Q.  SAML認証のSSOの設定方法は?【(Microsoft)Azure Active Directory】

A.
このFAQでは、Microsoftが提供する「Azure Active Directory」で、SAML認証のSSO(シングルサインオン)を行う場合の設定方法をご案内します。

SAML認証のSSOでIEYASUへログインしたい場合は、以下の設定をお願いします。

(Microsoft)Azure Active DirectoryのSAML認証SSOを設定するとどうなるか

Azure Active DirectoryのSAML認証によるSSO(シングルサインオン)を設定すると、簡単にIEYASUへログインできるようになります。

IEYASUログイン画面に表示される「Microsoft Azureからログインをする方はこちら」のリンクをクリックすると、IDとパスワードを入力しなくてもIEYASUへログインできます。

 

 

【設定の事前準備】(Microsoft)Azure Active DirectoryのSAML認証SSO

設定の事前準備として、Azure Active DirectoryとIEYASUに社員を登録します。

【注意】
Azure Active Directoryに登録されたメールアドレスと、IEYASUに登録されたメールアドレスが一致するように登録をお願いします。

 

Azure Active Directoryの管理画面からユーザー登録

まず、管理権限のアカウントでAzure portalへログインします。

[サイドメニュー「Azure Active Directory」>ユーザー]画面から設定を行います。

画面左上にある「+新しいユーザー」ボタンからメンバーを追加します。なお、IEYASUに登録したメールアドレスと一致するメールアドレスでユーザーを登録してください。

 

IEYASUのシステム管理>社員画面からメンバー登録

IEYASUへシステム管理者権限のアカウントでログインし、[システム管理>社員]画面からメンバーを登録します。

【設定手順】(Microsoft)Azure Active DirectoryのSAML認証SSO

【設定手順①】Azure Active Directoryで新しいアプリを登録する

Azure Active Directoryへ管理権限のアカウントでログインし、[サイドメニュー「Azure Active Directory」>エンタープライズアプリケーション]画面を開きます。

画面左上にある「+独自のアプリケーションの作成」ボタンをクリックします。アプリの名称に「IEYASU勤怠管理」と入力し「ギャラリーに見つからないその他のアプリケーションを統合します」にチェックを入れ、画面下の「作成」をクリックします。

【設定手順②】新しいアプリにユーザーを割り当てる

次の画面で、新しいアプリにユーザーを割り当てます。「1.ユーザーとグループの割り当て」をクリックしてください。

画面左上の「+ユーザーまたはグループの追加」ボタンをクリックし、ユーザーの項目にある「選択されていません」というテキストリンクをクリックします。ユーザー選択画面が表示されますので、対象となるユーザーを選択し、画面下の「選択」ボタンをクリックします。

画面左下の「割り当て」というボタンをクリックして、ユーザーの割り当ては完了です。

 

【設定手順②】Azure Active Directoryの情報をIEYASUへ登録

次にSAML認証の設定を行います。
前の画面に戻り「2.シングルサインオンの設定」をクリックし、次の画面で「SAML」をクリックします。

SAML認証の設定画面が表示されます。

設定手順②−1 署名証明書の内容を変更

まずは「③SAML 署名証明書」の「編集」をクリックし「署名アルゴリズム」を「SHA-1」へ変更してください。変更後、画面左上の「保存」をクリックします。

設定手順②−2 IEYASUシステム管理画面へ入力

Azure Active DirectoryのSAML認証の設定画面の情報を、IEYASUのシステム管理画面へ入力していきます。

システム管理者権限のアカウントで IEYASUへログインし[システム管理>システム設定]画面を開きます。

Azure Active DirectoryのSAML認証の設定画面に掲載されている情報を、IEYASUの「システム設定」画面へ登録します。

IEYASUの項目 詳細
SAML認証の設定名 「Microsoft Azure」などの適切な名称を入力
ログイン設定 「SAML認証のアカウントでログインを行う」にチェック
SSOのURL Azure Active Directoryの「④IEYASU勤怠管理のセットアップ」にある「ログインURL」をコピー&ペースト
エンティティID Azure Active Directoryの「④IEYASU勤怠管理のセットアップ」にある「AzureAD 識別子」をコピー&ペースト
証明書 Azure Active Directoryの「③SAML署名証明書」にある「証明書(Base64)」からダウンロードした証明書を添付
IEYASUログイン 「IEYASUのログイン機能を使わない」場合はチェックを入れます。

※チェックを入れると、一般社員がIDとパスワードでIEYASUへログインしようとした場合に、「アカウントIDとパスワードでのログインが許可されていません」というエラーが表示されます。

 

情報を入力し終えたあとに、IEYASUの[システム管理>システム設定]画面のページ下部にある「登録する」ボタンをクリックします。

 

【設定手順④】IEYASUの情報をAzure Active Directoryへ登録

IEYASUの[システム管理>システム設定]画面のページ下部にある「登録する」ボタンをクリックすると、Azure Active Directoryに登録する情報が表示されます。次はその情報を、Azure Active DirectoryのSAML設定画面へ登録していきます。

 

まず、Azure Active DirectoryのSAML設定画面「①基本的なSAML構成」の「編集」をクリックします。

この編集画面に、IEYASUのシステム設定画面に表示されている「Microsoft Azureに設定する情報」を入力します。

Azure Active Directoryの項目 詳細
識別子(エンティティID) IEYASUの「エンティティID」からコピー&ペースト
応答URL (Assertion Consumer Service URL) IEYASUの「ACS の URL」からコピー&ペースト

 

変更後、Azure Active DirectoryのSAML設定画面「①基本的なSAML構成」画面左上の「保存」をクリックします。

 

 

【設定手順⑤】ユーザー属性とクレームを変更

最後に、Azure Active DirectoryのSAML設定画面「②ユーザー属性とクレーム」の「編集」をクリックし、「一意のユーザーID」をクリックします。

「ソース属性」を「user.mail」に変更します。変更後、画面左上の「保存」をクリックしてください。

以上で、Azure Active DirectoryのSAML認証によるSSOの設定は完了です。

 

【関連】

Q.  SAML認証のSSOの設定方法は?【トラスト・ログイン】

この投稿は役に立ちましたか? 役に立った 役に立たなかった 1 人中 1 人がこの 投稿 は役に立ったと言っています。