次の方法で共有

エンタープライズ アプリケーションの SAML シングル サインオンを有効にする

この記事では、Microsoft Entra 管理センターを使用して、Microsoft Entra テナントに追加したエンタープライズ アプリケーションのシングル サインオン (SSO) を有効にします。 SSO を構成すると、ユーザーは自分の Microsoft Entra 資格情報を使用してサインインできるようになります。

Microsoft Entra ID には、SSO を使用する、あらかじめ統合された何千ものアプリケーションが含まれるギャラリーがあります。 この記事では、 Microsoft Entra SAML Toolkit 1 という名前のエンタープライズ アプリケーションを例として使用しますが、概念は Microsoft Entra アプリケーション ギャラリーのほとんどの構成済みエンタープライズ アプリケーションに適用されます。

アプリケーションがシングル サインオンのために Microsoft Entra と直接統合されず、代わりに証明書利用者セキュリティ トークン サービス (STS) によってトークンがアプリケーションに提供される場合は、「証明書利用者セキュリティ トークン サービスを使用して エンタープライズ アプリケーションのシングル サインオンを有効にする」の記事を参照してください。

この記事の手順をテストするには、非運用環境を使うことをお勧めします。

前提条件

SSO を構成するには、次のものが必要です。

シングル サインオンの有効化

アプリケーション用に SSO を有効にするには:

  1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

  2. Entra ID>Enterprise アプリ>すべてのアプリに移動します。

  3. 検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。 たとえば、 Microsoft Entra SAML Toolkit 1 などです。

  4. 左側のメニューの [ 管理 ] セクションで、[ シングル サインオン ] を選択して、編集用の [シングル サインオン ] ウィンドウを開きます。

  5. SAML を選択して SSO 構成ページを開きます。 アプリケーションの構成が済むと、ユーザーは Microsoft Entra テナントから自分の資格情報を使用してそれにサインインできるようになります。

  6. SAML ベースの SSO に Microsoft Entra ID を使用するようにアプリケーションを構成するプロセスは、アプリケーションによって異なります。 ギャラリー内のエンタープライズ アプリケーションの場合は、 構成ガイド のリンクを使用して、アプリケーションの構成に必要な手順に関する情報を見つけます。 この記事では、 Microsoft Entra SAML Toolkit 1 の手順を示します。

    エンタープライズ アプリケーションのシングル サインオンを構成する方法を示すスクリーンショット。

  7. [ Microsoft Entra SAML Toolkit 1 のセットアップ ] セクションで、後で使用する ログイン URLMicrosoft Entra 識別子、および ログアウト URL プロパティの値を記録します。

テナントでシングル サインオンを構成する

サインインと応答 URL の値を追加し、証明書をダウンロードして Microsoft Entra ID で SSO の構成を開始します。

Microsoft Entra ID で SSO を構成するには:

  1. Microsoft Entra 管理センターで、[SAML を使用したシングル Sign-On の設定] ウィンドウの [基本的な SAML 構成] セクションで [編集] を選択します。
  2. 応答 URL (Assertion Consumer Service URL) に「https://samltoolkit.azurewebsites.net/SAML/Consume」と入力します。
  3. [ サインオン URL] にhttps://samltoolkit.azurewebsites.net/」と入力します。 識別子 (エンティティ ID) は、通常、統合するアプリケーションに固有の URL です。 この例の Microsoft Entra SAML Toolkit 1 アプリケーションでは、サインオン URL と応答 URL の値を入力すると、値が自動的生成されます。 統合するアプリケーションの構成ガイドに従って正しい値を特定してください。
  4. [保存] を選択します
  5. [SAML 証明書] セクションで、[証明書のダウンロード (未加工)] を選択して SAML 署名証明書をダウンロードし、後で使用するために保存します。

アプリケーションでシングル サインオンを構成する

アプリケーションでシングル サインオンを使用するには、ユーザー アカウントをアプリケーションに登録し、前に記録した SAML 構成の値を追加する必要があります。

ユーザー アカウントを登録する

ユーザー アカウントをアプリケーションに登録するには:

  1. 新しいブラウザー ウィンドウを開き、アプリケーションのサインイン URL を参照します。 Microsoft Entra SAML Toolkit アプリケーションの場合、アドレスはhttps://samltoolkit.azurewebsites.net

  2. ページの右上隅にある [ 登録 ] を選択します。

  3. [ 電子メール] に、アプリケーションにアクセスできるユーザーのメール アドレスを入力します。 ユーザー アカウントがアプリケーションに既に割り当てられていることを確認します。

  4. パスワードを入力して確認します。

  5. [ 登録] を選択します。

SAML の設定を構成する

アプリケーションの SAML 設定を構成するには:

  1. アプリケーションのサインイン ページで、アプリケーションに既に割り当てたユーザー アカウントの資格情報でサインインし、ページの左上隅にある [SAML 構成] を選択します。
  2. ページの中央にある [ 作成 ] を選択します。
  3. [ログイン URL]、[Microsoft Entra Identifier]、[ログアウト URL] に、前に記録した値を入力します。
  4. [ ファイルの選択] を選択 して、以前にダウンロードした証明書をアップロードします。
  5. 作成 を選択します。
  6. 後で使用する SP 開始ログイン URLアサーション コンシューマー サービス (ACS) URL の 値をコピーします。

シングル サインオンの値を更新する

SP Initiated Login URLAssertion Consumer Service (ACS) URL に記録した値を使用して、テナントのシングル サインオン値を更新します。

シングル サインオンの値を更新するには:

  1. Microsoft Entra 管理センターで、[シングル サインオンの設定] ウィンドウの [基本的な SAML 構成] セクションで [編集] を選択します。
  2. 応答 URL (Assertion Consumer Service URL) には、前に記録したアサーション コンシューマー サービス (ACS) の URL 値を入力します。
  3. [サインオン URL] に、前に記録した SP 開始ログイン URL の値を入力します。
  4. [保存] を選択します

シングル サインオンのテスト

シングル サインオンの構成は、[シングル サインオンの 設定 ] ウィンドウからテストできます。

SSO をテストするには:

  1. [Microsoft Entra SAML Toolkit 1 でのシングル サインオンのテスト] セクションの [SAML でのシングル サインオンの設定] ウィンドウで、[テスト] を選択します。
  2. アプリケーションに割り当てたユーザー アカウントの Microsoft Entra 資格情報を使用して、アプリケーションにサインインします。

次のステップ