GMOサイン ~ Azure AD (Active Directory) のSSO(シングルサインオン)連携設定手順 について
<必要な事前準備>
・Microsoft Azure の管理者権限のアカウントが利用できる事。
・連携するユーザー(メールアドレス)がGMOサイン側とAzureAD側の両方に登録されている事。
※「セキュリティ・内部統制パック」のお申し込みが必要です。
<手順概要 >(下記項目1~21)
① AzureADのエンタープライズアプリケーションを作成し、GMOサイン側の設定情報を入力。 ② ①で作成したアプリケーションから、 IDPエンティティID・SSO-URL・証明書を取得。 ③ ①で作成したアプリケーションのユーザー属性を、ユーザーのメールアドレス(user.email)に変更。 ④ ①で作成したアプリケーションに、利用ユーザーを割り当てる。 ⑤ ②で取得したIDPエンティティID・SSO-URL・証明書をGMOサイン側担当者へ送信し、GMOサイン側での設定完了連絡を待つ。 ⑥ Test機能により、疎通確認を行う。 |
◇Azureサインイン~初期設定(※1~)
◇利用ユーザー登録 (※16~)
◇シングルサインオン疎通確認(※19~)
◇ユーザーを追加する場合 (※1~21設定後)
1. Microsoft Azure TOPページよりサインインをクリックします。
2. Azureログイン用のID、PWを入力してサインインします。
3. サインイン完了。「Microsoft Entra ID(旧:AzureAD)に移動」をクリックします。
4. 「アプリケーション」>「エンタープライズアプリケーション」をクリックします。
5. 新しいアプリケーションをクリックします。
6. 「独自のアプリケーションの作成」>アプリ名を入力して「作成」をクリックします。 ※「GMOサイン」など識別しやすい名前を推奨
(作成ボタンクリック後、反映に1~2分かかります。)
7. 反映完了のメッセージが出たら、「シングルサインオンの設定」の作業を開始をクリックします。
シングルサイン方式の選択画面で「SAML」を選択します。
8. STEP①[基本的なSAML構成]の「編集」ボタンをクリックします。
9. 識別子(エンティティID)と応答URL(Assertion Consumer Service URL)を入力して、保存します。
別途、弊社の担当者よりメールにてご案内させていただくURL情報をそれぞれ入力してください。
<入力ミス時>
10. 保存完了すると下記メッセージが表示されます。
11. 証明書(Base64)をダウンロードします。
「(アプリ名).cer」のファイル名、形式の証明書ファイルがダウンロードされます。
※このファイル(①)を、下記13の手順の情報2種類(②③)と併せてGMOサイン担当者へメール送信いただきます。
<ダウンロードしたファイルを開くとこのような表示となります>
12. ログインURL情報と、Microsoft Entra ID識別子 情報をそれぞれコピーしてメモ等に貼り付けしておきます。
※上記手順11で取得した証明書ファイル(①)と共に(②)(③)の情報を添えてGMOサイン運営事務局の担当宛てにメールにて送信をお願いいたします。
13. ユーザー属性のユーザーIDをメールアドレスに変更します。
STEP②[ユーザー属性とクレーム]の「編集」ボタンをクリック。
次に「一意のユーザー識別子」をクリックします。
※アプリ作成直後は「user.userprincipalname」になっており、この状態だとSAML連携機能しません。
14. 「ソース属性」を選択し、「user.mail」へ変更して、「保存」ボタン。
15. 変更が保存されます。
16. 利用ユーザーを登録します。
アプリ作成直後は、ユーザーが一人も登録されていない状態です。
「ユーザーまたはグループの追加」から利用ユーザーを追加登録します。
17. ユーザー内の「選択されていません」をクリックし、登録済の追加したいユーザーを選び「選択」ボタンクリック、
その後で「割り当て」ボタンをクリックします。
18. 正しく利用ユーザーが割り当てられたら、一覧上に表示されます。
AzureAD側の設定は以上で完了となります。
手順11、12にて提供いただく証明書データや情報を弊社側でシステム登録を行います。
(現在、ID/PWを利用した通常ログイン方法を利用の際は、SSO切替を実施する日程をご相談ください。)
弊社側での設定後、完了のお知らせをいたします。
完了のお知らせが届きましたら、下記の疎通確認をお願いいたします。
19. STEP⑤[(※作成名)でシングルサインオンをTest]の「Test」ボタンをクリック。
20. 「サインインのテスト」をクリックします。
※GMOサインにもユーザーが存在すれば、疎通確認出来ます。
21. 正しく設定されていれば、GMOサインのTOP画面が表示されます。
GMOサイン画面 |
GMOサイン管理画面にサインインし、ユーザーの追加(例:Aさん)をしておきます。
Azure画面 |
Azureにサインインしてユーザー(Aさん)を追加します。
※「ポータル」>「ユーザー」>「新しいユーザー」>「ユーザーの招待」にて
追加したいAさんのユーザー情報(名前、メールアドレス)を入力、「招待」ボタンで決定。
1. Azureへサインインし、「Microsoft Entra ID」をクリックします。
2. 「追加」>「ユーザー」>「外部ユーザーの招待」の順にクリックします。
3. 追加したいユーザー情報(名前、メールアドレス)入力します。
入力後、画面下のレビューと招待ボタンをクリックし、確認画面になるので招待をクリックします。
4. ユーザーが正常に招待されました。と表示されます。
5. Azure内でユーザーを割り当てます。「エンタープライズアプリケーション」をクリックします。
6. 作成したアプリ名を選択します。
7. 「ユーザーとグループの割り当て」をクリックします。
8. 「ユーザーまたはグループの追加」をクリックします。
9. ユーザー内の「選択されていません」 >上記手順 で追加したユーザー(※Aさん)にチェック>
ユーザー一覧の下に表示される「選択」クリックし、最後に「割り当て」クリックします。
⇒この後、設定するAさんに下記の招待メールが届きます。
10. 招待メールを開き、アカウントへアクセスし、「招待を受ける」クリックします。
別メールで届く確認コードを入力して進みます。
サインインができるようになった後はログイン画面になり、ログインするとAzureの「アプリダッシュボード」画面になり、「(作成したアプリ名)」アイコンが表示されます。
⇒クリックすると、連動し、GMOサインへログイン可能となります。