AzureADによる認証連携の追加

こんにちは、サイオステクノロジーの有村です。

前置き

AzureAD(Azure Active Directory)はIdP(Identity Provider)としてSP(Service Provider)の認証基盤として利用することができます。今回は一般的なSAMLベースのシングルサインオンが設定可能なGSuiteについて設定します。過去にも同様の記事がありますが、今回は2019年7月現在の設定方法となります。

本設定の前提条件は以下のとおりです。

• AzureADに独自ドメインを登録済み（所有確認済み）
• 同じ独自ドメインでGSuiteを構成済み（同じく所有確認済み）
• AzureADとGSuiteの両方に同じIDのアカウントが存在する

手順

手順は以下の通りです。

1. Azureポータルのサイドバーから[Azure Active Directory]を開き、続いて[エンタープライズ アプリケーション]を選択します。



2. [新しいアプリケーション]を選択します。



3. ギャラリーから[GSuite]を検索し、表示された[GSuite]を選択します。



4. そのまま[追加]を選択します。



5. 表示されたアプリケーションの設定画面から[シングルサインオン]を選択します。



6. シングルサインオン方式は[SAML]を選択します。



7. ①基本的なSAML構成の鉛筆アイコンを選択します。



8. 識別子は下記内容を追加して既存の設定を削除し、サインオンURLは入力して、[保存]を選択します。

識別子: google.com/a/yourdomain.com
サインオンURL: https://www.google.com/a/yourdomain.com/ServiceLogin?continue=https://mail.google.com


9. Validateに関する誘導ダイアログが表示されますが、[いいえ、後でvalidateします。]を選択します。



10. ②ユーザー属性とクレームの鉛筆アイコンを選択します。



11. … アイコンから削除可能なクレームをすべて削除します。鉛筆アイコンから名前識別子を表示します。



12. ユーザークレームの管理から、ソース属性を変更します。今回は user.mail へ変更しました。



13. Base64形式の証明書をダウンロードします。



14. ④GSuiteのセットアップを表示した状態にしておきます。



15. GSuite管理コンソールでログインし、[セキュリティ]-[設定]を選択します。[シングルサインオン（SSO）の設定]を選択します。[サードパーティのIDプロバイダでSSOを設定する]をチェックします。AzureAD側の[ログインURL]からコピーして[ログインページのURL]にペーストします。AzureAD側の[ログアウトURL]からコピーして[ログアウトページURL]にペーストします。[ファイルを選択]を選択して、先ほどダウンロードした証明書を選択します。[アップロード]を選択します。[ドメイン固有の発行元を使用]をチェックします。[保存]を選択します。



16. 続いてユーザー割り当てを行うため、[ユーザーとグループ]を選択します。



17. [ユーザーの追加]を選択します。



18. [ユーザーとグループ]を選択します。



19. [メンバーの選択または外部ユーザーの招待]に割り当てる対象の名前かメールアドレスを入力します。検索して表示されたアカウントを選択し、[選択]を選択します。



20. [割り当て]を選択します。



21. 割り当てられたユーザーを確認します。

これでAzureADの情報でGSuiteにログイン可能となりました！
よいSSOライフを！

About 有村 悠希 5 Articles

認証基盤、ID管理システムのサポートエンジニア。

Twitter YouTube