SAML ベースのシングル サインオンを構成する方法How to configure SAML-based single sign-on

Azure AD のエンタープライズ アプリケーションにアプリを追加したら、シングル サインオンの設定を構成します。After you've added an app to your Azure AD Enterprise Applications, you configure single sign-on settings. この記事では、ギャラリー以外のアプリ用に SAML ベースのシングル サインオンを構成する方法について説明します。This article describes how to configure SAML-based single sign-on for a non-gallery app.

注意

ギャラリー アプリを追加しますか?Adding a gallery app? 詳細な設定手順は、SaaS アプリのチュートリアルの一覧で探してください。Find step-by-step setup instructions in the list of SaaS app tutorials

"コードの記述なしで" ギャラリー以外のアプリケーションのシングル サインオンを構成するには、サブスクリプションまたは Azure AD Premium を持っており、アプリケーションが SAML 2.0 をサポートしている必要があります。To configure single sign-on for a non-gallery application without writing code, you need to have a subscription or Azure AD Premium and the application must support SAML 2.0. Azure AD のバージョンの詳細については、Azure AD の価格に関するページを参照してください。For more information about Azure AD versions, visit Azure AD pricing.

開始する前にBefore you begin

  • アプリケーションが Azure AD テナントに追加されていない場合は、ギャラリー アプリの追加に関するページまたはギャラリー以外のアプリの追加に関するページを参照してください。If the application hasn't been added to your Azure AD tenant, see Add a gallery app or Add a non-gallery app.

  • お使いのアプリケーションのベンダーに問い合わせて、次の設定について正確な情報を入手してください。Contact your application vendor to get the correct information for the following settings:

    [基本的な SAML 構成] の設定Basic SAML Configuration setting SP-InitiatedSP-Initiated idP-InitiatedidP-Initiated 説明Description
    識別子 (エンティティ ID)Identifier (Entity ID) 一部のアプリでは必須Required for some apps 一部のアプリでは必須Required for some apps シングル サインオンの構成対象となるアプリケーションを一意に識別します。Uniquely identifies the application for which single sign-on is being configured. Azure AD から ID が SAML トークンの Audience パラメーターとしてアプリケーションに送信されます。Azure AD sends the identifier to the application as the Audience parameter of the SAML token. アプリケーションではこの ID を検証する必要があります。The application is expected to validate it. また、この値はアプリケーションによって提供される SAML メタデータ内に Entity ID として表示されます。This value also appears as the Entity ID in any SAML metadata provided by the application. "この値は、アプリケーションから送信された AuthnRequest (SAML 要求) の Issuer 要素として見つけることができます。 "You can find this value as the Issuer element in the AuthnRequest (SAML request) sent by the application.
    [応答 URL]Reply URL 省略可能Optional 必須Required アプリケーションが SAML トークンを受け取ることになっている場所を指定します。Specifies where the application expects to receive the SAML token. 応答 URL は Assertion Consumer Service (ACS) URL とも呼ばれています。The reply URL is also referred to as the Assertion Consumer Service (ACS) URL.
    [サインオン URL]Sign-on URL 必須Required 指定しませんDon't specify この URL をユーザーが開くと、サービス プロバイダーは、ユーザーの認証とサインインを行う Azure AD にそのユーザーをリダイレクトします。When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. Azure AD はその URL を使用して Office 365 または Azure AD アクセス パネルからアプリケーションを起動します。Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. 空白の場合、Azure AD では、ユーザーがアプリケーションを起動したときにシングル サインオンを開始する際、ID プロバイダーが利用されます。When blank, Azure AD relies on the identity provider to start single sign-on when a user launches the application.
    リレー状態Relay State 省略可能Optional 省略可能Optional 認証が完了した後にユーザーをリダイレクトする場所をアプリケーションに指示します。Specifies to the application where to redirect the user after authentication is completed. 通常、値はアプリケーションで有効な URL です。Typically the value is a valid URL for the application. ただし、一部のアプリケーションでは、このフィールドを異なる方法で使用します。However, some applications use this field differently. 詳細については、アプリケーションのベンダーに問い合わせてください。For more information, ask the application vendor.
    ログアウト URLLogout URL 省略可能Optional 省略可能Optional SAML ログアウト応答をアプリケーションに返送するために使用します。Used to send the SAML Logout responses back to the application.

手順 1.Step 1. [基本的な SAML 構成] を編集するEdit the Basic SAML Configuration

  1. クラウド アプリケーション管理者か Azure AD テナントのアプリケーション管理者として Azure portal にサインインします。Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

  2. [Azure Active Directory] > [エンタープライズ アプリケーション] に移動し、一覧からアプリケーションを選択します。Navigate to Azure Active Directory > Enterprise applications and select the application from the list.

    • アプリケーションを検索するには、 [アプリケーションの種類] メニューの [すべてのアプリケーション] を選択した後、 [適用] を選択します。To search for the application, in the Application Type menu, select All applications, and then select Apply. 検索ボックスにアプリケーションの名前を入力し、結果からアプリケーションを選択します。Enter the name of the application in the search box, and then select the application from the results.
  3. [管理] セクションの [シングル サインオン] を選択します。Under the Manage section, select Single sign-on.

  4. [SAML] を選択します。Select SAML. [SAML によるシングル サインオンのセットアップ - プレビュー] ページが表示されます。The Set up Single Sign-On with SAML - Preview page appears.

  5. 基本的な SAML 構成オプションを編集するには、 [基本的な SAML 構成] セクションの右上隅にある [編集] アイコン (鉛筆) を選択します。To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

    証明書の構成

  6. 該当するフィールドに、「開始する前に」セクションで説明した情報を入力します。In the appropriate fields, enter the information described in the Before you begin section.

  7. ページの最上部で [保存] を選択します。At the top of the page, select Save.

手順 2.Step 2. ユーザー属性と要求を構成するConfigure User attributes and claims

アプリケーションでは、ユーザーのサインイン時に Azure AD から受け取る SAML トークンに特定のユーザー属性または要求を必要とする場合があります。An application might require specific user attributes or claims in the SAML token it receives from Azure AD when a user signs in. たとえば、特定の要求 URI または要求値が必要な場合や Name に Microsoft ID プラットフォームに格納されているユーザー名以外のものを設定することが必要になる場合があります。For example, specific claim URIs or claim values could be required, or Name might need to be something other than the username stored in Microsoft identity platform. ギャラリー アプリの要件については、アプリケーション固有のチュートリアルで説明しています。または、該当するアプリケーションのベンダーにお問い合わせください。Requirements for gallery apps are described in the application-specific tutorials, or you can ask the application vendor. ユーザー属性と要求を構成するための一般的な手順について以下で説明します。The general steps for configuring user attributes and claims are described below.

  1. [ユーザー属性と要求] セクションの右上隅にある [編集] アイコン (鉛筆) を選択します。In the User Attributes and Claims section, select the Edit icon (a pencil) in the upper-right corner.

  2. [名前識別子の値] を確認します。Verify the Name Identifier Value. 既定値は user.principalname です。The default value is user.principalname. アプリケーション内の各ユーザーは、ユーザー識別子によって一意に識別されます。The user identifier uniquely identifies each user within the application. たとえば、メール アドレスがユーザー名と一意識別子を兼ねている場合、この値を user.mail に設定します。For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  3. [名前識別子の値] を変更するには、 [名前識別子の値] フィールドの [編集] アイコン (鉛筆) を選択します。To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. 必要に応じて、識別子の形式とソースに適切な変更を加えます。Make the appropriate changes to the identifier format and source, as needed. 詳細については、「NameID の編集」を参照してください。For details, see Editing NameId. 完了したら、変更を保存します。Save the changes when you're done.

  4. グループ要求を構成するには、 [要求で返されるグループ] フィールドの [編集] アイコンを選択します。To configure group claims, select the Edit icon for the Groups returned in claim field. 詳細については、グループ要求の構成に関するページを参照してください。For details, see Configure group claims.

  5. 要求を追加するには、ページの上部にある [新しいクレームの追加] を選択します。To add a claim, select Add new claim at the top of the page. [名前] を入力し、適切なソースを選択します。Enter the Name and select the appropriate source. [属性] ソースを選択した場合、使用するソース属性を選択する必要があります。If you select the Attribute source, you'll need to choose the Source attribute you want to use. [翻訳] ソースを選択した場合、使用する変換パラメーター 1 を選択する必要があります。If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use. 詳細については、「アプリケーション固有の要求の追加」を参照してください。For details, see Adding application-specific claims. 完了したら、変更を保存します。Save the changes when you're done.

  6. [保存] を選択します。Select Save. 新しい要求が表に表示されます。The new claim appears in the table.

    注意

    Azure AD からお使いのアプリケーションへの SAML トークンをカスタマイズするその他の方法については、次のリソースを参照してください。For additional ways to customize the SAML token from Azure AD to your application, see the following resources.

手順 3.Step 3. SAML 署名証明書を管理するManage the SAML signing certificate

Azure AD では、アプリケーションに送信する SAML トークンの署名に証明書を使用します。Azure AD uses a certificate to sign the SAML tokens it sends to the application. [SAML でシングル サインオンをセットアップします] ページで、アクティブな証明書を表示またはダウンロードできます。On the Set up Single Sign-On with SAML page, you can view or download the active certificate. また、証明書を更新、作成、インポートすることもできます。You can also update, create, or import a certificate. ギャラリー アプリケーションの場合、証明書の形式の詳細については、そのアプリケーションの SAML ドキュメントで確認できます (アプリケーション固有のチュートリアルを参照)。For gallery applications, details about the certificate format are available in the application’s SAML documentation (see the application-specific tutorials).

  1. [SAML 署名証明書] セクションに移動します。Go to the SAML Signing Certificate section. アプリケーションの種類に応じて、証明書を Base64 形式、未加工の形式、またはフェデレーション メタデータ XML でダウンロードするためのオプションが表示されます。Depending on the type of application, you'll see options to download the certificate in Base64 format, Raw format, or Federation Metadata XML. また、Azure AD では、アプリケーション固有のメタデータにアクセスできるアプリのフェデレーション メタデータ URLhttps://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID> 形式で提供されます。Azure AD also provides the App Federation Metadata Url where you can access the metadata specific to the application in the format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

  2. 証明書を管理、作成、またはインポートするには、 [SAML 署名証明書] セクションの右上隅にある [編集] アイコン (鉛筆) を選択し、次のいずれかを実行します。To manage, create, or import a certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section, and then do any of the following:

    • 新しい証明書を作成するには、 [新しい証明書] を選択し、 [有効期限] を選択して、 [保存] を選択します。To create a new certificate, select New Certificate, select the Expiration Date, and then select Save. 証明書をアクティブ化するには、コンテキスト メニュー ( ... ) を選択し、 [証明書をアクティブにする] を選択します。To activate the certificate, select the context menu (...) and select Make certificate active.
    • 秘密キーと pfx の資格情報を含む証明書をアップロードするには、 [証明書のインポート] を選択し、その証明書を参照します。To upload a certificate with private key and pfx credentials, select Import Certificate and browse to the certificate. [PFX パスワード] を入力し、 [追加] を選択します。Enter the PFX Password, and then select Add.
    • 詳細な証明書署名オプションを構成するには、次のオプションを使用します。To configure advanced certificate signing options, use the following options. これらのオプションの説明については、詳細な証明書署名オプションに関する記事を参照してください。For descriptions of these options, see the Advanced certificate signing options article.
      • [署名オプション] ドロップダウン リストで、 [SAML 応答への署名][SAML アサーションへの署名] 、または [SAML 応答とアサーションへの署名] を選択します。In the Signing Option drop-down list, choose Sign SAML response, Sign SAML assertion, or Sign SAML response and assertion.
      • [署名アルゴリズム] ドロップダウン リストで、 [SHA-1] または [SHA-256] を選択します。In the Signing Algorithm drop-down list, choose SHA-1 or SHA-256.
    • アクティブな証明書の有効期限が近づいたときに他のユーザーに通知するには、 [通知の電子メール アドレス] フィールドにメール アドレスを入力します。To notify additional people when the active certificate is near its expiration date, enter the email addresses in the Notification email addresses fields.
  3. [SAML 署名証明書] セクションの上部にある [保存] を選択します。Select Save at the top of the SAML Signing Certificate section.

手順 4.Step 4. Azure AD を使用するようにアプリケーションを設定するSet up the application to use Azure AD

[<applicationName> のセットアップ] セクションには、Azure AD が SAML ID プロバイダーとして使用されるようにアプリケーションで構成する必要のある値の一覧が表示されます。The Set up <applicationName> section lists the values that need to be configured in the application so it will use Azure AD as a SAML identity provider. 必要な値は、アプリケーションによって異なります。The required values vary according to the application. 詳細については、アプリケーションの SAML ドキュメントを参照してください。For details, see the application's SAML documentation.

  1. [<applicationName> のセットアップ] セクションまで下にスクロールします。Scroll down to the Set up <applicationName> section.
  2. 必要に応じてこのセクションの各行から値をコピーし、アプリケーション固有の手順に従ってその値をアプリケーションに追加します。Copy the value from each row in this section as needed and follow the application-specific instructions for adding the value to the application. ギャラリー アプリの場合は、 [ステップ バイ ステップの手順を表示] を選択するとドキュメントを表示できます。For gallery apps, you can view the documentation by selecting View step-by-step instructions.
    • ログイン URLログアウト URL の両方が、同じエンドポイント (Azure AD のインスタンスの SAML 要求処理エンドポイント) に解決されます。The Login URL and Logout URL values both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD.
    • Azure AD 識別子は、アプリケーションに発行された SAML トークンでの [発行者] の値です。The Azure AD Identifier is the value of the Issuer in the SAML token issued to the application.
  3. すべての値を適切なフィールドに貼り付けたら、 [保存] を選択します。When you've pasted all the values into the appropriate fields, select Save.

手順 5.Step 5. シングル サインオンを検証するValidate single sign-on

設定をテストして、シングル サインオンが管理者に対して機能するかどうかを確認する準備ができました。You're ready to test the settings to see if single sign-on works for you, the admin.

  1. アプリケーションのシングル サインオン設定を開きます。Open the single sign-on settings for your application.
  2. [ でシングル サインオンを検証] セクションまでスクロールします。Scroll to the Validate single sign-on with section. このチュートリアルでは、このセクションは [GitHub-test のセットアップ] となります。For this tutorial, this section is called Set up GitHub-test.
  3. [テスト] を選択します。Select Test. テストのオプションが表示されます。The testing options appear.
  4. [現在のユーザーとしてサインイン] を選択します。Select Sign in as current user.

サインオンに成功した場合は、SAML アプリケーションにユーザーとグループを割り当てることができます。If sign-on is successful, you're ready to assign users and groups to your SAML application. エラー メッセージが表示されたら、次の手順を完了してください。If an error message appears, complete the following steps:

  1. 詳細をコピーして [エラーの説明] ボックスに貼り付けます。Copy and paste the specifics into the What does the error look like? box.

    [エラーの説明] ボックスを使って解決のガイダンスを得る

  2. [解決ガイダンスを入手する] を選択します。Select Get resolution guidance. 根本原因と解決ガイダンスが表示されます。The root cause and resolution guidance appear. この例では、アプリケーションにユーザーが割り当てられていませんでした。In this example, the user wasn't assigned to the application.

  3. 解決ガイダンスを読み、可能であれば問題を解決します。Read the resolution guidance and then, if possible, fix the issue.

  4. 成功するまでテストを再実行します。Run the test again until it completes successfully.

次の手順Next steps