AzureADによる認証連携の追加

こんにちは、サイオステクノロジーの有村です。

前置き

AzureAD(Azure Active Directory)はIdP(Identity Provider)としてSP(Service Provider)の認証基盤として利用することができます。今回は一般的なSAMLベースのシングルサインオンが設定可能なGSuiteについて設定します。過去にも同様の記事がありますが、今回は2019年7月現在の設定方法となります。

本設定の前提条件は以下のとおりです。

  • AzureADに独自ドメインを登録済み(所有確認済み)
  • 同じ独自ドメインでGSuiteを構成済み(同じく所有確認済み)
  • AzureADとGSuiteの両方に同じIDのアカウントが存在する

手順

手順は以下の通りです。

  1. Azureポータルのサイドバーから[Azure Active Directory]を開き、続いて[エンタープライズ アプリケーション]を選択します。
  2. 20190704_01

  3. [新しいアプリケーション]を選択します。
  4. 20190704_02

  5. ギャラリーから[GSuite]を検索し、表示された[GSuite]を選択します。
  6. 20190704_04

  7. そのまま[追加]を選択します。
  8. 20190704_05

  9. 表示されたアプリケーションの設定画面から[シングルサインオン]を選択します。
  10. 20190704_06

  11. シングルサインオン方式は[SAML]を選択します。
  12. 20190704_07

  13. ①基本的なSAML構成の鉛筆アイコンを選択します。
  14. 20190704_08

  15. 識別子は下記内容を追加して既存の設定を削除し、サインオンURLは入力して、[保存]を選択します。
  16. 識別子: google.com/a/yourdomain.com
    サインオンURL: https://www.google.com/a/yourdomain.com/ServiceLogin?continue=https://mail.google.com
    20190704_09

  17. Validateに関する誘導ダイアログが表示されますが、[いいえ、後でvalidateします。]を選択します。
  18. 20190704_09_2

  19. ②ユーザー属性とクレームの鉛筆アイコンを選択します。
  20. 20190704_10

  21. … アイコンから削除可能なクレームをすべて削除します。鉛筆アイコンから名前識別子を表示します。
  22. 20190704_11

  23. ユーザークレームの管理から、ソース属性を変更します。今回は user.mail へ変更しました。
  24. 20190704_12

  25. Base64形式の証明書をダウンロードします。
  26. 20190704_13

  27. ④GSuiteのセットアップを表示した状態にしておきます。
  28. 20190704_14

  29. GSuite管理コンソールでログインし、[セキュリティ]-[設定]を選択します。[シングルサインオン(SSO)の設定]を選択します。[サードパーティのIDプロバイダでSSOを設定する]をチェックします。AzureAD側の[ログインURL]からコピーして[ログインページのURL]にペーストします。AzureAD側の[ログアウトURL]からコピーして[ログアウトページURL]にペーストします。[ファイルを選択]を選択して、先ほどダウンロードした証明書を選択します。[アップロード]を選択します。[ドメイン固有の発行元を使用]をチェックします。[保存]を選択します。
  30. 20190704_15

  31. 続いてユーザー割り当てを行うため、[ユーザーとグループ]を選択します。
  32. 20190704_18

  33. [ユーザーの追加]を選択します。
  34. 20190704_19

  35. [ユーザーとグループ]を選択します。
  36. 20190704_20

  37. [メンバーの選択または外部ユーザーの招待]に割り当てる対象の名前かメールアドレスを入力します。検索して表示されたアカウントを選択し、[選択]を選択します。
  38. 20190704_21

  39. [割り当て]を選択します。
  40. 20190704_22

  41. 割り当てられたユーザーを確認します。
  42. 20190704_23

これでAzureADの情報でGSuiteにログイン可能となりました!
よいSSOライフを!

ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

3人がこの投稿は役に立ったと言っています。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です