cybozu.com共通管理 開発Tips

Microsoft Entra IDを使ってcybozu.comにシングルサインオン

目次

はじめに

固定リンクがコピーされました

こんにちは。
今回はMicrosoft Entra ID(以下、Entra ID)とcybozu.comの連携について紹介します。

具体的な内容は以下の2点になります。

  • Entra IDで認証して、cybozu.comにログインする方法
    https://sample.cybozu.com/ にアクセスすると、Entra IDのログイン画面が表示されます。
    すでにEntra IDで認証済みの場合はシングルサインオンできます。(ログイン名、パスワードを入力することなくログインできます)
  • オンプレミスのActive Directoryで認証して、cybozu.comにログインする方法(要Entra ID)

つまり、Entra IDが連携している他のサービスOffice 365やSalesforceともシングルサインオンできるということですね!夢が広がりますね!

Entra IDとは

固定リンクがコピーされました

マイクロソフトが提供する、マルチテナントに対応したクラウドベースのディレクトリとIDの管理サービスです。
主要なディレクトリサービス、高度なID管理機能、アプリケーションアクセスの管理機能が統合されています。

もっと詳しく知りたい方は こちら(Microsoft Entra Connectとは) (External link) を参照してください。

すぐ試したい!という方は 無償評価版がありますよ! (External link)

注意点

固定リンクがコピーされました

cybozu.comのログイン時にSAML認証だけを使うように制限した場合の制限事項は、次のページを確認してください。
STEP3:ログイン時にSAML認証だけを使うように制限する (External link)

Entra IDで認証して、cybozu.comにログインする

固定リンクがコピーされました

設定

固定リンクがコピーされました

Entra IDとcybozu.comの2つの設定が必要です。

手順1:Entra ID - ユーザーとグループの作成

Entra IDではシングルサインオンの対象を、ユーザーが所属するグループ単位やユーザー単位で管理できます。
本手順では、グループ単位で管理する手順を説明します。

  1. Azure Portal (External link) にサインインします。

  2. 左メニューから[Microsoft Entra ID]を選択します。

  3. [ユーザー]をクリックします。

  4. [新しいユーザー]をクリックし、[新しいユーザーの作成]を選択します。

  5. ユーザー情報を入力します。

    • ユーザー プリンシパル名 - cybozu.comのログイン名と同じになるように設定します。
      たとえば、@ 以前に「sato-noboru」と入力した場合、cybozu.comのログイン名は「sato-noboru@<カスタムドメイン名>.onmicrosoft.com」です。
    • 表示名 - 任意の文字列を入力します。
    • パスワード - シングルサインオンを設定した後のログインで使用します。
      自動生成する場合は、パスワードをメモしてください。

  6. [レビューと作成]をクリックし、[作成]をクリックします。

  7. [グループ]をクリックします。

  8. [新しいグループ]をクリックします。

  9. グループ情報を入力します。

    • グループの種類 -「セキュリティ」を選択します。
    • グループ名 - 任意の文字列を入力します。
    • グループの説明 - 任意の文字列を入力します(省略可)

  10. 「メンバーが選択されていません」をクリックします。

  11. 追加したメンバーを検索して、目的のメンバーを選択します。

  12. [選択]をクリックします。

  13. [作成]をクリックします。

手順2:Entra ID - エンタープライズアプリケーションの追加

Entra IDにcybozu.comと連携できるアプリケーションを追加します。

  1. [エンタープライズ アプリケーション]をクリックします。
  2. [新しいアプリケーション]をクリックします。
  3. 「cybozu」で検索します。
  4. 検索結果の「Cybozu(cybozu.com)」をクリックします。

  5. 識別しやすくするため、名前を「cybozu.com」に変更します。
  6. [作成]をクリックします。
手順3:Entra ID - SSOを行うユーザーの設定

追加したアプリケーションの対象に「シングルサインオングループ」を設定します。
「シングルサインオングループ」に所属するユーザーがcybozu.comにSSOできます。

  1. アプリケーションの一覧から「cybozu.com」を選択します。
  2. [ユーザーとグループの割り当て]をクリックします。

  3. [ユーザーまたはグループの追加]をクリックします。
  4. 先の手順で追加したグループを検索します。
  5. 検索結果から目的のグループを選択し、[選択]をクリックします。
  6. [選択]をクリックします。
  7. [割り当て]をクリックします。
手順4:Entra ID - SAML設定

  1. エンタープライズ アプリケーションの一覧から「cybozu.com」を選択します。

  2. 「シングルサインオンの設定」の「作業の開始」をクリックします。

  3. 「SAML」を選択します。

  4. 「基本的なSAML構成」の[編集]をクリックします。

  5. 次の項目を入力します。
    sampleの部分は、連携するcybozu.comのサブドメイン名に合わせて変更してください。

    • 識別子(エンティティID) - https://sample.cybozu.com
    • 応答URL(Assertion Consumer Service URL) - https://sample.cybozu.com/saml/acs
    • サインオンURL - https://sample.cybozu.com

  6. [保存]をクリックします。

  7. 「SAML署名証明書」の「証明書(Base64)」をダウンロードします。

  8. 「cybozu.comのセットアップ」の「ログインURL」をコピーしてメモします。

手順5:cybozu.com - ユーザーの作成

cybozu.com共通管理で、ユーザーを追加します。
操作手順の詳細は ユーザーを追加する (External link) を参照してください。

作成するユーザーのログイン名は、Entra IDで作成したユーザーの「ユーザー プリンシパル名」と同じにしてください。

手順6:cybozu.com - SAML設定

  1. cybozu.com共通管理で、「ログイン」をクリックします。

  2. 「SAML認証を有効にする」のチェックボックスを選択します。

  3. SAMLの設定情報を入力します。

    • Identity ProviderのSSOエンドポイントURL
      手順5でメモした「ログインURL」の内容
    • cybozu.comからのログアウト後に遷移するURL
      https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

  4. 「Identity Providerが署名に使用する公開鍵の証明書」に、ダウンロードした証明書をアップロードします。

  5. [保存]をクリックします。

動作確認

固定リンクがコピーされました

  1. シークレットブラウザーを開き、cybozu.comにアクセスします。
  2. Microsoftのログイン画面で、作成したユーザーの認証情報を入力します。
    • ログイン名 - 作成したEntra IDユーザーの「ユーザー プリンシパル名」
    • パスワード - 作成したEntra IDユーザーのユーザーのパスワード
  3. cybozu.comの画面が表示されることを確認できればOKです。

SAML認証の設定に失敗した場合、cybozu.com共通管理者のアカウントで、回避するURLを使ってcybozu.comにログインできます。
SAML認証を無効にして、設定を再確認してください。
URLの詳細は SAML認証を回避するURL (External link) を確認してください。

オンプレミスのActive Directoryで認証して、cybozu.comにログインする(要Entra ID)

固定リンクがコピーされました

上記構成のEntra IDとオンプレミス(企業内)のActive Directoryを認証連携します。
すると、今度は企業内のドメイン アカウント(Windowsのログインアカウント)を使ってcybozu.comにログインできます。

設定

固定リンクがコピーされました

まず、Active Directory Federation Services(以下、AD FS)、Web Application Proxyをセットアップします。
セットアップが完了したら、Microsoft Entra Connect(ユーティリティ)を使って、Entra IDとAD FS間の信頼関係(証明書を含むメタ情報の交換)を設定します。
さらに、ユーザー情報などオンプレミスのActive Directory情報とEntra ID情報の同期を設定します。
最後に、企業内のActive Directoryの情報(ユーザーなど)とEntra IDの情報の同期を構成します。
設定手順の詳細は、 Microsoft Entra IDとのフェデレーションとは (External link) で解説されています。(本記事では細かい説明は割愛します)

動作確認

固定リンクがコピーされました

設定が完了したら、いったんブラウザーをすべて閉じて、cybozu.comにアクセスしてみてください。
企業専用のAD FSのログイン画面(下図)が表示されます。
企業内のドメインで使用しているログイン名とパスワードを入力することでcybozu.comにログインします。
Microsoft Edgeをお使いの場合や、Google Chromeで統合Windows認証を設定している場合、ログイン画面は表示されず、シングルサインオンします。

おわりに

固定リンクがコピーされました

Entra IDとcybozu.comの連携いかがでしたでしょうか。連携の設定はそれほど難しくないのでぜひご検討ください。

関連リンク

固定リンクがコピーされました

cybozu.comのSAML認証のしくみは Cybozu Inside Out (External link) で紹介しています。