cybozu.com 共通管理 開発 Tips

Azure Active Directory を使って cybozu.com にシングルサインオン

目次

はじめに

こんにちは。
今回は Azure Active Directory(以下、Azure AD)と cybozu.com の連携について紹介します。

具体的な内容は以下の 2 点になります。

  • Azure AD で認証して、cybozu.com にログインする方法
    https://sample.cybozu.com/ にアクセスすると、Azure AD のログイン画面が表示されます。
    すでに Azure AD で認証済みの場合はシングルサインオンできます。(ログイン名、パスワードを入力することなくログインできます)
  • オンプレミスの Active Directory で認証して、cybozu.com にログインする方法(要 Azure AD)

つまり、Azure AD が連携している他のサービス Office 365 や Salesforce ともシングルサインオンできるということですね!夢が広がりますね!

Azure AD とは

マイクロソフトが提供する、マルチテナントに対応したクラウド ベースのディレクトリーと ID の管理サービスです。
主要なディレクトリー サービス、高度な ID 管理機能、アプリケーション アクセスの管理機能が統合されています。

もっと詳しく知りたい方は こちら(Azure Active Directory とは) (External link) を参照してください。

すぐ試したい!という方は 無償評価版がありますよ! (External link)

注意点

cybozu.com のログイン時に SAML 認証だけを使うように制限した場合の制限事項は、次のページを確認してください。
STEP3:ログイン時にSAML認証だけを使うように制限する (External link)

Azure ADで認証して、cybozu.com にログインする

設定

Azure AD と cybozu.com の 2 つの設定が必要です。

手順 1:Azure AD - ユーザーとグループの作成

Azure AD ではシングルサインオンの対象を、ユーザーが所属するグループ単位やユーザー単位で管理できます。
本手順では、グループ単位で管理する手順を説明します。

  1. Azure Portal (External link) にサインインします。

  2. 左メニューから[Azure Active Directory]を選択します。

  3. [ユーザー]をクリックします。

  4. [新しいユーザー]をクリックし、[新しいユーザーの作成]を選択します。

  5. ユーザー情報を入力します。

    • ユーザー プリンシパル名 - cybozu.com のログイン名と同じになるように設定します。
      たとえば、@ 以前に「sato-noboru」と入力した場合、cybozu.com のログイン名は「sato-noboru@<カスタムドメイン名>.onmicrosoft.com」です。
    • 表示名 - 任意の文字列を入力します。
    • パスワード - シングルサインオンを設定した後のログインで使用します。
      自動生成する場合は、パスワードをメモしてください。

  6. [レビューと作成]をクリックし、[作成]をクリックします。

  7. [グループ]をクリックします。

  8. [新しいグループ]をクリックします。

  9. グループ情報を入力します。

    • グループの種類 -「セキュリティ」を選択します。
    • グループ名 - 任意の文字列を入力します。
    • グループの説明 - 任意の文字列を入力します(省略可)

  10. 「メンバーが選択されていません」をクリックします。

  11. 追加したメンバーを検索して、目的のメンバーを選択します。

  12. [選択]をクリックします。

  13. [作成]をクリックします。

手順 2:Azure AD - エンタープライズアプリケーションの追加

Azure AD に cybozu.com と連携できるアプリケーションを追加します。

  1. [エンタープライズ アプリケーション]をクリックします。
  2. [新しいアプリケーション]をクリックします。
  3. 「cybozu」で検索します。
  4. 検索結果の「Cybozu(cybozu.com)」をクリックします。

  5. 識別しやすくするため、名前を「cybozu.com」に変更します。
  6. [作成]をクリックします。
手順 3:Azure AD - SSO を行うユーザーの設定

追加したアプリケーションの対象に「シングルサインオングループ」を設定します。
「シングルサインオングループ」に所属するユーザーが cybozu.com に SSO できます。

  1. アプリケーションの一覧から「cybozu.com」を選択します。
  2. [ユーザーとグループの割り当て]をクリックします。

  3. [ユーザーまたはグループの追加]をクリックします。
  4. 先の手順で追加したグループを検索します。
  5. 検索結果から目的のグループを選択し、[選択]をクリックします。
  6. [選択]をクリックします。
  7. [割り当て]をクリックします。
手順 4:Azure AD - SAML 設定

  1. エンタープライズ アプリケーションの一覧から「cybozu.com」を選択します。

  2. 「シングルサインオンの設定」の「作業の開始」をクリックします。

  3. 「SAML」を選択します。

  4. 「基本的な SAML 構成」の[編集]をクリックします。

  5. 次の項目を入力します。
    sample の部分は、連携する cybozu.com のサブドメイン名に合わせて変更してください。

    • 識別子(エンティティ ID) - https://sample.cybozu.com
    • 応答 URL(Assertion Consumer Service URL) - https://sample.cybozu.com/saml/acs
    • サインオン URL - https://sample.cybozu.com

  6. [保存]をクリックします。

  7. 「SAML 署名証明書」の「証明書(Base64)」をダウンロードします。

  8. 「cybozu.com のセットアップ」の「ログイン URL」をコピーしてメモします。

手順 5:cybozu.com - ユーザーの作成

cybozu.com 共通管理で、ユーザーを追加します。
操作手順の詳細は ユーザーを追加する (External link) を参照してください。

作成するユーザーのログイン名は、Azure AD で作成したユーザーの「ユーザー プリンシパル名」と同じにしてください。

手順 6:cybozu.com - SAML設定

  1. cybozu.com 共通管理で、「ログイン」をクリックします。

  2. 「SAML 認証を有効にする」のチェックボックスを選択します。

  3. SAML の設定情報を入力します。

    • Identity Provider の SSO エンドポイント URL
      手順 5 でメモした「ログイン URL」の内容
    • cybozu.com からのログアウト後に遷移する URL
      https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

  4. 「Identity Provider が署名に使用する公開鍵の証明書」に、ダウンロードした証明書をアップロードします。

  5. [保存]をクリックします。

動作確認

  1. シークレットブラウザーを開き、cybozu.com にアクセスします。
  2. Microsoft のログイン画面で、作成したユーザーの認証情報を入力します。
    • ログイン名 - 作成した Azure AD ユーザーの「ユーザー プリンシパル名」
    • パスワード - 作成した Azure AD ユーザーのユーザーのパスワード
  3. cybozu.com の画面が表示されることを確認できれば OK です。

SAML 認証の設定に失敗した場合、cybozu.com 共通管理者のアカウントで、回避する URL を使って cybozu.com にログインできます。
SAML 認証を無効にして、設定を再確認してください。
URL の詳細は SAML認証を回避するURL (External link) を確認してください。

オンプレミスの Active Directory で認証して、cybozu.com にログインする(要 Azure AD)

上記構成の Azure AD とオンプレミス(企業内)の Active Directory を認証連携します。
すると、今度は企業内のドメイン アカウント(Windows のログインアカウント)を使って cybozu.com にログインできます。

設定

まず、Active Directory Federation Services(以下、AD FS)、Web Application Proxy をセットアップします。
セットアップが完了したら、Azure AD Connect(ユーティリティ)を使って、Azure AD と AD FS 間の信頼関係(証明書を含むメタ情報の交換)を設定します。
さらに、ユーザー情報などオンプレミスの Active Directory 情報と Azure AD 情報の同期を設定します。
最後に、企業内の Active Directory の情報(ユーザーなど)と Azure AD の情報の同期を構成します。
設定手順の詳細は、 Azure AD とのフェデレーションとは (External link) で解説されています。(本記事では細かい説明は割愛します)

動作確認

設定が完了したら、いったんブラウザーをすべて閉じて、cybozu.com にアクセスしてみてください。
企業専用の AD FS のログイン画面(下図)が表示されます。
企業内のドメインで使用しているログイン名とパスワードを入力することで cybozu.com にログインします。
Microsoft Edge をお使いの場合や、Google Chrome で統合 Windows 認証を設定している場合、ログイン画面は表示されず、シングルサインオンします。

おわりに

Azure AD と cybozu.com の連携いかがでしたでしょうか。連携の設定はそれほど難しくないのでぜひご検討ください。

関連リンク

cybozu.com の SAML 認証のしくみは Cybozu Inside Out (External link) で紹介しています。