割り当ての追加] ウィンドウで [ロールの選択] セレクターをクリックして、選択したユーザーに割り当てるロールを選択します。Optional: click the Select Role selector in the Add Assignment pane to select a role to assign to the users you have selected.

  15. [割り当て] ボタンをクリックして、選択したユーザーにアプリケーションを割り当てます。Click the Assign button to assign the application to the selected users.

少し待つと、選択したユーザーは、ソリューションの説明セクションで説明されている方法を使用してこれらのアプリケーションを起動できるようになります。After a short period of time, the users you have selected be able to launch these applications using the methods described in the solution description section.

アプリケーションに送信される SAML 要求をカスタマイズするCustomizing the SAML claims sent to an application

アプリケーションに送信される SAML 属性要求をカスタマイズする方法については、「Azure Active Directory での要求マッピング」をご覧ください。To learn how to customize the SAML attribute claims sent to your application, see Claims mapping in Azure Active Directory for more information.

次の手順Next steps

アプリケーション プロキシを使用してアプリにシングル サインオンを提供Provide single sign-on to your apps with Application Proxy