シングル サインオン (SSO) を導入すると、ユーザーに何度も認証することなく、アプリケーションにアクセスできるようになります。 Microsoft Entra ID に対して、クラウド内で認証を 1 回行うだけで済むため、サービスまたはコネクタはユーザーを偽装して、それ以降のアプリケーションからの認証チャレンジを完了することができます。
シングル サインオンの構成方法
SSO を構成するにはまず、Microsoft Entra ID で事前認証を行うようにアプリケーションを構成する必要があります。
- Microsoft Entra 管理センターに、少なくともアプリケーション管理者としてサインインします。
- 右上隅で自分のユーザー名を選択します。 アプリケーション プロキシを使うディレクトリにサインインしていることを確認します。 ディレクトリを変更する必要がある場合は、[ ディレクトリの切り替え ] を選択し、アプリケーション プロキシを使用するディレクトリを選択します。
- Entra ID>Enterprise apps>Application プロキシまで移動します。
Pre Authentication フィールドを探し、それが設定されていることを確認します。
事前認証方法の詳細については、 アプリ発行ドキュメントの手順 4 を参照してください。
アプリケーション プロキシ アプリケーションに使用するシングル サインオン モードの構成
具体的なシングル サインオンの種類を構成します。 サインオン方法は、バックエンド アプリケーションで使用される認証の種類に基づいて分類されます。 アプリケーション プロキシ アプリケーションは、次の 3 種類のサインオンに対応します:
パスワードベースのサインオン: パスワード ベースのサインオンは、ユーザー名フィールドとパスワード フィールドを使用してサインオンする任意のアプリケーションに使用できます。 構成手順については、「 Microsoft Entra ギャラリー アプリケーションのパスワード シングル サインオンの構成」を参照してください。
統合 Windows 認証: 統合 Windows 認証 (IWA) を使用するアプリケーションの場合、Kerberos の制約付き委任 (KCD) を使用してシングル サインオンが有効になります。 この方法では、Active Directory でユーザーを偽装し、ユーザーに代わってトークンを送受信するためのアクセス許可が、プライベート ネットワーク コネクタに付与されます。 KCD の構成の詳細については、 KCD でのシングル サインオンに関するドキュメントを参照してください。
ヘッダーベースのサインオン: ヘッダーベースのサインオンは、HTTP ヘッダーを使用してシングル サインオン機能を提供するために使用されます。 詳細については、「 ヘッダーベースのシングル サインオン」を参照してください。
SAML シングル サインオン: Security Assertion Markup Language (SAML) シングル サインオンでは、Microsoft Entra はユーザーの Microsoft Entra アカウントを使用してアプリケーションに対して認証を行います。 Microsoft Entra ID は、接続プロトコルを通してアプリケーションにシングル サインオンの情報を伝達します。 SAML ベースのシングル サインオンでは、SAML 要求で定義するルールに基づいて、ユーザーを特定のアプリケーション ロールにマップできます。 SAML シングル サインオンの設定の詳細については、 アプリケーション プロキシでのシングル サインオンの SAML に関するセクションを参照してください。
これらの各オプションは、 エンタープライズ アプリケーションでアプリケーションに移動し、左側のメニューで シングル サインオン ページを開くことで確認できます。 アプリケーションが古いポータルで作成されている場合は、これらのオプションがすべて表示されない可能性があります。
このページには、もう 1 つのサインオン オプション ([リンクされたサインオン]) も表示されます。 アプリケーション プロキシでは、このオプションがサポートされます。 ただし、このオプションによって、アプリケーションにシングル サインオンは追加されません。 つまり、アプリケーションには、Active Directory フェデレーション サービスなどの別のサービスを使用してシングル サインオンが既に実装されている可能性があります。
管理者はこのオプションを選択することで、ユーザーがアプリケーションにアクセスしたときに最初に目にする、アプリケーションへのリンクを作成することができます。 たとえば、Active Directory フェデレーション サービス 2.0 を使用してユーザーを認証するように構成されたアプリケーションでは、 リンクされたサインオン オプションを使用して、[マイ アプリ] ページにリンクを作成できます。