directとcybozu.comをMicrosoft Entra ID（以下、Entra ID）を介してシングルサインオン（SSO）する手順を紹介します。

directとは多くの現場で活用される、現場に強い国産ビジネスチャットです。
チャットボットを活用して現場業務の自動化・効率化を実現できます。
詳細は、 【公式】現場のDXにビジネスチャット「direct（ダイレクト）」 を確認してください。

本手順を設定することでdirectとcybozu.comそれぞれにログインする作業が不要となり、利用者の利便性が高まります。
また、各サービスのパスワード管理が不要になり、セキュリティ向上やシステム担当者の業務負担軽減というメリットがあります。

directやcybozu.comにアクセスする（1）とEntra IDの認証画面が表示されます（2）。
Entra IDのアカウント名とパスワードを入力し、認証に成功するとdirectやcybozu.comの画面が表示されます（3）。

いずれのサービスも無料のお試し期間がありますのでぜひお試しください。

• direct
• cybozu.com
• Entra ID

SSOにはSAMLを利用します。
cybozu.comにはSAMLを利用する場合の制限事項があります。詳細は、 STEP3：ログイン時にSAML認証だけを使うように制限する を確認してください。

本手順でSSOする場合は3つのサービスでユーザーの以下の項目を一致させる必要があります。

• direct
  メールアドレス
• cybozu.com
  ログイン名
• Entra ID
  ユーザー名（ユーザー プリンシパル名）

一致させるのが難しい場合はEntra IDの「属性とクレーム」設定の変更で対応できる場合があります。
こちらの設定については本手順の対象外となります。

設定には以下の権限が必要になります。

• direct
  管理者
• cybozu.com
  cybozu.com共通管理者
• Entra ID
  ユーザー管理者およびアプリケーション管理者以上の権限

次の2つの設定が必要になります。

• cybozu.comとEntra ID
• directとEntra ID

設定手順は、 Entra IDで認証して、cybozu.comにログインする を参照してください。

1. Entra IDにユーザーとグループを作成

「cybozu.comとEntra IDの設定」で設定済みのため不要です。
以降の手順では追加したユーザのユーザー名は「sso-user1@sample.onmicrosoft.com」、所属させたグループは「シングルサインオングループ」として説明します。

2. Entra IDにエンタープライズアプリケーション「direct」を追加

Entra IDにdirectと連携できるアプリケーションを追加します。

Azure Portal にサインインします。

Microsoft Entra IDの管理の「表示」をクリックします。

「エンタープライズ アプリケーション」をクリックします。

「新しいアプリケーション」をクリックし、「direct」で検索します。
検索結果の「direct」をクリックし、Azure Potalにdirectを追加します。

3. directにSSOするユーザーを設定

追加したアプリケーションの対象に「シングルサインオングループ」を設定します。
これにより「シングルサインオングループ」に所属するユーザーが、directにSSOできます。

エンタープライズアプリケーションに追加したdirectをクリックし、「ユーザーとグループの割り当て」をクリックします。

「ユーザーまたはグループの追加」をクリックし、「シングルサインオングループ」を選択します。

4. Entra IDのSAML設定

エンタープライズアプリケーションに追加した「direct」をクリックし、「シングルサインオンの設定」の「作業の開始」をクリックします。

シングル サインオン方式の選択は「SAML」を選択します。
基本的なSAML構成の変更は不要です（初期値のままで利用できます）。

SAML署名証明書の「証明書（Base64）」をダウンロードします。
directのセットアップの「ログインURL」の内容をメモします。

5. directにユーザーを作成

directではSSOを利用するユーザーをグループで管理できます。
まずはdirectにグループを作成します。

direct にサインインします。

初めてサインインされる場合は事前に組織の作成などの手順が必要です。詳細は、 directご利用 マニュアル を確認してください。

管理者設定の「アカウント管理」をクリックします。

「グループの作成」をクリックし、グループ名やグループIDに適切な内容を入力します。
ここで入力するグループIDはログイン時に利用します。本手順ではグループIDを「sso-direct-test」としました。

作成したグループにユーザーを所属させます。
「アカウント管理：グループ一覧」の歯車アイコンから「管理リクエスト送信」を選択します。

すでに組織へ参加しているメンバーをSSOさせる場合は「組織のメンバーへ管理リクエストを送信」をクリックします。
そうでない場合は「メールアドレスを指定して管理リクエストを送信」をクリックします。
本手順では後者をご案内します。

「メールアドレスを指定して管理リクエストを送信」をクリックしたら適切な内容を入力します。
管理リクエスト送信先のメールアドレスをEntra IDユーザーの「ユーザー名」とそろえてください。

送信をクリックすると管理リクエスト送信先のメールアドレスにメールが届きます。その内容にしたがってユーザーを作成します。
SSOの設定に影響するのはユーザーのメールアドレスです。そのため、ここでの入力内容はSSOには影響しません。

6. directのSAML設定

「アカウント管理：グループ一覧」の歯車アイコンから「シングルサインオン」を選択します。

「SAML認証を使う」をチェックし、以下の値を入力します。

• Identity ProviderのエンドポイントURL：Entra IDでメモした「ログインURL」の内容
• ログアウト後に遷移するURL：https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

「Identity Providerの公開鍵」にEntra IDでダウンロードした証明書をアップロードします。

ブラウザーを起動して（全サービスからログアウトした状態） directのSSO画面 にアクセスします。

アカウント管理グループIDを入力し、「次へ」をクリックするとEntra IDのログイン画面が表示されます。
ログインに成功するとdirectの画面が表示されます。

次に同じブラウザーでhttps://sample.cybozu.comにアクセスします。

認証画面が表示されることなくcybozu.comにアクセスできます。

先にcybozu.comへアクセスした場合も同様で、directは認証画面が表示されることなくアクセスできます。
（アカウント管理グループIDの入力は必要です）