GMOサイン ~ Azure AD (Active Directory) のSSO(シングルサインオン)連携設定手順 について
<必要な事前準備>
・Microsoft Azure の管理者権限のアカウントが利用できる事。
・連携するユーザー(メールアドレス)がGMOサイン側とAzureAD側の両方に登録されている事。
※「セキュリティ・内部統制パック」のお申し込みが必要です。
<手順概要 >(下記項目1~22)
|
① AzureADのエンタープライズアプリケーションを作成し、GMOサイン側の設定情報を入力。 ② ①で作成したアプリケーションから、 IDPエンティティID・SSO-URL・証明書を取得。 ③ ①で作成したアプリケーションのユーザー属性を、ユーザーのメールアドレス(user.email)に変更。 ④ ①で作成したアプリケーションに、利用ユーザーを割り当てる。 ⑤ ②で取得したIDPエンティティID・SSO-URL・証明書をGMOサイン側担当者へ送信し、GMOサイン側での設定完了連絡を待つ。 ⑥ Test機能により、疎通確認を行う。 |
◇Azureサインイン~初期設定(※1~)
◇利用ユーザー登録 (※17~)
◇シングルサインオン疎通確認(※20~)
◇ユーザーを追加する場合 (※1~22設定後)
1. Microsoft Azure TOPページよりサインインをクリック。
2. Azureログイン用のID、PWを入力してサインイン。
3. サインイン完了。サインイン後、右上の「ポータル」クリック。
4. 「Azure Active Directory」をクリック。
5. 「エンタープライズアプリケーション」をクリック。
6. 新しいアプリケーションをクリック。
7. 「独自のアプリケーションの作成」をクリック。
その後アプリ名を入力して「作成」。 ※「GMOサイン」など識別しやすい名前を推奨
(作成ボタン押下後、反映に1~2分かかります。)
8. 反映完了のメッセージが出たら、「シングルサインオンの設定」をクリック。
シングルサイン方式の選択画面で「SAML」を選択。
9. STEP①[基本的なSAML構成]の「編集」ボタンをクリック。
10. 識別子(エンティティID)と応答URL(Assertion Consumer Service URL)を入力して、保存。
別途、弊社の担当者よりメールにてご案内させて頂くURL情報をそれぞれ入力してください。
<入力ミス時>
(↓ 画像をクリックすると拡大したものが別画面に表示されます。)
11. 保存完了すると下記メッセージが表示されます。
12. 証明書(Base64)をダウンロードします。
「(アプリ名).cer」のファイル名、形式の証明書ファイルがダウンロードされます。
※このファイル(①)を、下記13の手順の情報2種類(②③)と併せてGMOサイン担当者へメール送信いただきます。
<ダウンロードしたファイルを開くとこのような表示となります>
13. ログインURL情報と、AzureAD識別子 情報をそれぞれコピーしてメモ等に貼り付けしておきます。
※上記手順12で取得した証明書ファイル(①)と共に(②)(③)の情報を添えてGMOサイン運営事務局の担当宛てにメールにて送信をお願い致します。
14. ユーザー属性のユーザーIDをメールアドレスに変更します。
STEP②[ユーザー属性とクレーム]の「編集」ボタンをクリック。
次に「一意のユーザー識別子」をクリックします。
※アプリ作成直後は「user.userprincipalname」になっており、この状態だとSAML連携機能しません。
15. 「ソース属性」を選択し、「user.mail」へ変更して、「保存」ボタン。
16. 変更が保存されます。
17. 利用ユーザーを登録します。
アプリ作成直後は、ユーザーが一人も登録されていない状態です。
「ユーザーの追加」から利用ユーザーを追加登録します。
18. 「ユーザー」をクリックし、登録済の追加したいユーザーを選び「選択」ボタンクリック、
その後で「割り当て」ボタンをクリックします。
↓画像をクリックすると拡大したものが別画面に表示されます。
19. 正しく利用ユーザーが割り当てられたら、一覧上に表示されます。
AzureAD側の設定は以上で完了となります。
手順12、13にて提供頂く証明書データや情報を弊社側でシステム登録を行います。
(現在、ID/PWを利用した通常ログイン方法を利用の際は、SSO切替を実施する日程をご相談ください。)
弊社側での設定後、完了のお知らせをいたします。
完了のお知らせが届きましたら、下記の疎通確認をお願い致します。
20. STEP⑤[(※作成名)でシングルサインオンをTest]の「Test」ボタンをクリック。
21. 「現在のユーザーとしてサインイン」をクリックします。
※GMOサインにもユーザーが存在すれば、疎通確認出来ます。
22. 正しく設定されていれば、GMOサインのTOP画面が表示されます。
| GMOサイン画面 |
GMOサイン管理画面にサインインし、ユーザーの追加(例:Aさん)をしておきます。
| Azure画面 |
Azureにサインインしてユーザー(Aさん)を追加します。
※「ポータル」>「ユーザー」>「新しいユーザー」>「ユーザーの招待」にて
追加したいAさんのユーザー情報(名前、メールアドレス)を入力、「招待」ボタンで決定。
1. Azureへサインインし、「ユーザー」をクリック。
2. 「新しいユーザー」をクリック。
3. 「ユーザーの招待」を選択し、追加したいユーザー情報(名前、メールアドレス)入力。
入力後、画面下の招待ボタンをクリック。
4. Azure内でユーザーを割り当てます。「Azure Active Directory」をクリック。
5. エンタープライズアプリケーションをクリック。
6. 作成したアプリ名を選択。
7. 「ユーザーまたはグループの追加」をクリック。
8. 「1. ユーザーとグループの割り当て」を選択。
9. 「ユーザー」クリック >上記手順 で追加したユーザー(※Aさん)をクリック。
ユーザー一覧の下に表示される「選択」クリックし、最後に「割り当て」クリック。
⇒この後、設定するAさんに下記の招待メールが届きます。
10. 招待メールを開き、アカウントへアクセスします。(「招待の承諾」クリック)
別メールで届く確認コードを入力して進みます。
サインインができるようになった後は下記のようなログイン画面になります。
Azureの「マイアプリ」画面になり、「(作成したアプリ名)」アイコンが表示されます。
⇒クリックすると、連動し、GMOサインへログイン可能となります。