ギャラリー以外のアプリケーションに SAML ベースのシングル サインオンを構成するConfigure SAML-based single sign-on to non-gallery applications

ギャラリー アプリまたはギャラリー以外の Web アプリを Azure AD エンタープライズ アプリケーションに追加するときに利用できるシングル サインオン オプションの 1 つに、SAML ベースのシングル サインオンがあります。When you add a gallery app or a non-gallery web app to your Azure AD Enterprise Applications, one of the single sign-on options available to you is SAML-based single sign-on. SAML プロトコルのいずれかを使用して認証するアプリケーションの場合は常に SAML を選択します。Choose SAML whenever possible for applications that authenticate using one of the SAML protocols. SAML によるシングル サインオンでは、ユーザーの Azure AD アカウントを使用して、Azure AD がアプリケーションに対して認証を行います。With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Azure AD は、接続プロトコルを通してアプリケーションにシングル サインオンの情報を伝達します。Azure AD communicates the sign-on information to the application through a connection protocol. SAML 要求で定義するルールに基づいて、ユーザーを特定のアプリケーション ロールにマップできます。You can map users to specific application roles based on rules you define in your SAML claims. この記事では、ギャラリー以外のアプリ用に SAML ベースのシングル サインオンを構成する方法について説明します。This article describes how to configure SAML-based single sign-on for a non-gallery app.

注意

ギャラリー アプリを追加しますか?Adding a gallery app? 詳細な設定手順は、SaaS アプリのチュートリアルの一覧で探してください。Find step-by-step setup instructions in the list of SaaS app tutorials

"コードの記述なしで" ギャラリー以外のアプリケーションの SAML シングル サインオンを構成するには、サブスクリプションまたは Azure AD Premium を持っており、アプリケーションが SAML 2.0 をサポートしている必要があります。To configure SAML single sign-on for a non-gallery application without writing code, you need to have a subscription or Azure AD Premium and the application must support SAML 2.0. Azure AD のバージョンの詳細については、Azure AD の価格に関するページを参照してください。For more information about Azure AD versions, visit Azure AD pricing.

開始する前にBefore you begin

アプリケーションが Azure AD テナントに追加されていない場合は、ギャラリー以外のアプリの追加に関するページを参照してください。If the application hasn't been added to your Azure AD tenant, see Add a non-gallery app.

手順 1.Step 1. [基本的な SAML 構成] を編集するEdit the Basic SAML Configuration

  1. クラウド アプリケーション管理者か Azure AD テナントのアプリケーション管理者として Azure portal にサインインします。Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

  2. [Azure Active Directory] > [エンタープライズ アプリケーション] に移動し、一覧からアプリケーションを選択します。Navigate to Azure Active Directory > Enterprise applications and select the application from the list.

    • アプリケーションを検索するには、 [アプリケーションの種類] メニューの [すべてのアプリケーション] を選択した後、 [適用] を選択します。To search for the application, in the Application Type menu, select All applications, and then select Apply. 検索ボックスにアプリケーションの名前を入力し、結果からアプリケーションを選択します。Enter the name of the application in the search box, and then select the application from the results.
  3. [管理] セクションの [シングル サインオン] を選択します。Under the Manage section, select Single sign-on.

  4. [SAML] を選択します。Select SAML. [SAML によるシングル サインオンのセットアップ - プレビュー] ページが表示されます。The Set up Single Sign-On with SAML - Preview page appears.

    手順 1. [基本的な SAML 構成] を編集する

  5. 基本的な SAML 構成オプションを編集するには、 [基本的な SAML 構成] セクションの右上隅にある [編集] アイコン (鉛筆) を選択します。To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

  6. 次の設定を入力します。Enter the following settings. これらの値は、アプリケーション ベンダーから取得する必要があります。You should get the values from the application vendor. 値を手動で入力するか、メタデータ ファイルをアップロードしてフィールドの値を抽出できます。You can manually enter the values or upload a metadata file to extract the value of the fields.

    [基本的な SAML 構成] の設定Basic SAML Configuration setting SP-InitiatedSP-Initiated idP-InitiatedidP-Initiated 説明Description
    識別子 (エンティティ ID)Identifier (Entity ID) 一部のアプリでは必須Required for some apps 一部のアプリでは必須Required for some apps アプリケーションを一意に識別します。Uniquely identifies the application. Azure AD から ID が SAML トークンの Audience パラメーターとしてアプリケーションに送信されます。Azure AD sends the identifier to the application as the Audience parameter of the SAML token. アプリケーションではこの ID を検証する必要があります。The application is expected to validate it. また、この値はアプリケーションによって提供される SAML メタデータ内に Entity ID として表示されます。This value also appears as the Entity ID in any SAML metadata provided by the application. "この値は、アプリケーションから送信された AuthnRequest (SAML 要求) の Issuer 要素として見つけることができます。 "You can find this value as the Issuer element in the AuthnRequest (SAML request) sent by the application.
    応答 URLReply URL 必須Required 必須Required アプリケーションが SAML トークンを受け取ることになっている場所を指定します。Specifies where the application expects to receive the SAML token. 応答 URL は Assertion Consumer Service (ACS) URL とも呼ばれています。The reply URL is also referred to as the Assertion Consumer Service (ACS) URL. 追加の応答 URL フィールドを使用して、複数の応答 URL を指定できます。You can use the additional reply URL fields to specify multiple reply URLs. たとえば複数のサブドメインで、追加の応答 URL が必要となります。For example, you might need additional reply URLs for multiple subdomains. またはテスト目的で、複数の応答 URL (ローカル ホストとパブリック URL) を一度に指定できます。Or, for testing purposes you can specify multiple reply URLs (local host and public URLs) at one time.
    サインオン URLSign-on URL 必須Required 指定しませんDon't specify この URL をユーザーが開くと、サービス プロバイダーは、ユーザーの認証とサインインを行う Azure AD にそのユーザーをリダイレクトします。When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. Azure AD はその URL を使用して Office 365 または Azure AD アクセス パネルからアプリケーションを起動します。Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. 何も入力されていない場合、ユーザーが Office 365、Azure AD アクセス パネル、または Azure AD SSO URL からアプリケーションを起動したとき、Azure AD により IdP-Initiated のサインオンが実行されます。When blank, Azure AD performs IdP-initiated sign-on when a user launches the application from Office 365, the Azure AD Access Panel, or the Azure AD SSO URL.
    リレー状態Relay State 省略可能Optional 省略可能Optional 認証が完了した後にユーザーをリダイレクトする場所をアプリケーションに指示します。Specifies to the application where to redirect the user after authentication is completed. 通常、値はアプリケーションで有効な URL です。Typically the value is a valid URL for the application. ただし、一部のアプリケーションでは、このフィールドを異なる方法で使用します。However, some applications use this field differently. 詳細については、アプリケーションのベンダーに問い合わせてください。For more information, ask the application vendor.
    ログアウト URLLogout URL 省略可能Optional 省略可能Optional SAML ログアウト応答をアプリケーションに返送するために使用します。Used to send the SAML Logout responses back to the application.

詳細については、「シングル サインオンの SAML プロトコル」を参照してください。For more information, see Single sign-on SAML protocol.

手順 2.Step 2. ユーザー属性と要求を構成するConfigure User attributes and claims

アプリケーションに対するユーザーの認証時に、Azure AD は、ユーザーを一意に識別する情報 (要求) を伴う SAML トークンをアプリケーションに発行します。When a user authenticates to the application, Azure AD issues the application a SAML token with information (or claims) about the user that uniquely identifies them. 既定では、この情報には、ユーザーのユーザー名、電子メール アドレス、名、および姓が含まれます。By default, this information includes the user's username, email address, first name, and last name. たとえば、特定の要求値またはユーザー名以外の名前形式をアプリケーションが必要とする場合に、これらの要求をカスタマイズする必要があります。You might need to customize these claims if, for example, the application requires specific claim values or a Name format other than username. ギャラリー アプリの要件については、アプリケーション固有のチュートリアルで説明しています。または、該当するアプリケーションのベンダーにお問い合わせください。Requirements for gallery apps are described in the application-specific tutorials, or you can ask the application vendor. ユーザー属性と要求を構成するための一般的な手順について以下で説明します。The general steps for configuring user attributes and claims are described below.

  1. [ユーザー属性と要求] セクションの右上隅にある [編集] アイコン (鉛筆) を選択します。In the User Attributes and Claims section, select the Edit icon (a pencil) in the upper-right corner.

    手順 2. ユーザー属性と要求を構成する

  2. [名前識別子の値] を確認します。Verify the Name Identifier Value. 既定値は user.principalname です。The default value is user.principalname. アプリケーション内の各ユーザーは、ユーザー識別子によって一意に識別されます。The user identifier uniquely identifies each user within the application. たとえば、メール アドレスがユーザー名と一意識別子を兼ねている場合、この値を user.mail に設定します。For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  3. [名前識別子の値] を変更するには、 [名前識別子の値] フィールドの [編集] アイコン (鉛筆) を選択します。To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. 必要に応じて、識別子の形式とソースに適切な変更を加えます。Make the appropriate changes to the identifier format and source, as needed. 詳細については、「NameID の編集」を参照してください。For details, see Editing NameId. 完了したら、変更を保存します。Save the changes when you're done.

  4. グループ要求を構成するには、 [要求で返されるグループ] フィールドの [編集] アイコンを選択します。To configure group claims, select the Edit icon for the Groups returned in claim field. 詳細については、グループ要求の構成に関するページを参照してください。For details, see Configure group claims.

  5. 要求を追加するには、ページの上部にある [新しいクレームの追加] を選択します。To add a claim, select Add new claim at the top of the page. [名前] を入力し、適切なソースを選択します。Enter the Name and select the appropriate source. [属性] ソースを選択した場合、使用するソース属性を選択する必要があります。If you select the Attribute source, you'll need to choose the Source attribute you want to use. [翻訳] ソースを選択した場合、使用する変換パラメーター 1 を選択する必要があります。If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use. 詳細については、「アプリケーション固有の要求の追加」を参照してください。For details, see Adding application-specific claims. 完了したら、変更を保存します。Save the changes when you're done.

  6. [保存] を選択します。Select Save. 新しい要求が表に表示されます。The new claim appears in the table.

    注意

    Azure AD からお使いのアプリケーションへの SAML トークンをカスタマイズするその他の方法については、次のリソースを参照してください。For additional ways to customize the SAML token from Azure AD to your application, see the following resources.

手順 3.Step 3. SAML 署名証明書を管理するManage the SAML signing certificate

Azure AD では、アプリケーションに送信する SAML トークンの署名に証明書を使用します。Azure AD uses a certificate to sign the SAML tokens it sends to the application. この証明書を使用して、Azure AD とアプリケーション間の信頼を設定する必要があります。You need this certificate to set up the trust between Azure AD and the application. 証明書の形式の詳細については、アプリケーションの SAML ドキュメントを参照してください。For details on the certificate format, see the application’s SAML documentation. 詳細については、フェデレーション シングル サインオンの証明書の管理SAML トークンの詳細な証明書署名オプションに関するページを参照してください。For more information, see Manage certificates for federated single sign-on and Advanced certificate signing options in the SAML token.

Azure AD の [SAML によるシングル サインオンのセットアップ] メイン ページから直接、Base64 または未加工形式でアクティブな証明書をダウンロードできます。From Azure AD, you can download the active certificate in Base64 or Raw format directly from the main Set up Single Sign-On with SAML page. または、証明書は、アプリケーションのメタデータ XML ファイルをダウンロードするか、アプリのフェデレーション メタデータ URL を使用して取得できます。Alternatively, you can get the active certificate by downloading the application metadata XML file or by using the App federation metadata URL. 証明書 (アクティブまたは非アクティブ) を表示、作成、またはダウンロードするには、次の手順を実行します。To view, create, or download your certificates (active or inactive), follow these steps.

  1. [SAML 署名証明書] セクションに移動します。Go to the SAML Signing Certificate section.

    手順 3. SAML 署名証明書を管理する

  2. 証明書に以下が含まれていることを確認します。Verify the certificate has:

    • 期待どおりの有効期限。The desired expiration date. 最大 3 年間の有効期限を構成できます。You can configure the expiration date for up to three years into the future.
    • 必要な証明書のアクティブな状態。A status of active for the desired certificate. 状態が非アクティブの場合は、アクティブに変更します。If the status is Inactive, change the status to Active. 状態を変更するには、目的の証明書の行を右クリックし、 [証明書をアクティブにする] を選択します。To change the status, right-click the desired certificate's row and select Make certificate active.
    • 適切な署名オプションおよびアルゴリズム。The correct signing option and algorithm.
    • 適切な通知用メール アドレス。The correct notification email address(es). アクティブな証明書の有効期限が近づくと、Azure AD は、このフィールドに構成されている電子メール アドレスに通知を送信します。When the active certificate is near the expiration date, Azure AD sends a notification to the email address configured in this field.
  3. 証明書をダウンロードするには、Base64 形式、未加工の形式、フェデレーション メタデータ XML のいずれかのオプションを選択します。To download the certificate, select one of the options for Base64 format, Raw format, or Federation Metadata XML. また、Azure AD では、アプリケーション固有のメタデータにアクセスできるアプリのフェデレーション メタデータ URLhttps://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID> 形式で提供されます。Azure AD also provides the App Federation Metadata Url where you can access the metadata specific to the application in the format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

  4. 証明書を管理、作成、またはインポートするには、 [SAML 署名証明書] セクションの右上隅にある [編集] アイコン (鉛筆) を選択します。To manage, create, or import a certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section.

    SAML 署名証明書

    次のいずれかの操作を実行します。Take any of the following actions:

    • 新しい証明書を作成するには、 [新しい証明書] を選択し、 [有効期限] を選択して、 [保存] を選択します。To create a new certificate, select New Certificate, select the Expiration Date, and then select Save. 証明書をアクティブ化するには、コンテキスト メニュー ( ... ) を選択し、 [証明書をアクティブにする] を選択します。To activate the certificate, select the context menu (...) and select Make certificate active.
    • 秘密キーと pfx の資格情報を含む証明書をアップロードするには、 [証明書のインポート] を選択し、その証明書を参照します。To upload a certificate with private key and pfx credentials, select Import Certificate and browse to the certificate. [PFX パスワード] を入力し、 [追加] を選択します。Enter the PFX Password, and then select Add.
    • 詳細な証明書署名オプションを構成するには、次のオプションを使用します。To configure advanced certificate signing options, use the following options. これらのオプションの説明については、詳細な証明書署名オプションに関する記事を参照してください。For descriptions of these options, see the Advanced certificate signing options article.
      • [署名オプション] ドロップダウン リストで、 [SAML 応答への署名][SAML アサーションへの署名] 、または [SAML 応答とアサーションへの署名] を選択します。In the Signing Option drop-down list, choose Sign SAML response, Sign SAML assertion, or Sign SAML response and assertion.
      • [署名アルゴリズム] ドロップダウン リストで、 [SHA-1] または [SHA-256] を選択します。In the Signing Algorithm drop-down list, choose SHA-1 or SHA-256.
    • アクティブな証明書の有効期限が近づいたときに他のユーザーに通知するには、 [通知の電子メール アドレス] フィールドにメール アドレスを入力します。To notify additional people when the active certificate is near its expiration date, enter the email addresses in the Notification email addresses fields.
  5. 変更を加えた場合は、 [SAML 署名証明書] セクションの上部にある [保存] を選択します。If you made changes, select Save at the top of the SAML Signing Certificate section.

手順 4.Step 4. Azure AD を使用するようにアプリケーションを設定するSet up the application to use Azure AD

[<applicationName> のセットアップ] セクションには、Azure AD が SAML ID プロバイダーとして使用されるようにアプリケーションで構成する必要のある値の一覧が表示されます。The Set up <applicationName> section lists the values that need to be configured in the application so it will use Azure AD as a SAML identity provider. 必要な値は、アプリケーションによって異なります。The required values vary according to the application. 詳細については、アプリケーションの SAML ドキュメントを参照してください。For details, see the application's SAML documentation. ドキュメントを検索するには、 [<アプリケーション名> のセットアップ] の見出しに移動し、 [ステップ バイ ステップの手順を表示] を選択します。To find the documentation, go to the Set up <application name> heading and select View step-by-step instructions. ドキュメントが [サインオンの構成] ページに表示されます。The documentation appears in the Configure sign-on page. そのページでは、 [<アプリケーション名> のセットアップ] の見出しで [ログイン URL][Azure AD 識別子] 、および [ログアウト URL] の値を入力する手順が説明されています。That page guides you in filling out the Login URL, Azure AD Identifier, and Logout URL values in the Set up <application name> heading.

  1. [<applicationName> のセットアップ] セクションまで下にスクロールします。Scroll down to the Set up <applicationName> section.

    手順 4. アプリケーションをセットアップする

  2. 必要に応じてこのセクションの各行から値をコピーし、アプリケーション固有の手順に従ってその値をアプリケーションに追加します。Copy the value from each row in this section as needed and follow the application-specific instructions for adding the value to the application. ギャラリー アプリの場合は、 [ステップ バイ ステップの手順を表示] を選択するとドキュメントを表示できます。For gallery apps, you can view the documentation by selecting View step-by-step instructions.

    • ログイン URLログアウト URL の両方が、同じエンドポイント (Azure AD のインスタンスの SAML 要求処理エンドポイント) に解決されます。The Login URL and Logout URL values both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD.
    • Azure AD 識別子は、アプリケーションに発行された SAML トークンでの [発行者] の値です。The Azure AD Identifier is the value of the Issuer in the SAML token issued to the application.
  3. すべての値を適切なフィールドに貼り付けたら、 [保存] を選択します。When you've pasted all the values into the appropriate fields, select Save.

手順 5.Step 5. シングル サインオンを検証するValidate single sign-on

SAML ベースの ID プロバイダーとして Azure AD を使用するようにアプリケーションを構成し終えたら、設定をテストし、ご利用のアカウントでシングル サインオンが機能するかどうかを確認できます。Once you've configured your application to use Azure AD as a SAML-based identity provider, you can test the settings to see if single sign-on works for your account.

  1. [ でシングル サインオンを検証] セクションまでスクロールします。Scroll to the Validate single sign-on with section.

    手順 5. シングル サインオンを検証する

  2. [検証] を選択します。Select Validate. テストのオプションが表示されます。The testing options appear.

  3. [現在のユーザーとしてサインイン] を選択します。Select Sign in as current user.

サインオンに成功した場合は、SAML アプリケーションにユーザーとグループを割り当てることができます。If sign-on is successful, you're ready to assign users and groups to your SAML application. エラー メッセージが表示されたら、次の手順を完了してください。If an error message appears, complete the following steps:

  1. 詳細をコピーして [エラーの説明] ボックスに貼り付けます。Copy and paste the specifics into the What does the error look like? box.

    解決ガイダンスを入手する

  2. [解決ガイダンスを入手する] を選択します。Select Get resolution guidance. 根本原因と解決ガイダンスが表示されます。The root cause and resolution guidance appear. この例では、アプリケーションにユーザーが割り当てられていませんでした。In this example, the user wasn't assigned to the application.

  3. 解決ガイダンスを読み、可能であれば問題を解決します。Read the resolution guidance and then, if possible, fix the issue.

  4. 成功するまでテストを再実行します。Run the test again until it completes successfully.

詳細については、「Azure Active Directory のアプリケーションに対する SAML に基づいたシングル サインオンをデバッグする」を参照してください。For more information, see Debug SAML-based single sign-on to applications in Azure Active Directory.

次の手順Next steps