パスワードベースのシングル サインオンについて理解するUnderstand password-based single sign-on

アプリケーション管理のクイックスタート シリーズでは、アプリケーションの ID プロバイダー (IdP) として Azure AD を使用する方法について学習しました。In the quickstart series on application management, you learned how to use Azure AD as the Identity Provider (IdP) for an application. このクイックスタート ガイドでは、SAML ベースまたは OIDC ベースの SSO を構成します。In the quickstart guide, you configure SAML-based or OIDC-based SSO. 別のオプションとして、パスワードベースの SSO があります。Another option is password-based SSO. この記事では、パスワードベースの SSO オプションについて詳しく説明します。This article goes into more detail about the password-based SSO option.

このオプションは、HTML のサインイン ページを備えたあらゆる Web サイトで利用できます。This option is available for any website with an HTML sign-in page. パスワードベースの SSO はパスワード保管とも呼ばれます。Password-based SSO is also known as password vaulting. パスワードベースの SSO では、ID フェデレーションをサポートしない Web アプリケーションに対するユーザーのアクセスとパスワードを管理できます。Password-based SSO enables you to manage user access and passwords to web applications that don't support identity federation. これは、複数のユーザーが 1 つのアカウント (組織のソーシャル メディア アプリ アカウントなど) を共有する必要がある場合にも便利です。It's also useful where several users need to share a single account, such as to your organization's social media app accounts.

パスワードベースの SSO は、Azure AD へのアプリケーションの統合を迅速に開始する優れた方法で、以下のことを実現します。Password-based SSO is a great way to get started integrating applications into Azure AD quickly, and allows you to:

  • ユーザー名とパスワードを安全に保存して再生することで、ユーザーのシングル サインオンを有効にするEnable single sign-on for your users by securely storing and replaying usernames and passwords

  • サインインするためにユーザー名とパスワード以外のフィールドも必要とするアプリケーションのために、複数のサインイン フィールドを必要とするアプリケーションをサポートするSupport applications that require multiple sign-in fields for applications that require more than just username and password fields to sign in

  • ユーザーが資格情報を入力するときにマイ アプリに表示されるユーザー名とパスワードのフィールドのラベルをカスタマイズするCustomize the labels of the username and password fields your users see on My Apps when they enter their credentials

  • ユーザーが既存のアプリケーション アカウントに対する自分のユーザー名とパスワードを手動で入力して指定できるようにするAllow your users to provide their own usernames and passwords for any existing application accounts they're typing in manually.

  • ビジネス グループのメンバーが、[アプリケーションのセルフサービス アクセス] 機能を使用して、ユーザーに割り当てられているユーザー名とパスワードを指定できるようにするAllow a member of the business group to specify the usernames and passwords assigned to a user by using the Self-Service Application Access feature

  • 個人またはグループがアプリケーションにサインインする際に使用するユーザー名とパスワードを、管理者が資格情報の更新機能を使用して指定できるようにするAllow an administrator to specify a username and password to be used by individuals or groups when they sign in to the application with the Update Credentials feature

開始する前にBefore you begin

Azure AD を ID プロバイダー (IdP) として使用し、シングル サインオン (SSO) を構成することは、使用するアプリケーションに応じて単純な場合もあれば複雑な場合もあります。Using Azure AD as your Identity Provider (IdP) and configuring single sign-on (SSO) can be simple or complex depending on the application being used. 一部のアプリケーションは、わずかのアクションで構成できます。Some applications can be configured with just a few actions. 詳細な構成が必要なものもあります。Others require in-depth configuration. 短時間で理解するには、アプリケーション管理に関するクイックスタート シリーズを参照してください。To ramp knowledge quickly, walk through the quickstart series on application management. 追加しようとしているアプリケーションが単純なものであれば、おそらくこの記事を読む必要はありません。If the application you're adding is simple, then you probably don't need to read this article. 追加しようとしているアプリケーションでカスタム構成が必要であり、パスワードベースの SSO を使用する必要がある場合は、この記事をお読みください。If the application you're adding requires custom configuration and you need to use password-based SSO, then this article is for you.

重要

一部のシナリオでは、エンタープライズ アプリケーション 内のアプリケーションのナビゲーションに シングル サインオン オプションが表示されません。There are some scenarios where the Single sign-on option will not be in the navigation for an application in Enterprise applications.

アプリの登録 を使用してアプリケーションが登録された場合、既定では、OIDC OAuth を使用するようにシングル サインオン機能が構成されます。If the application was registered using App registrations then the single sign-on capability is configured to use OIDC OAuth by default. この場合、 [シングル サインオン] オプションは、 [エンタープライズ アプリケーション] の下のナビゲーションに表示されません。In this case, the Single sign-on option won't show in the navigation under Enterprise applications. アプリの登録 を使用してカスタム アプリを追加する場合は、マニフェスト ファイルでオプションを構成します。When you use App registrations to add your custom app, you configure options in the manifest file. マニフェスト ファイルの詳細については、「Azure Active Directory のアプリ マニフェスト」を参照してください。To learn more about the manifest file, see Azure Active Directory app manifest. SSO 標準の詳細については、「Microsoft ID プラットフォームを使用した認証と承認」を参照してください。To learn more about SSO standards, see Authentication and authorization using Microsoft identity platform.

ナビゲーションに [シングル サインオン] が表示されないその他のシナリオには、アプリケーションが別のテナントでホストされている場合や、アカウントに必要なアクセス許可 (グローバル管理者、クラウド アプリケーション管理者、アプリケーション管理者、またはサービス プリンシパルの所有者) がない場合などがあります。Other scenarios where Single sign-on will be missing from the navigation include when an application is hosted in another tenant or if your account does not have the required permissions (Global Administrator, Cloud Application Administrator, Application Administrator, or owner of the service principal). アクセス許可によっては、 [シングル サインオン] を開くことができるが、保存できないシナリオが発生する場合もあります。Permissions can also cause a scenario where you can open Single sign-on but won't be able to save. Azure AD の管理者ロールの詳細については、(https://docs.microsoft.com/azure/active-directory/users-groups-roles/directory-assign-admin-roles) を参照してください。To learn more about Azure AD administrative roles, see (https://docs.microsoft.com/azure/active-directory/users-groups-roles/directory-assign-admin-roles).

基本構成Basic configuration

クイックスタート シリーズでは、テナントにアプリを追加する方法について学習しました。これによって、Azure AD がアプリの ID プロバイダー (IdP) として使用されていることが認識されます。In the quickstart series, you learned how to add an app to your tenant, which lets Azure AD knows it's being used as the Identity Provider (IdP) for the app. 一部のアプリは事前に構成されており、Azure AD ギャラリーに表示されます。Some apps are already pre-configured and they show in the Azure AD gallery. 他のアプリはギャラリーに表示されないため、汎用アプリを作成し、手動で構成する必要があります。Other apps are not in the gallery and you have to create a generic app and configure it manually. アプリによっては、パスワードベースの SSO オプションを使用できない場合があります。Depending on the app, the password-based SSO option might not be available. アプリのシングル サインオン ページにパスワードベースのオプションの一覧が表示されない場合、そのオプションは使用できません。If you don't see the Password-based option list on the single sign-on page for the app, then it is not available.

重要

パスワードベースの SSO には、マイ アプリのブラウザー拡張機能が必要です。The My Apps browser extension is required for password-based SSO. 詳細については、「マイ アプリのデプロイの計画」を参照してください。To learn more, see Plan a My Apps deployment.

パスワード ベースの SSO の構成ページは単純です。The configuration page for password-based SSO is simple. アプリで使用されているサインオン ページの URL のみが表示されます。It includes only the URL of the sign-on page that the app uses. この文字列は、ユーザー名入力フィールドを含んだページである必要があります。This string must be the page that includes the username input field.

URL を入力したら、 [保存] を選択します。After you enter the URL, select Save. Azure AD は、サインイン ページのユーザー名とパスワードの入力フィールドの HTML を解析します。Azure AD parses the HTML of the sign-in page for username and password input fields. 試行に成功すれば完了です。If the attempt succeeds, you're done.

次の手順は、アプリケーションへのユーザーまたはグループの割り当てです。Your next step is to Assign users or groups to the application. ユーザーとグループを割り当てたら、アプリケーションにサインインするユーザーのために使用する資格情報を指定できます。After you've assigned users and groups, you can provide credentials to be used for a user when they sign in to the application. [ユーザーとグループ] を選択し、目的のユーザーまたはグループの行のチェック ボックスをオンにして、 [資格情報の更新] を選択します。Select Users and groups, select the checkbox for the user's or group's row, and then select Update Credentials. 最後に、そのユーザーまたはグループのために使用するユーザー名とパスワードを入力します。Finally, enter the username and password to be used for the user or group. そうしない場合、ユーザーは起動時に自分で資格情報を入力するように求められます。If you don't, users will be prompted to enter the credentials themselves upon launch.

手動構成Manual configuration

Azure AD による解析の試行が失敗した場合、サインオンを手動で構成することができます。If Azure AD's parsing attempt fails, you can configure sign-on manually.

  1. [<application name> の構成][<application name> パスワード シングル サインオン設定の構成] を選択し、 [サインオンの構成] ページを表示します。Under <application name> Configuration, select Configure <application name> Password Single Sign-on Settings to display the Configure sign-on page.

  2. [サインイン フィールドの手動検出] を選択します。Select Manually detect sign-in fields. サインイン フィールドの手動検出について説明した追加手順が表示されます。Additional instructions describing the manual detection of sign-in fields appear.

    パスワードベースのシングル サインオンの手動構成

  3. [サインイン フィールドの取り込み] を選択します。Select Capture sign-in fields. キャプチャ ステータス ページが新しいタブで開き、「メタデータ キャプチャは現在進行中です」というメッセージが示されます。A capture status page opens in a new tab, showing the message metadata capture is currently in progress.

  4. [My Apps Extension Required](マイ アプリ拡張機能必要) ボックスが新しいタブに表示された場合、 [今すぐインストール] を選択して、 [マイ アプリによるセキュリティで保護されたサインイン拡張機能] ブラウザー拡張機能をインストールします。If the My Apps Extension Required box appears in a new tab, select Install Now to install the My Apps Secure Sign-in Extension browser extension. (ブラウザー拡張機能には、Microsoft Edge、Chrome、または Firefox が必要です)。続いて拡張機能をインストールし、起動し、有効にして、キャプチャ ステータス ページを更新します。(The browser extension requires Microsoft Edge, Chrome, or Firefox.) Then install, launch, and enable the extension, and refresh the capture status page.

    ブラウザー拡張機能は次に、入力した URL を表示する別のタブを開きます。The browser extension then opens another tab that displays the entered URL.

  5. 入力した URL のタブで、サインイン プロセスを実行します。In the tab with the entered URL, go through the sign-in process. ユーザー名とパスワードのフィールドを入力し、サインインを試みます。Fill in the username and password fields, and try to sign in. (正しいパスワードを指定する必要がありません)。(You don't have to provide the correct password.)

    プロンプトでは、キャプチャされたサインイン フィールドを保存するように要求されます。A prompt asks you to save the captured sign-in fields.

  6. [OK] を選択します。Select OK. ブラウザー拡張機能により、"メタデータはアプリケーション用に更新されました" というメッセージでキャプチャ ステータス ページが更新されます。The browser extension updates the capture status page with the message Metadata has been updated for the application. ブラウザー タブが閉じます。The browser tab closes.

  7. Azure AD の [サインオンの構成] ページで、 [正常にアプリにサインインできました] を選択します。In the Azure AD Configure sign-on page, select Ok, I was able to sign-in to the app successfully.

  8. [OK] を選択します。Select OK.

次のステップNext steps