ホーム > PCブラウザ版ご利用ガイド > AzureでのSSO(シングルサインオン)の設定
8月 17

AzureでのSSO(シングルサインオン)の設定

エンタープライズプランの機能の1つとして、SAML2.0シングルサインオン(SSO)の機能がご利用いただけます。SSOを設定すると、お使いの ID プロバイダ (IdP) 経由でJootoにアクセスすることが可能になります。
こちらでSSOの設定方法について説明いたします。
今回はMicrosoft社が提供するMicrosoft Azure(アジュール)を利用します。

《 Microsoft Azureを使ってJootoにシングル サインオンでログインするために、事前に以下の準備を
お願いいたします。》

  • Microsoftアカウントを用意する
  • Azureの管理用ポータルサイトへサインインする
  • Jootoのアカウントを取得しておく
  • アカウントのメールアドレスは対象ドメインであることを確認
  • JootoでSSOを設定する場合、エンタープライズプランである必要があります。

JootoでSSOを設定するために情報を表示する

1. SSOの設定を開く

Jootoの組織の設定画面にて、SSOの項目がありますので設定をクリックします。

Jooto組織の設定画面

2. SAML IdPを選択する

それからはMicrosoft Azureでの設定画面です。まずはドメイン名を入力してください。(例:test@prtimes.co.jpの場合ですとprtimes.co.jpになります。)

※ なお、SSOでは設定したドメイン以外のユーザは組織の中に存在することができません。

入力が完了したら次へをクリックします。するとIdP側の設定という画面が出てきますのでこの情報をAzureのほうに入力していきます。一旦こちらを開いたままで、Azureの管理コンソールを開きます。

SSO設定

Microsoft Azureの設定

3. Azure側のセットアップ:アプリを新規登録

Microsoft Azureの管理コンソールをクリックし、Azure Active Directryと書いてあるボタンをクリックします。

Microsoft Azure管理コンソール画面

続けて、左側のエンタープライズ アプリケーションをクリックします。

Microsoft Azureエンタープライズアプリケーション画面

エンタープライズアプリケーション>ギャラリー以外のアプリケーションを選びます。

独自のアプリケーションというページが出てきますので、「名前」の項目にお好きな名称を入力し、アプリケーションを設定していきます。今回は「Jooto new」という名前で設定しました。

Microsoft Azureアプリケーション追加画面

上の画面で追加ボタンを押すと以下の画面が出てきます。まずは、「2. シングル サインオンの設定」をします。

Microsoft Azureシングルサインオン設定画面

シングル サインオン方式の選択としてはSAMLを選択します。ここからセットアップを開始していきます。

Microsoft Azure SAMLセットアップ画面

4. Azure側のセットアップ:SAMLベースのシングルサインオンのセットアップ

編集するのは2つのエリアです。ここにJootoの画面に出てきた情報をコピーアンドペーストしていきます。下記で詳しく書いていきます。

SAMLシングルサインオンセットアップ画面

《 編集① 基本的なSAML構成 》

Jootoでは英語で書いてあるのですが、以下のように3カ所をコピーアンドペーストします。

  • 識別子(エンティティID) = Entity ID
  • 応答URL = Reply URL
  • リレー状態 = Relay state
SSO設定SAML構成画面

《 編集② ユーザー属性とクレーム 》

こちらもJootoにあるように入力していきます。最終的には以下のような画面になるようにします。

  • 名前 = Name
  • 名前空間 → 削除します
  • ソース属性 = Value
Microsoft Azureユーザー属性とクレーム設定画面

問題なく行えた場合、下の方にある「フェデレーションメタデータXML」をダウンロードします。こちらはPC上にダウンロードされます。

フェデレーションメタデータXMLダウンロード画面

ダウンロードしておいたファイルはXMLという拡張子です。もしこのファイルを開くアプリをお持ちでない場合は、このファイルを検索バードラッグ&ドロップすると開くことができます。別タブを開いて行ってください。

フェデレーションメタデータXMLダウンロード画面

そこで表示されたタグを全てコピーし、Jootoページで次へを押して、このエリアに上記の情報をコピーアンドペーストします。ペーストしたら完了をクリック。

SAML ldpメタデータインポート画面

こちらが無事に認証されると、Jootoのページに戻り、以下のような緑色の表示が出てきます。これでAzureとJootoの接続は完了しました。
ここでSSOを開始しますをクリックすると、SSOを開始するかどうかの確認画面が出てきます。

今回はこのままAzureの管理コンソールに戻り、メンバーを追加します。

Azure管理コンソール画面

Microsoft Azureでメンバーを設定する

5. Azure側のセットアップ:ユーザーとグループのセットアップ

今のままではJootoと接続した管理者のみがSSOが有効になっているため、SSOを開始したときに「ユーザーの追加」をおこなう必要があります。

Microsoft Azureユーザーとグループ設定画面

6. Jootoのページに戻って、SSOを開始するをクリック

再度、Jootoのページに戻り、上部に表示されたSSOを開始するという文字をクリックします。
それから以下のような確認項目を全てクリアしていくと、SSOが開始されます。条件は以下です。

  • 組織の管理者のメールアドレスが同じMicrosoft Azureと同じメールアドレスである
  • 組織に所属するメンバーの全てが管理者と同じドメインである

上記の条件が満たせていないと、SSOの利用を開始することはできません。

Jooto SSO開始設定画面

SSOを停止する

SSOの利用を停止する場合は、組織の設定画面から停止をクリックします。次にアラートが表示されますので、よろしければSSOを停止をクリックします。

Jooto SSO停止画面
Jooto SSO停止確認画面

SSOの停止が完了し、画面が遷移します。

Jooto SSO停止完了画面

再度接続し直したい場合や、SSOを編集する場合は、設定のリセットをしていただく必要がございます。
SSOをリセットをクリックし、再度設定を行ってください。

Jooto SSOリセット設定画面

招待されたユーザーにエラーが出る場合の対処法

管理者がMicrosoft AzureとJootoを無事に接続し、Jootoの組織にメールで招待がありそのリンクを開いてこのようなエラーが出ることがあります。

Jooto SSOエラー画面

この原因は、Microsoft Azure側の設定で「name」に人が入っていないことがあります。ですのでその場合はこちらに任意の名前を入れてください。

Microsoft Azure設定画面

Jootoのアカウントを持っていないユーザーは管理者の招待により自動的にアカウントが作成されます。
その際にMicrosoft Azureで設定した名前が「ディスプレイ名」として設定されます。

なお、組織をSSOで管理する場合、ユーザーは一つの組織にのみ所属することができます。これは管理者も同様です。