Contents
Entra IDの初期設定と準備手順
Microsoft Entra IDでのシングルサインオン(SSO)を実装するには、事前準備が不可欠です。特にTier P1/P2の確認やドメイン検証プロセスは、後続の設定に影響を与える重要なステップです。本記事では、複数SaaS連携時の設定フローをケーススタディ形式で解説し、実務で即活用できる手順をご提供します。
Tier P1/P2確認とサブスクリプション選定
Entra IDのTier P1またはP2に所属しているかを確認する必要があります。
導入準備時の注意点
Tier P1/P2の確認方法
- Azureポータル > 「サブスクリプション」を選択
- サブスクリプション名をクリックし、プラン詳細を確認
| Tier | 対応アプリ | 価格帯(例) | 補足 |
|---|---|---|---|
| P1 | 指定SaaSのみ | 月額$50/ユーザー | SalesforceやServiceNowなど一部アプリに限る |
| P2 | 全てのSaaS | 月額$70/ユーザー | すべてのクラウドアプリとの連携が可能 |
P2 Tierへの移行が必要な場合は、サブスクリプション追加の申請を速やかに進める必要があります。
必要となる管理者ロールの権限設定
SSO設定には「Global administrator」または「Application administrator」のロールが必須です。
- Global administrator:Entra ID全体の管理権限あり(セキュリティ上、限定使用推奨)
- Application administrator:アプリケーション専用の管理権限(実務ではこのロールを割当)
ロール割当手順例
- Azureポータル > 「ユーザー」 > ユーザーを選択
- 「役割とグループ」タブから適切なロールを割り当て
SSO有効化前のドメイン検証プロセス
SSOを有効にする前に、企業ドメインの所有権をMicrosoftに認証する必要があります。
- DNSレコード追加:CNAMEレコードまたはTXTレコードでドメインを登録
- 検証方法:ポータルから自動生成されたトークンを設定
DNSレコード種別選定基準
| レコードタイプ | 主な用途 | 適用例 |
|---|---|---|
| CNAME | サービスのアドレス解決 | Entra IDと外部サービス(SaaS)との連携時 |
| TXT | ドメイン所有権確認 | Microsoftによるドメイン検証プロセス |
ドメイン検証のステップ
- Azureポータル > 「ディレクトリ」 > 「ドメイン」を選択
- カスタムドメインを追加し、提供されるDNSレコードをDNSプロバイダーに反映
アプリケーション登録とSAMLプロトコル構成
複数のSaaSアプリ(例:ServiceNowやSalesforce)との連携において、アプリケーション登録とSAMLプロトコル設定は不可欠です。以下で具体的な手順を解説します。
新規アプリケーションの作成手順
Entra ID内にアプリケーションを登録するには、以下の4ステップを行います。
- Azureポータル > 「エンタープライズアプリ」 > 「すべてのアプリ」を選択
- 「新規登録」ボタンをクリックし、アプリ名と種類(SAML)を入力
- リダイレクトURLを設定(例:https://yourapp.com/sso)
- 登録完了後、「証明書とシークレット」からクライアントシークレットを作成
注意事項
- クライアントシークレットは2年以内に更新が必要です
- 本番環境では、アプリケーションの「公開されているURL」を正確に設定すること
SAMLベースのSSOプロトコル選択と認証フロー設計
SAMLは企業が最もよく使用するプロトコルで、以下の4つの主要なフェーズがあります。
- ユーザーがアプリケーションにアクセス
- Entra IDがIDPとしてログイン画面を表示
- 認証成功後、SAML応答が送信される
- アプリケーションがSAMLレスポンスを検証し、セッションを作成
プロトコル選択時の判断基準
| 項目 | SAML | OpenID Connect |
|---|---|---|
| 信頼性 | 高(企業向け) | 中(クラウドサービス向け) |
| 認証フロー | より複雑(エンタープライズ向け) | シンプル(OAuth2との互換性あり) |
SaaSアプリの要件に応じて選択してください。
応答URLの設定とクエリパラメータ確認
SAMLプロトコルを使用する際、応答URLとクエリパラメータは正確に設定する必要があります。
- 応答URL例:
https://yourapp.com/sso?RelayState=... - クエリパラメータ:
SAMLResponse,RelayState(アプリケーション依存性あり)
設定ミスの回避策
- URLエンコードを忘れずに行う
- テスト時にログを確認し、応答が正常に処理されているかを検証する
IDプロバイダー設定ファイル生成とドメイン統合
IDプロバイダー(IdP)のメタデータXML生成と企業カスタムドメインとの統合は、SSO構築において技術的負荷が大きい部分です。以下で具体的なフローを解説します。
IDPメタデータXMLの生成手順
IDP設定ファイル(XML)は、SaaSアプリ側に提供して認証プロセスを開始するための必要書類です。
- Azureポータル > 「エンタープライズアプリ」 > 登録済みアプリを選択
- 「プロトコル」タブから「SAML」を選択
- 「IDプロバイダー設定ファイルをダウンロード」ボタンをクリック
XMLファイルの構成例(一部抜粋)
|
1 2 3 4 5 6 |
<EntityDescriptor> <SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yourapp.com/sso" index="1"/> </SPSSODescriptor> </EntityDescriptor> |
企業カスタムドメインのSSL証明書申請フロー
カスタムドメインを使用する場合、SSL証明書を取得・設定する必要があります。
- 証明書種別:OV(Organization Validation)またはEV(Extended Validation)
- 申請手順例:Let's Encrypt → 申請 → ドメイン検証 → 証明書取得
SSL設定時の注意点
- 証明書の有効期限は90日以内に更新が必要
- Microsoft Entra ID側で証明書をアップロードし、DNSレコードを一致させる
ドメインDNSレコードのAWS Route 53設定
カスタムドメインを統合するには、DNSレコードをAWS Route 53に設定します。以下が主要な設定手順です。
- AWSコンソール > 「Route 53」を選択
- ドメイン名を選び、「DNSレコードの追加」をクリック
- Microsoft Entra IDから提供されたCNAMEやTXTレコードを入力
トラブルシューティング例
- エラー:ドメイン検証失敗
- DNSレコードが正しく反映されていない可能性 → AWS側で再度確認する
ユーザー属性マッピングとテスト環境構築
Entra IDのユーザー属性とSaaSアプリケーションとのマッピング設定は、SSOの動作に直接関与します。以下では実業務での事例も交えながら解説します。
Entra ID属性とSaaSアプリケーションの変数マッピング
Entra IDには「userPrincipalName」「mail」などの標準属性が存在し、これらをSaaSアプリにマッピングします。
- Salesforceの場合:
upn(= userPrincipalName) →Username - ServiceNowの場合:
mail→Email Address
マッピングミスの事例
- 過去の実務で、
upnをemailと誤って設定し、一部ユーザーがログインできなくなったケースがありました。
テストユーザー作成時のRoleベース認証設定
テスト環境構築では、Role(役割)に応じたアクセス制限を設定します。
- 管理者ロール:すべての機能を操作可能
- 一般ユーザーロール:限定された機能のみ利用可能
テストユーザー作成手順
- Azureポータル > 「ユーザー」タブに移動
- 「新規ユーザー」を作成し、適切なRoleを割り当て
MFAとの併用で発生するエラーケース事例
MFA(多要素認証)とSSOの併用で発生したエラーの一例として、以下のようなケースがあります。
- エラー:認証失敗(401 Unauthorized)
- MFAが無効な状態でSSOを試みると発生する可能性があります
対処法
- MFA設定を有効にしてから再度テストを行う
- ログイン履歴を確認し、認証プロトコルの流れを追跡する
オンプレADとのハイブリッド構成とトラブルシューティング
オンプレミスAD(Active Directory)とEntra IDの連携は、セキュリティと柔軟性を両立させるための重要なステップです。以下では具体的な設定手順とトラブルシューティング方法を解説します。
Azure AD Connectによる同期設定
オンプレADからEntra IDへのユーザー情報の同期には「Azure AD Connect」を使用します。
- 「Azure AD Connect」をダウンロードし、インストール
- インストール時に同期スケジュール(例:毎日午前8時)を設定
同期の注意点
- 同期対象のオブジェクトは「User」に限定する
- パスワード同期も含め、必要に応じて設定
Hybrid Authentication Modeの切り替え手順
混合認証モード(Hybrid Authentication)を有効にするには、以下の手順が推奨されます。
- Azureポータル > 「IDプロバイダー」タブを選択
- 「混合認証」オプションをアクティブ化し、設定を保存
切り替え時のトラブルシューティング
- エラー:Azure ADとActive Directory Domain Services(AD DS)の同期失敗
- タイムゾーンが一致していない可能性 → Windowsサーバー側で時間を確認
ログファイルの解析ツール導入例
SSO動作確認後のログ監視には、以下のようなツールが利用可能です。
- Azure Monitor Logs:Entra IDのイベントをリアルタイムで収集・分析
- Microsoft Sentinel:セキュリティイベントの検出と対応自動化
導入時のポイント
- ログの保存期間を30日以上設定し、過去の調査にも対応する
- ログファイルにアクセス権を持つユーザーを限定管理する