AzureでのSSO(シングルサインオン)の設定

エンタープライズプランの機能の1つとして、SAML2.0シングルサインオン(SSO)の機能がご利用いただけます。
SSOを設定すると、お使いの ID プロバイダ (IdP) 経由でJootoにアクセスすることが可能になります。
こちらでSSOの設定方法について説明いたします。今回はMicrosoft社が提供するMicrosoft Azure(アジュール)を利用します。

Microsoft Azureを使ってJootoにシングル サインオンでログインするために、事前に以下の準備をお願いいたします。
 ・Microsoftアカウントを用意する
 ・Azureの管理用ポータルサイトへサインインする
 ・Jootoのアカウントを取得しておく
 ・アカウントのメールアドレスは対象ドメインであることを確認
 ・JootoでSSOを設定する場合、エンタープライズプランである必要があります。

■ JootoでSSOを設定するために情報を表示する

1. SSOの設定を開く

Jootoの組織の設定画面にて、SSOの項目がありますので[ 設定 ]をクリックします。

2. SAML IdPを選択する

それからはMicrosoft Azureでの設定画面です。まずはドメイン名を入力してください。(例:test@prtimes.co.jpの場合ですとprtimes.co.jpになります。)
※なお、SSOでは設定したドメイン以外のユーザは組織の中に存在することができません。

入力が完了したら[ 次へ ]をクリックします。するとIdP側の設定という画面が出てきますのでこの情報をAzureのほうに入力していきます。
一旦こちらを開いたままで、Azureの管理コンソールを開きます。

■Microsoft Azureの設定

3. Azure側のセットアップ:アプリを新規登録

Microsoft Azureの管理コンソールをクリックし、Azure Active Directryと書いてあるボタンをクリックします。

続けて、左側のエンタープライズ アプリケーションをクリックします。

エンタープライズアプリケーション>ギャラリー以外のアプリケーションを選びます。

独自のアプリケーションというページが出てきますので、「名前」の項目にお好きな名称を入力し、アプリケーションを設定していきます。
今回は「Jooto new」という名前で設定しました。

上の画面で[追加]ボタンを押すと以下の画面が出てきます。まずは、「2. シングル サインオンの設定」をします。

シングル サインオン方式の選択としてはSAMLを選択します。ここからセットアップを開始していきます。

4. Azure側のセットアップ:SAMLベースのシングルサインオンのセットアップ

編集するのは2つのエリアです。ここにJootoの画面に出てきた情報をコピーアンドペーストしていきます。下記で詳しく書いていきます。

【 編集① 】基本的なSAML構成

Jootoでは英語で書いてあるのですが、以下のように3カ所をコピーアンドペーストします。
 ・識別子(エンティティID) = Entity ID
 ・応答URL = Reply URL
 ・リレー状態 = Relay state

続いて、こちらです。

【 編集② 】ユーザー属性とクレーム

こちらもJootoにあるように入力していきます。最終的には以下のような画面になるようにします。
 ・名前 = Name
 ・名前空間 → 削除します
 ・ソース属性 = Value

問題なく行えた場合、下の方にある「フェデレーションメタデータXML」をダウンロードします。こちらはPC上にダウンロードされます。

ダウンロードしておいたファイルはXMLという拡張子です。
もしこのファイルを開くアプリをお持ちでない場合は、このファイルを検索バードラッグ&ドロップすると開くことができます。
別タブを開いて行ってください。

そこで表示されたタグを全てコピーし、Jootoページで[次へ]を押して、このエリアに上記の情報をコピーアンドペーストします。
ペーストしたら[ 完了 ]をクリック。

こちらが無事に認証されると、Jootoのページに戻り、以下のような緑色の表示が出てきます。これでAzureとJootoの接続は完了しました。
ここで「SSOを開始します」をクリックすると、SSOを開始するかどうかの確認画面が出てきます。

今回はこのままAzureの管理コンソールに戻り、メンバーを追加します。

■Microsoft Azureでメンバーを設定する

5. Azure側のセットアップ:ユーザーとグループのセットアップ

今のままではJootoと接続した管理者のみがSSOが有効になっているため、SSOを開始したときに「ユーザーの追加」をおこなう必要があります。

6. Jootoのページに戻って、SSOを開始するをクリック

再度、Jootoのページに戻り、上部に表示されたSSOを開始するという文字をクリックします。
それから以下のような確認項目を全てクリアしていくと、SSOが開始されます。条件は以下です。

 ・組織の管理者のメールアドレスが同じMicrosoft Azureと同じメールアドレスである
 ・組織に所属するメンバーの全てが管理者と同じドメインである

上記の条件が満たせていないと、[ SSOの利用を開始 ]することはできません。

以上です。

■SSOを停止する

SSOの利用を停止する場合は、組織の設定画面から[ 停止 ]をクリックします。次にアラートが表示されますので、よろしければ[ SSOを停止 ]をクリックします。

SSOの停止が完了し、画面が遷移します。

再度接続し直したい場合や、SSOを編集する場合は、設定のリセットをしていただく必要がございます。
[ SSOをリセット ]をクリックし、再度設定を行ってください。

■ 招待されたユーザーにエラーが出る場合の対処法

管理者がMicrosoft AzureとJootoを無事に接続し、Jootoの組織にメールで招待がありそのリンクを開いてこのようなエラーが出ることがあります。

この原因は、Microsoft Azure側の設定で「name」に人が入っていないことがあります。ですのでその場合はこちらに任意の名前を入れてください。

Jootoのアカウントを持っていないユーザーは管理者の招待により自動的にアカウントが作成されます。
その際にMicrosoft Azureで設定した名前が「ディスプレイ名」として設定されます。

なお、組織をSSOで管理する場合、ユーザーは一つの組織にのみ所属することができます。これは管理者も同様です。

以上となります。