チュートリアル:Azure Active Directory による SAML ベースのシングル サインオンをアプリケーションに構成するTutorial: Configure SAML-based single sign-on for an application with Azure Active Directory

このチュートリアルでは、Azure portal を使って、Azure Active Directory (Azure AD) による SAML ベースのシングル サインオンをアプリケーションに構成します。This tutorial uses the Azure portal to configure SAML-based single sign-on for an application with Azure Active Directory (Azure AD). アプリケーション固有のチュートリアルが利用できないとき、このチュートリアルを利用してください。Use this tutorial when an application-specific tutorial isn't available.

このチュートリアルでは、Azure portal を使用して次の作業を行います。This tutorial uses the Azure portal to:

  • SAML ベースのシングル サインオン モードを選択するSelect the SAML-based single sign-on mode
  • アプリケーションに固有のドメインと URL を構成するConfigure application-specific domain and URLs
  • ユーザー属性を構成するConfigure user attributes
  • SAML 署名証明書を作成するCreate a SAML signing certificate
  • アプリケーションにユーザーを割り当てるAssign users to the application
  • SAML ベースのシングル サインオンに対応するようにアプリケーションを構成するConfigure the application for SAML-based single sign-on
  • SAML 設定のテストTest the SAML settings

開始する前にBefore you begin

  1. Azure AD テナントにアプリケーションが追加されていない場合、「クイック スタート:Azure AD テナントにアプリケーションを追加する」を参照してください。If the application hasn't been added to your Azure AD tenant, see Quickstart: Add an application to your Azure AD tenant.

  2. 基本的な SAML オプションを構成する」に記載されている情報をご使用のアプリケーションのベンダーに問い合わせます。Ask your application vendor for the information described in Configure basic SAML options.

  3. このチュートリアルの手順をテストする場合は、非運用環境を使用します。Use a non-production environment to test the steps in this tutorial. Azure AD の非運用環境がない場合は、1 か月の評価版を入手できますIf you don't have an Azure AD non-production environment, you can get a one-month trial.

  4. クラウド アプリケーション管理者か Azure AD テナントのアプリケーション管理者として Azure portal にサインインします。Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

シングル サインオン モードを選択するSelect a single sign-on mode

ご自分の Azure AD テナントにアプリケーションを追加したら、アプリケーションにシングル サインオンを構成する準備は完了です。After you've added an application to your Azure AD tenant, you're ready to configure single sign-on for the application.

シングル サインオンの設定を開くには、次の手順に従います。To open the single sign-on settings:

  1. Azure portal の左側のナビゲーション パネルで、[Azure Active Directory] を選択します。In the Azure portal, on the left navigation panel, select Azure Active Directory.

  2. 表示された Azure Active Directory のナビゲーション パネルの [管理] の下で [エンタープライズ アプリケーション] を選択します。Under Manage in the Azure Active Directory navigation panel that appears, select Enterprise applications. ご自分の Azure AD テナント内にあるアプリケーションのランダム サンプルが表示されます。A random sample of the applications in your Azure AD tenant appears.

  3. [アプリケーションの種類] メニューの [すべてのアプリケーション] を選択した後、[適用] を選択します。In the Application Type menu, select All applications, and then select Apply.

  4. シングル サインオンを構成するアプリケーションの名前を入力します。Enter the name of the application for which you want to configure single sign-on. たとえば、「GitHub-test」と入力して、アプリケーションの追加に関するクイック スタートで追加したアプリケーションを構成できます。For example, you can enter GitHub-test to configure the application you added in the add application quickstart.

    アプリケーションの検索バーを示すスクリーンショット。

  5. シングル サインオンを構成するアプリケーションを選択します。Choose the application for which you want to configure single sign-on.

  6. [管理] セクションの [シングル サインオン] を選択します。Under the Manage section, select Single sign-on.

  7. [SAML] を選択して、シングル サインオンを構成します。Select SAML to configure single sign-on. [SAML によるシングル サインオンのセットアップ - プレビュー] ページが表示されます。The Set up Single Sign-On with SAML - Preview page appears.

基本的な SAML オプションを構成するConfigure basic SAML options

ドメインと URL を構成するには、次の手順に従います。To configure the domain and URLs:

  1. 次の設定についての正しい情報をアプリケーションのベンダーに問い合わせます。Contact the application vendor to get the correct information for the following settings:

    構成設定Configuration setting SP-InitiatedSP-Initiated idP-InitiatedidP-Initiated 説明Description
    識別子 (エンティティ ID)Identifier (Entity ID) 一部のアプリでは必須Required for some apps 一部のアプリでは必須Required for some apps シングル サインオンの構成対象となるアプリケーションを一意に識別します。Uniquely identifies the application for which single sign-on is being configured. Azure AD から ID が SAML トークンの Audience パラメーターとしてアプリケーションに送信されます。Azure AD sends the identifier to the application as the Audience parameter of the SAML token. アプリケーションではこの ID を検証する必要があります。The application is expected to validate it. また、この値はアプリケーションによって提供される SAML メタデータ内に Entity ID として表示されます。This value also appears as the Entity ID in any SAML metadata provided by the application.
    [応答 URL]Reply URL 省略可能Optional 必須Required アプリケーションが SAML トークンを受け取ることになっている場所を指定します。Specifies where the application expects to receive the SAML token. 応答 URL は Assertion Consumer Service (ACS) URL とも呼ばれています。The reply URL is also referred to as the Assertion Consumer Service (ACS) URL.
    [サインオン URL]Sign-on URL 必須Required 指定しませんDon't specify この URL をユーザーが開くと、サービス プロバイダーは、ユーザーの認証とサインインを行う Azure AD にそのユーザーをリダイレクトします。When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. Azure AD はその URL を使用して Office 365 または Azure AD アクセス パネルからアプリケーションを起動します。Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. 空白の場合、Azure AD では、ユーザーがアプリケーションを起動したときにシングル サインオンを開始する際、ID プロバイダーが利用されます。When blank, Azure AD relies on the identity provider to start single sign-on when a user launches the application.
    リレー状態Relay State 省略可能Optional 省略可能Optional 認証が完了した後にユーザーをリダイレクトする場所をアプリケーションに指示します。Specifies to the application where to redirect the user after authentication is completed. 通常、値はアプリケーションで有効な URL です。Typically the value is a valid URL for the application. ただし、一部のアプリケーションでは、このフィールドを異なる方法で使用します。However, some applications use this field differently. 詳細については、アプリケーションのベンダーに問い合わせてください。For more information, ask the application vendor.
    ログアウト URLLogout URL 省略可能Optional 省略可能Optional SAML ログアウト応答をアプリケーションに返送するために使用します。Used to send the SAML Logout responses back to the application.
  2. 基本的な SAML 構成オプションを編集するには、[基本的な SAML 構成] セクションの右上隅にある [編集] アイコン (鉛筆) を選択します。To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

    証明書の構成

  3. ページ上の適切な各フィールドに、手順 1. でアプリケーション ベンダーから提供された情報を入力します。In the appropriate fields on the page, enter the information provided by the application vendor in step 1.

  4. ページの最上部で [保存] を選択します。At the top of the page, select Save.

ユーザー属性と要求を構成するConfigure user attributes and claims

ユーザーがサインインしたときに Azure AD からアプリケーションに SAML トークンで送信される情報を制御できます。You can control what information Azure AD sends to the application in the SAML token when a user signs in. この情報を制御するには、ユーザー属性を構成します。You control this information by configuring user attributes. たとえば、ユーザーがサインインしたときにユーザーの名前やメール アドレス、従業員 ID をアプリケーションに送信するよう Azure AD を構成できます。For example, you can configure Azure AD to send the user's name, email, and employee ID to the application when a user signs in.

シングル サインオンが適切に機能するうえで、これらの属性が必要な場合もあれば、省略可能な場合もあります。These attributes may be required or optional to make single sign-on work properly. 詳細については、 アプリケーションに固有のチュートリアルを参照するか、アプリケーションのベンダーに問い合わせてください。For more information, see the application-specific tutorial, or ask the application vendor.

  1. ユーザー属性と要求を編集するには、[ユーザー属性と要求] セクションの右上隅にある [編集] アイコン (鉛筆) を選択します。To edit user attributes and claims, select the Edit icon (a pencil) in the upper-right corner of the User Attributes and Claims section.

    [名前識別子の値] には、既定値の user.principalname が設定されています。The Name Identifier Value is set with the default value of user.principalname. アプリケーション内の各ユーザーは、ユーザー識別子によって一意に識別されます。The user identifier uniquely identifies each user within the application. たとえば、メール アドレスがユーザー名と一意識別子を兼ねている場合、この値を user.mail に設定します。For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  2. [名前識別子の値] を変更するには、[名前識別子の値] フィールドの [編集] アイコン (鉛筆) を選択します。To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. 必要に応じて、識別子の形式とソースに適切な変更を加えます。Make the appropriate changes to the identifier format and source, as needed. 完了したら、変更を保存します。Save the changes when you're done. 要求のカスタマイズの詳細については、ハウツー記事「エンタープライズ アプリケーションの SAML トークンで発行された要求のカスタマイズ」を参照してください。For more information about customizing claims, see the Customize claims issued in the SAML token for enterprise applications how-to article.

  3. 要求を追加するには、ページの上部にある [新しいクレームの追加] を選択します。To add a claim, select Add new claim at the top of the page. [名前] を入力し、適切なソースを選択します。Enter the Name and select the appropriate source. [属性] ソースを選択した場合、使用するソース属性を選択する必要があります。If you select the Attribute source, you'll need to choose the Source attribute you want to use. [翻訳] ソースを選択した場合、使用する変換パラメーター 1 を選択する必要があります。If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use.

  4. [保存] を選択します。Select Save. 新しい要求が表に表示されます。The new claim appears in the table.

SAML 署名証明書を生成するGenerate a SAML signing certificate

Azure AD は、アプリケーションに送信する SAML トークンに対し、証明書を使って署名します。Azure AD uses a certificate to sign the SAML tokens that it sends to the application.

  1. 新しい証明書を生成するには、[SAML 署名証明書] セクションの右上隅にある [編集] アイコン (鉛筆) を選択します。To generate a new certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section.

  2. [SAML 署名証明書] セクションの [新しい証明書] を選択します。In the SAML Signing Certificate section, select New Certificate.

  3. 表示された新しい証明書の行で、[有効期限日] を設定します。In the new certificate row that appears, set the Expiration Date. 使用可能な構成オプションの詳細については、詳細な証明書署名オプションに関する記事を参照してください。For more information about available configuration options, see the Advanced certificate signing options article.

  4. [SAML 署名証明書] セクションの上部にある [保存] を選択します。Select Save at the top of the SAML Signing Certificate section.

アプリケーションにユーザーを割り当てるAssign users to the application

アプリケーションをご自分の組織にロールアウトする前に、複数のユーザーまたはグループを対象にシングル サインオンをテストすることをお勧めします。It's a good idea to test the single sign-on with several users or groups before rolling out the application to your organization.

注意

これらの手順を実行すると、ポータルの [ユーザーとグループ] 構成セクションに移動します。These steps take you to the Users and groups configuration section in the portal. 終了したら、チュートリアルを完了するために、[シングル サインオン] セクションに戻る必要があります。When you finish, you'll need to navigate back to the Single sign-on section to complete the tutorial.

アプリケーションにユーザーまたはグループを割り当てるには、次の手順に従います。To assign a user or group to the application:

  1. ポータルでアプリケーションを開きます (まだ開いていない場合)。Open the application in the portal, if it isn't already open.
  2. アプリケーションの左側のナビゲーション パネルで、[ユーザーとグループ] を選択します。In the left navigation panel for the application, select Users and groups.
  3. [ユーザーの追加] を選択します。Select Add user.
  4. [割り当ての追加] セクションの [ユーザーとグループ] を選択します。In the Add Assignment section, select Users and groups.
  5. 特定のユーザーを検索するには、[メンバーの選択または外部ユーザーの招待] ボックスにユーザーの名前を入力します。To find a specific user, type the user name into the Select member or invite an external user box. 次に、ユーザーのプロファイル写真またはロゴを選択し、[選択] を選択します。Then, select the user’s profile photo or logo, and then choose Select.
  6. [割り当ての追加] セクションの [割り当て] を選択します。In the Add Assignment section, select Assign. 完了すると、選択したユーザーが [ユーザーとグループ] の一覧に表示されます。When finished, the selected users appear in the Users and groups list.

Azure AD を使用するようにアプリケーションを設定するSet up the application to use Azure AD

あともう少しで終了です。You're almost done. 最後の手順として、Azure AD を SAML ID プロバイダーとして使用するようアプリケーションを設定する必要があります。As a final step, you need to set up the application to use Azure AD as a SAML identity provider.

  1. [ のセットアップ] セクションまで下へスクロールします。Scroll down to the Set up section. このチュートリアルでは、このセクションは [GitHub-test のセットアップ] となります。For this tutorial, this section is called Set up GitHub-test.
  2. このセクション内の各行から値をコピーします。Copy the value from each row in this section. 次に、それぞれの値を [基本的な SAML 構成] セクション内の適切な行に貼り付けます。Then, paste each value into the appropriate row in the Basic SAML Configuration section. たとえば、[GitHub-test のセットアップ] セクションの [ログイン URL] の値をコピーし、[基本的な SAML 構成] セクションの [サインオン URL] に貼り付けます。他も同様です。For example, copy the Login URL value from the Set up GitHub-test section and paste it into the Sign On URL field in the Basic SAML Configuration section, and so on.
  3. すべての値を適切なフィールドに貼り付けたら、[保存] を選択します。When you've pasted all the values into the appropriate fields, select Save.

シングル サインオンのテストTest single sign-on

ご自分の設定をテストする準備が整いました。You're ready to test your settings.

  1. アプリケーションのシングル サインオン設定を開きます。Open the single sign-on settings for your application.
  2. [ でシングル サインオンを検証] セクションまでスクロールします。Scroll to the Validate single sign-on with section. このチュートリアルでは、このセクションは [GitHub-test のセットアップ] となります。For this tutorial, this section is called Set up GitHub-test.
  3. [テスト] を選択します。Select Test. テストのオプションが表示されます。The testing options appear.
  4. [現在のユーザーとしてサインイン] を選択します。Select Sign in as current user. このテストにより、管理者である自分に関して、シングル サインオンが機能しているかどうかを確認できます。This test lets you first see if single sign-on works for you, the admin.

エラーが発生した場合は、エラー メッセージが表示されます。If there's an error, an error message appears. 次の手順を完了します。Complete the following steps:

  1. 詳細をコピーして [エラーの説明] ボックスに貼り付けます。Copy and paste the specifics into the What does the error look like? box.

    解決ガイダンスを入手する

  2. [解決ガイダンスを入手する] を選択します。Select Get resolution guidance. 根本原因と解決ガイダンスが表示されます。The root cause and resolution guidance appear. この例では、アプリケーションにユーザーが割り当てられていませんでした。In this example, the user wasn't assigned to the application.

  3. 解決ガイダンスを読み、可能であれば問題を解決します。Read the resolution guidance and then, if possible, fix the issue.

  4. 成功するまでテストを再実行します。Run the test again until it completes successfully.

次の手順Next steps

このチュートリアルでは、アプリケーションのシングル サインオン設定を構成しました。In this tutorial, you configured the single sign-on settings for an application. 構成の完了後、ユーザーをアプリケーションに割り当てて、SAML ベースのシングル サインオンを使うための構成をアプリケーションに対して行いました。After finishing the configuration, you assigned a user to the application, and configured the application to use SAML-based single sign-on. その作業がすべて完了した時点で、SAML のサインオンが正常に機能していることを確認しました。When all of this work was finished, you verified the SAML sign-on is working properly.

以下のことを行いました。You did these things:

  • シングル サインオン モードに SAML を選択しましたSelected SAML for the single sign-on mode
  • アプリケーションのベンダーに問い合わせてドメインと URL を構成しましたContacted the application vendor to configure domain and URLs
  • ユーザー属性を構成しましたConfigured user attributes
  • SAML 署名証明書を作成しましたCreated a SAML signing certificate
  • ユーザーまたはグループをアプリケーションに手動で割り当てましたManually assigned users or groups to the application
  • Azure AD を SAML ID プロバイダーとして使用するようにアプリケーションを構成しましたConfigured the application to use Azure AD as a SAML identity provider
  • SAML ベースのシングル サインオンをテストしましたTested the SAML-based single sign-on

ご自分の組織内の他のユーザーについてもアプリケーションをロールアウトする場合は、自動ユーザー プロビジョニングを使用します。To roll out the application to more users in your organization, use automatic user provisioning.