シングルサインオン(Azure AD)設定方法
概要
シングルサインオンは、複数のサービスを1つのパスワードで利用することができるため、パスワードを使い分けてログインする手間がなくなります。
COCOMITEでは以下のプロバイダに対応しています。
・Microsoft Azure AD( →この説明 )
・Google Workspace
SSO設定した場合の注意事項
・1IDプロバイダにつき1ワークスペースのみの紐づけとなります。
・ワークスペース管理者以外は通常のログインができなくなります。
・IDログインユーザーはCOCOMITEが使用できなくなります。
・事前にAzureに登録されているユーザーと同じメールアドレスで、COCOMITE招待~ログインまでを完了しておく必要があります。
※ご利用希望の場合は、COCOMITEのお問い合わせよりご連絡ください。
【設定の流れ】
①ワークスペース管理者:
COCOMITEの「エンティティID」・「応答URL(ACS)」を取得し、Azure設定者に連携します。
②Azure設定者:
「エンティティID」・「応答URL(ACS)」を用いてAzure内にCOCOMITEアプリを作成します。
ワークスペース管理者に「フェデレーション メタデータ URL」を連携します。
③ワークスペース管理者:
「フェデレーション メタデータ URL」をCOCOMITEに設定し、SSO設定を有効にします。
以下に詳細を記載します。
STEP.1COCOMITEのSAMLサービス設定情報を取得する(ワークスペース管理者)
STEP.1-1COCOMITEのSSO認証画面を表示する
①画面右上のメニューから「SSO認証」を選択します。
②SSO認証の設定画面が表示されます。
「エンティティID」と「応答URL」をAzure設定者へ連携してください。
※右のボタンをクリックすると値がコピーされます。
注意)Azure 側でエンティティIDと応答URLの設定が完了するまでSSO設定は有効にしないでください。
STEP.2Microsoft Azureの設定をする(Azure設定者)
STEP.2-1Microsoft Azureへログインする
https://portal.azure.com/ へ移動してAzureへログインします。
STEP.2-2アプリを登録する
STEP.2-2-1AzureActiveDirectoryを選択する
Azureホーム画面の上部にあるAzureActiveDirectoryをクリックします。
STEP.2-2-2エンタープライズアプリケーションを選択する
「既定のディレクトリ」が表示されるので、左側のメニューから「エンタープライズアプリケーション」を選択します。
STEP.2-2-3新しいアプリケーションを選択する
エンタープライズ アプリケーション が表示されるので、画面上にある「新しいアプリケーション」をクリックします。
STEP.2-2-4独自のアプリケーションの作成をクリック
「AzureADギャラリーの参照」が表示されるので、画面左上にある「+独自のアプリケーションを作成」をクリックします。
STEP.2-2-5アプリの名称を設定する
右側に「独自のプリケーションの作成」画面が表示されます。
「お使いのアプリの名前はなんですか」に、アプリの名称を設定します。(ここではCOCOMITEとします)
「ギャラリーに見つからないその他のアプリケーションを統合します」を選択します。
「作成」ボタンをクリックするとアプリの「概要」画面が表示されます。
STEP.2-4SAML構成を設定する
STEP.2-4-1設定画面を表示する
①アプリの概要(ここではCOCOMITE)が表示されるので、「2.シングルサインオンの設定」の「作業の開始」をクリックします。
②「SAML」をクリックします。
③「COCOMITE:SAMLベースのサインオン」画面が表示されるので、基本的なSAML構成の右の「編集」をクリックします。
④右側に「基本的なSAML構成」が表示されます。
STEP.2-4-2識別子(エンティティID)と応答URLを設定する
①「基本的なSAML構成」の「識別子の追加」と「応答URLの追加」をクリックします。
②入力欄が表示されるので、以下を入力します。(SETP1-1を参照)
識別子の追加:COCOMITEのエンティティID
応答URLの追加:COCOMITEの応答URL
STEP.2-4-3基本的なSAML構成を保存する
識別子と応答URLを入力したら、画面上部の「保存」をクリックします。
保存されたら、「×」ボタンを押して元の画面に戻ります。
STEP.2-5属性とクレームを設定する
STEP.2-5-1設定画面を表示する
「属性とクレーム」の右にある「編集」をクリックすると 設定画面が表示されます。
STEP.2-5-2「必要な要求」を設定する
①「一意のユーザー識別子」をクリックします。
②「要求の管理」が表示されるので、ソース属性の横にある「V」をクリックし、リストから「user.mail」を選択し、保存します。
STEP.2-5-3「追加の要求」を設定する
①値が「user.mail」のクレーム名をクリックします。
②「要求の管理」が表示されるので、以下の値を入力して保存します。
名前:email
名前空間:空白
STEP.2-6フェデレーション メタデータ URLをコピーする
アプリのフェデレーション メタデータ URLをコピーして、COCOMITEのワークスペース管理者へ連携してください。
STEP.2-7割り当ての追加
①左メニューの「ユーザーとグループ」を選択し、表示された画面の上「ユーザーまたはグループの追加」をクリックします。
②「割り当ての追加」が表示されるので、「選択されていません」をクリックします。
右にユーザーの一覧が表示されるので、対象のユーザーをクリックします。
③選択したアイテムにユーザーが表示されるので、画面右下の「選択」ボタンをクリックします。
④ユーザー一覧が消えて「割り当て」ボタンが表示されるので、クリックします。
これでAzure側の設定は完了です。
STEP.3COCOMITEでSSOの設定をする(ワークスペース管理者のみ)
①SSO認証タブのトグルをクリックし「有効」にします。
②有効にすると設定項目が表示されるので、以下の内容を設定し「保存する」をクリックします。
・IDプロバイダ:「Azure AD」を選択する
・メタデータエンドポイントURL:Azure設定者から連携された「フェデレーション メタデータ URL」を入力する
③SSO認証が有効になりました。
STEP.4COCOMITEにログインする
COCOMITEのログイン画面を表示します。
「ログイン」ボタンをクリックするだけでログインが可能となります。
※管理者のみ、「管理者ログインはこちら」をクリックすると、通常のログインができます。
STEP.5COCOMITEでSSOを無効にする(ワークスペース管理者のみ)
①SSO認証タブの「変更する」ボタンをクリックします。
②トグルをクリックして無効にし、「保存する」ボタンをクリックします。
③SSOの設定が無効になりました。