AzureでのSSO(シングルサインオン)の設定

エンタープライズプランの機能の1つとして、SAML2.0シングルサインオン(SSO)の機能がご利用いただけます。SSOを設定すると、お使いの ID プロバイダ (IdP) 経由でJootoにアクセスすることが可能になります。こちらでSSOの設定方法について説明いたします。今回はMicrosoft社が提供するMicrosoft Azure(アジュール)を利用します。   Microsoft Azureを使ってJootoにシングル サインオンでログインするために、事前に以下の準備をお願いいたします。
  1. Microsoftアカウントを用意する
  2. Azureの管理用ポータルサイトへサインインする
  3. Jootoのアカウントを取得しておく
  4. アカウントのメールアドレスは対象ドメインであることを確認
  5. JootoでSSOを設定する場合、エンタープライズプランである必要があります。
 

■ JootoでSSOを設定するために情報を表示する

1.SSOの設定を開く

Jootoの組織の設定画面にて、SSOの項目がありますので[設定]をクリックします。

2.SAML IdPを選択する

それからはMicrosoft Azureでの設定画面です。まずはドメイン名を入力してください。(例:test@prtimes.co.jpの場合ですとprtimes.co.jpになります。)※なお、SSOでは設定したドメイン以外のユーザは組織の中に存在することができません。 入力が完了したら[次へ]をクリックします。するとIdP側の設定という画面が出てきますのでこの情報をAzureのほうに入力していきます。一旦こちらを開いたままで、Azureの管理コンソールを開きます。  

■Microsoft Azureの設定

3. Azure側のセットアップ:アプリを新規登録

Microsoft Azureの管理コンソールをクリックし、Azure Active Directryと書いてあるボタンをクリックします。   続けて、左側の「エンタープライズ アプリケーション」をクリックします。     エンタープライズアプリケーション>ギャラリー以外のアプリケーション を選びます。 独自のアプリケーションというページが出てきますので、「名前」の項目にお好きな名称を入力し、アプリケーションを設定していきます。今回は「Jooto new」という名前で設定しました。   上の画面で[追加]ボタンを押すと以下の画面が出てきます。まずは、「2. シングル サインオンの設定」をします。       シングル サインオン方式の選択としてはSAMLを選択します。ここからセットアップを開始していきます。  

4. Azure側のセットアップ:SAMLベースのシングルサインオンのセットアップ

編集するのは2つのエリアです。ここにJootoの画面に出てきた情報をコピーアンドペーストしていきます。下記で詳しく書いていきます。  

【編集①】基本的なSAML構成

Jootoでは英語で書いてあるのですが、以下のように3カ所をコピーアンドペーストします。 ・識別子(エンティティID) = Entity ID ・応答URL = Reply URL ・リレー状態 = Relay state   続いて、こちらです。  

【編集②】ユーザー属性とクレーム

こちらもJootoにあるように入力していきます。最終的には以下のような画面になるようにします。 名前 = Name 名前空間 → 削除します ソース属性 = Value     問題なく行えた場合、下の方にある「フェデレーションメタデータXML」をダウンロードします。こちらはPC上にダウンロードされます。     ダウンロードしておいたファイルはXMLという拡張子です。もしこのファイルを開くアプリをお持ちでない場合は、このファイルを検索バードラッグ&ドロップすると開くことができます。別タブを開いて行ってください。     そこで表示されたタグを全てコピーし、Jootoページで[次へ]を押して、このエリアに上記の情報をコピーアンドペーストします。 ペーストしたら[完了]をクリック。     こちらが無事に認証されると、Jootoのページに戻り、以下のような緑色の表示が出てきます。これでAzureとJootoの接続は完了しました。ここで「SSOを開始します」をクリックすると、SSOを開始するかどうかの確認画面が出てきます。 今回はこのままAzureの管理コンソールに戻り、メンバーを追加します。  

■Microsoft Azureでメンバーを設定する

5. Azure側のセットアップ:ユーザーとグループのセットアップ

今のままではJootoと接続した管理者のみがSSOが有効になっているため、SSOを開始したときに「ユーザーの追加」をおこなう必要があります。      

6. Jootoのページに戻って、SSOを開始するをクリック

再度、Jootoのページに戻り、上部に表示された SSOを開始するという文字をクリックします。それから以下のような確認項目を全てクリアしていくと、SSOが開始されます。条件は以下です。  
  1. 組織の管理者のメールアドレスが同じMicrosoft Azureと同じメールアドレスである
  2. 組織に所属するメンバーの全てが管理者と同じドメインである
  上記の条件が満たせていないと、[SSOの利用を開始]することはできません。   以上です。    

■SSOを停止する

SSOの利用を停止する場合は、組織の設定画面から[停止]をクリックします。次にアラートが表示されますので、よろしければ[SSOを停止]をクリックします。   SSOの停止が完了し、画面が遷移します。   再度接続し直したい場合や、SSOを編集する場合は、設定のリセットをしていただく必要がございます。 [SSOをリセット]をクリックし、再度設定を行ってください。    

■ 招待されたユーザーにエラーが出る場合の対処法

管理者がMicrosoft AzureとJootoを無事に接続し、Jootoの組織にメールで招待がありそのリンクを開いてこのようなエラーが出ることがあります。 この原因は、Microsoft Azure側の設定で「name」に人が入っていないことがあります。ですのでその場合はこちらに任意の名前を入れてください。   Jootoのアカウントを持っていないユーザーは管理者の招待により自動的にアカウントが作成されます。その際にMicrosoft Azureで設定した名前が「ディスプレイ名」として設定されます。   なお、組織をSSOで管理する場合、ユーザーは一つの組織にのみ所属することができます。これは管理者も同様です。   以上となります。