Microsoft Azure Active Directoryでシングルサインオン（SSO）を構成する方法とは？

Microsoft SSOは、1つのアカウントで複数のアプリケーションを操作できるようにすることで、時間と労力を大幅に削減するユーザー認証プロセスです。ワンクリックですべてのアカウントからサインアウトできます。 

このブログでは、SSO Azure ADの設定方法について説明します。最後までお読みください。

前提条件

SSO Microsoftの設定作業を開始する前に の設定プロセスを開始する前に、以下を確認する必要があります。

• Azure AD Connectサーバーのセットアップ

パススルー認証のユーザーであれば、前提条件のチェックは必要ありません。しかし、サインイン方法としてパスワードハッシュ同期を使用する場合は、以下のことを確認してください。

• Azure AD Connect のバージョン 1.1.644.0 以降を使用しています。
• ファイアウォールまたはプロキシが許可する場合、ポート443を介した*.msappproxy.netのURLへの接続を許可リストに追加します。プロキシ設定にワイルドカードではなく、特定の URL が必要な場合は、tenantid.registration.msappproxy.net（テナント ID は、機能を設定するテナントの GUID）を再設定する必要があります。ただし、これが不可能な場合は、Azure データセンターの IP 範囲へのアクセスを許可する必要があります。これらは毎週1回更新されます。この前提条件は、機能を有効にした場合のみ確保する必要があります。実際のユーザーは、サインインのためにこれを行う義務はありません。

• サポートされているAzure AD Connectトポロジーを使用する

Azure AD Connectがサポートするトポロジーのいずれかを使用していることを確認します。

• オンプレミスのActive Directoryフォレスト
• オンプレミスのActive Directoryをフィルタリングしてインポート
• Azure AD Connectシンクサーバー
• Azure AD Connectシンクサーバーの "ステージングモード"
• Forefront Identity Manager (FIM) 2010またはMicrosoft Identity Manager (MIM) 2016とGALSyncの連携。
• Azure AD Connectシンクサーバー、詳細
• Azure AD
• 非対応シナリオ

• ドメイン管理者の認証情報を設定する

各Active Directoryフォレストで、以下のドメイン管理者の資格情報を確保すること。

• SSOのAzure AD ConnectでAzure ADに同期します。
• シームレスなSSOを有効にしたいユーザーを含んでいます。

• Modern Authenticationを有効にする

Microsoft 365のサービスでは、モダン認証のデフォルトの状態です。

• Exchange Online ではデフォルトで有効になっています。この機能を無効またはオンにするには、Exchange Online でモダン認証を有効または無効にするを参照してください。
• SharePoint Onlineでは、デフォルトでオンに設定されています。
• デフォルトでSkype for Business Onlineをオンにしました。オフまたはオンにするには、「Skype for Business Online for modern認証の有効化」を参照してください。

• Microsoft 365 クライアントの最新バージョンの使用

自動更新に設定することで、Microsoft 365クライアントとのシングルサインオンをスムーズに行うことができます。

シングルサインオン（SSO）を有効にするには？

ここでは、Microsoft SSOを有効にするために行うべきことを説明します。

1. Azure Active Directory Admin Center にアクセスし、前提条件に記載されているいずれかのロールでサインインします。
2. Enterprise Application > All Application を選択します。Azure AD テナント内のアプリケーションのリストが表示されます。使用したいものを選択します。
3. 管理」セクション > 「シングルサインオン」に進みます。 
4. SSOペインを開き、編集します。
5. SAML] を選択して、SSO 設定ページを開きます。設定が完了すると、Azure AD テナントのユーザー名とパスワードを使用してアプリケーションにサインインできるようになります。 
6. Microsoft SSO 設定の手順は、アプリケーションによって異なります。構成ガイドを使用して、ギャラリーでエンタープライズアプリケーションを構成することができます。
7. Set up Azure AD SAML Toolkit 1 セクションで、後で使用する Login URL、Azure AD Identifier、および Logout URL のプロパティの値を記録します。

テナントでシングルサインオンを設定するには？

Azure ADでSSOの設定を始めるには、サインインして返信URLの値を追加し、その後に証明書をダウンロードする必要があります。以下、次の手順を説明します。

1. Azureポータルに移動し、以下の項目を選択します。 編集を選択します。 基本SAML構成にある シングル サインオンの設定 ペインで編集します。
2. については 返信URL（アサーションコンシューマーサービスURL）を入力します。 .
3. サインオンURLには、「https://samltoolkit.azurewebsites.net/」を入力します。
4. 保存」を選択します。
5. での SAML 証明書セクションで 証明書（Raw）のダウンロードを選択して、SAML 署名証明書をダウンロードし、将来使用するために保存します。

アプリケーションにシングルサインオンを設定するには？

アプリケーションにユーザーアカウントを登録し、以前に登録したSAML設定値を追加する必要があります。

ここでは、ユーザーアカウントを登録する方法を説明します。

1. 新しいブラウザで、アプリケーションのサインインURLにアクセスする。
2. 選択 登録を選択してください。
3. アプリケーションにアクセスするユーザーのEメールアドレスを追加します。このユーザーは、すでにアプリケーションに割り当てられている必要があります。
4. 確認のため、パスワードを入力してください。
5. をクリックしてください。 登録する.

SAML の設定方法は？

そのためには、SP Initiated Login URL と Assertion Consumer Service (ACS) URL にあらかじめ登録した値を使用する必要があります。

以下の手順で、SSOの値を更新します。

1. Azureポータルに移動し 編集を選択します。 基本的なSAML 構成セクションで [編集] を選択します。
2. について 返信用URL（アサーション・コンシューマ・サービスURL）にはを入力します。 アサーション・コンシューマー・サービス(ACS)URLには、あらかじめ記録しておいた値を入力してください。
3. について サインオンURLを入力します。 SPイニシエート・ログインURL には、前回登録した値を入力します。
4. をクリックします。 保存する.

シングルサインオンのテスト

Microsoft SSOの設定が完了したら、以下の手順でテストしてください。

1. での Azure AD SAML Toolkit 1 を使用したシングルサインオンのテストセクションで テストを選択する。 SAML によるシングルサインオンのセットアップペインを選択します。
2. 割り当てたユーザー アカウントの Azure AD 認証情報を使用して、アプリケーションにサインインします。

関連記事

1. とは何ですか？ DMARC SSO?
2. SAML / SSO機能ユーザーガイド
3. DMARC office 365ガイド

• について
• 最新記事

ユネス・タラダ

ユネスはPowerDMARCのオペレーションチームリーダーで、メール認証とセキュリティの専門知識を持つ。マイクロソフト認定のAzureアドミニストレーターアソシエイトであり、CompTIA A+やその他多くの資格を持っています。

最新記事 by Yunes Tarada(全て見る)

• Office 365でDMARCを設定するには？ステップバイステップガイド- 2024年5月6日
• SMTP Yahooエラーコードの説明- 2024年5月1日
• SPFソフトフェイルとハードフェイル：その違いとは？- 2024年4月26日