メインコンテンツへスキップ

Microsoft Entra ID

Daichi Fujii
  • 更新

このページについて

Microsoft Entra ID(旧Azure AD)をIdPとして利用し、ZUNDA IDとSAML連携させるための手順を説明します。この設定を完了すると、Microsoft Entra IDにサインインしているユーザーが、その認証情報を用いてZUNDA IDへシングルサインオンでログインできるようになります。

設定に必要なもの

事前に以下を揃えておいてください。

  • Microsoft Entra IDのエンタープライズアプリケーションを管理できる権限を持つユーザー

    エンタープライズアプリケーション管理者、アプリケーション管理者、クラウドアプリケーション管理者、またはグローバル管理者のいずれかのロールが必要です。

  • ZUNDA IDの認証方法の管理権限を持つユーザー

    SAMLプロバイダーの作成と設定を行うため、ZUNDA IDの管理権限を持つユーザーが必要です。

  • 事前にリカバリーキーを発行・保管していること

    設定不備やIdP障害によるロックアウトを防ぐため、ログイン方法のリカバリー設定の設定方法を参照し、リカバリーキーを事前に発行してください。

設定手順

ZUNDA IDとMicrosoft Entra 管理センターの両方を交互に操作して設定を進めます。両方の画面を同時に開いておくとスムーズです。

  1. ZUNDA IDの「ログイン方法設定」画面を開き、「SAMLプロバイダーを追加」ボタンをクリックしてください

表示されたダイアログに、このプロバイダーを識別するための任意の表示名(例:Microsoft Entra ID)を入力し、「作成」をクリックしてプロバイダー詳細画面へ進んでください。ここで付けた名前は、ログイン画面や設定画面で表示されます。

  1. Microsoft Entra 管理センター(entra.microsoft.com)にログインし、「エンタープライズアプリケーション」から「新しいアプリケーション」を作成する画面を開いてください
  1. 「独自のアプリケーションの作成」をクリックして表示された画面に以下の設定をしてください

Microsoft EntraのアプリギャラリーにはZUNDA IDは掲載されていないため、「ギャラリー以外のアプリケーションを統合」を選択する必要があります。

  • 作成するアプリの名前

    ZUNDA ID

  • アプリケーションでどのような操作を行いたいですか?

    ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)

選択したことを確認して、作成ボタンをクリックしてください。

  1. アプリケーションが作成されると詳細画面が表示されます。左メニューから「シングルサインオン」を選択し、「シングルサインオン方式の選択」画面で「SAML」をクリックしてください
  1. ZUNDA IDのプロバイダー詳細画面に戻り、「メタデータXML(SP)」のダウンロードボタンをクリックして、SP側のメタデータXMLを保存してください

SPメタデータには、ACS URLやエンティティIDなど、Microsoft Entra ID側で必要となるZUNDA ID(SP)の情報が含まれています。このファイルをMicrosoft Entra側へアップロードすることで、SPの設定を一括で反映させることができます。

  1. Microsoft Entra 管理センターのSAMLシングルサインオン設定画面に戻り、「メタデータファイルをアップロードする」をクリックし、先ほどダウンロードしたSPメタデータXMLファイルをアップロードしてください
  1. 設定値が自動入力されていることを確認し、「保存」をクリックしてください

メタデータファイルから「識別子」と「応答URL」が自動で入力されます。これらはそれぞれZUNDA IDのエンティティIDとACS URLに対応します。

保存されたことを確認し、❌ボタンをクリックして「基本的なSAML構成」パネルを閉じてください。

  1. Microsoft Entra 管理センターの「SAMLによるシングルサインオンのセットアップ」画面をスクロールし「SAML証明書」セクションを見つけ、「フェデレーション メタデータ XML」のダウンロードリンクをクリックしてXMLファイルを保存してください

このフェデレーションメタデータには、Microsoft Entra IDのIdP証明書とSSO URLが含まれており、ZUNDA IDにインポートすることでIdP側の設定を一括で取り込めます。

  1. ZUNDA IDのプロバイダー詳細画面に戻り、「メタデータXMLをインポート」ボタンをクリックしてください

表示されたダイアログから「ファイルから読み込む」をクリックし、先ほどダウンロードしたフェデレーションメタデータXMLファイルを選択してください。読み込まれたことを確認したら、「メタデータXMLをインポート」ボタンをクリックしてください。

IdP Entity ID、SSO URL、IdP証明書などの設定値がすべてインポートされたことを確認してください。これでZUNDA ID側のSAMLプロバイダー設定は一旦完了ですが、次のステップでMicrosoft Entra ID側の属性マッピングを調整します。

  1. Microsoft Entra 管理センターに戻り、「属性とクレーム」セクションの「編集」をクリックしてください

Microsoft Entra IDのデフォルトでは、nameクレームにユーザーのプリンシパル名(メールアドレス形式)がセットされています。しかしZUNDA IDではこれを「表示名」として表示してしまうため、より適切なdisplayNameアトリビュートへマッピングし直します。

ZUNDA IDでは表示名としてdisplayNameを利用しますが、Microsoft Entra IDの初期設定ではnameクレームにuser.userprincipalnameがマッピングされています。ユーザーの表示名を正しく取り込むために、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameのクレームをクリックして編集画面を開いてください。

編集画面で「ソース属性」をuser.userprincipalnameからuser.displaynameに変更し、「保存」をクリックしてください。

一覧に戻り、nameクレームの値がuser.displaynameに変更されていることを確認したら、❌ボタンをクリックして画面を閉じてください。これでMicrosoft Entra ID側の設定はすべて完了です。

SP証明書の登録

必須ではありませんが、Microsoft Entra ID側にZUNDA IDのSP証明書を登録し、SAMLリクエストの署名検証を有効化することで、リクエストが確かにZUNDA IDから送信されたものであることを暗号学的に検証できるようになり、なりすましに対するセキュリティを高められます。

  1. ZUNDA IDのMicrosoft Entra IDプロバイダー詳細画面の「SP証明書」セクションより、プライマリー証明書の「ダウンロード」ボタンをクリックして、SP証明書ファイル(.cer)を保存してください
  1. Microsoft Entra 管理センターのSAMLシングルサインオン設定画面に戻り、「SAML証明書」セクションまでスクロールしてください
  1. 「検証証明書 (オプション)」の「編集」をクリックしてください
  1. 「検証証明書」パネルが開くので、フォルダアイコンから先ほどダウンロードしたSP証明書ファイル(.cer)を選択し、「OK」をクリックしてください

  1. 証明書の拇印とキーIDが一覧に表示されたことを確認したら、「検証証明書を必須とする」にチェックを入れ、「保存」をクリックして証明書の登録を完了してください

これでMicrosoft Entra IDは、ZUNDA IDから送信されるSAMLリクエストの署名を検証するようになります。SP証明書を差し替えた場合は、同じ手順でMicrosoft Entra ID側の検証証明書も更新してください。

ログインテスト

設定が完了したら、プロバイダーを有効化する前に必ずログインテストを実施して、設定が正しいか、Microsoft Entra IDユーザーの情報が正しく取り込めるかを確認してください。

  1. ZUNDA IDのMicrosoft Entra IDプロバイダー詳細画面より、「テスト」ボタンをクリックしてください

テストボタンをクリックすると、ポップアップウィンドウでMicrosoftのログイン画面が開きます。ポップアップがブロックされている場合は、ブラウザのポップアップブロッカーを一時的に無効化してください。

  1. Microsoftで認証を完了させると、以下のように「SSOログインテストに成功しました」と表示され、NameID・メールアドレス・姓・名・表示名のチェック結果がすべて緑のチェックになっていれば設定完了です

もしエラーが表示されたり、チェック項目が赤いマークになっている場合は、以下を確認してください。

  • フェデレーションメタデータXMLが正しくインポートされているか
  • nameクレームのソース属性がuser.displaynameに変更されているか
  • テストに使用したユーザーに姓名や表示名がMicrosoft Entra ID側で設定されているか

テストが成功したら、プロバイダー詳細画面に戻り、「状態」をONに切り替えることで、Microsoft Entra IDによるSAMLログインが有効になります。その後、ドメイン設定でこのプロバイダーをログイン方法として選択することで、実際のユーザーがSAML認証でログインできるようになります。

ログイン方法が利用できなくなった場合に備えて、ログイン方法のリカバリー設定の設定方法を事前に行っておくことを強く推奨します。設定完了後は作成したSAMLプロバイダーをログイン方法として利用する方法を参照し、ログイン方法として有効化してください。

関連記事