Microsoft Entra ID側の設定
①Microsoft Entra IDを開く
こちらからMicrosoft Azureにログインし、「Microsoft Entra ID」をクリックします。
「Microsoft Entra ID」を開いたら左メニューの「エンタープライズ アプリケーション」に遷移し、「+新しいアプリケーション」をクリックしてください。
②カオナビのアプリケーションを選択する
「アプリケーションを検索」とある検索窓で「カオナビ」と入力し、一覧からカオナビ を選択します。
選択したら「作成」をクリックしてください。
③ユーザーまたはグループを追加する
「1. ユーザーとグループの割り当て」内の「ユーザーとグループの割り当て」をクリックします。
次に「+ユーザーまたはグループの追加」をクリックします。
④テストユーザーを選択する
ユーザーとグループ下の「選択されていません」をクリックし、右から出てきたリストからMicrosoft Entra ID でログインを許可するユーザー(この作業におけるテストユーザー)を検索して選択してください。
ユーザー欄に「選択済み」と表示されたら、下の「選択」をクリックします。
画面が切り替わったら、左下の「割り当て」をクリックします。
元の画面に戻るので、ユーザーが追加されていることを確認してください。
⑤メールアドレスが設定されている属性値を控える
④で確認したユーザー名をクリックし、ユーザーのプロファイルを開きます。
メールアドレスが設定されている属性値(今回の例では「ユーザープリンシパル名」)を確認して、この属性値を控えておいてください。
控えたら右上の「x」ボタンで画面を閉じてください。
⑥「シングルサインオン設定」を開く
左メニューの概要から元の画面に戻り「2. シングルサインオンの設定」の「作業の開始」をクリックしてください。
シングルサインオン方式は「SAML」を選択してください。
⑦「ログイン URL」「Microsoft Entra 識別子」の値を控える
「カオナビ のセットアップ」にある「ログイン URL」「Microsoft Entra 識別子」の値を控えてください。
カオナビ側の設定
①シングルサインオン管理を開く
カオナビにログインして、管理者機能から「シングルサインオン管理」を開き、「新しい設定を追加する」をクリックします。
②Idp名称などを登録する
IdP名称に任意の名称を設定して、Microsoft Entra ID側の設定の⑦で控えた値を以下を参考に転記してください。
| 項目名称 | 設定内容 |
|---|---|
| IdP名称 | 任意の名称 |
| タイプ | SAML |
| メール内のURLをSSO対応にする | 任意 |
| 転記先のカオナビの設定項目名称 | 転記元のMicrosoft Entra IDの項目名称 |
|---|---|
| Entity | Microsoft Entra 識別子 |
| SSO URL | ログインURL |
| DirectLoginURL | 空欄 |
| メールアドレス送付パラメータ | 空欄 ※後ほど設定 |
| x509cert | 空欄 ※後ほど設定 |
| RequestedAuthnContextの送付設定 | 送付しない |
③保存する
保存をするとMicrosoft Entra ID 側に入力する値が表示されるので、下記をコピーしメモ帳などに控えてください。
- Entity
- ACS URL
Microsoft Entra ID側への設定反映
①シングルサインオンの設定画面を開く
Microsoft Entra IDに戻り、エンタープライズ アプリケーションから先程作成したカオナビアプリをクリックしてください。
「2. シングルサインオンの設定」の「作業の開始」をクリックし、「SAML」を選択してください。
②基本的なSAML構成を編集する
「①基本的な SAML 構成」内の「編集」をクリックしてください。
カオナビ側の設定の②で控えた値を以下を参考に転記してください。
| 転記元のカオナビの設定項目名称 | 転記先のMicrosoft Entra IDの項目名称 |
|---|---|
| Entity | 識別子 (エンティティ ID) ※「識別子の追加」から入力してください |
| ACS URL | 応答URL(Assertion Consumer Service URL) ※「応答URLの追加」から入力してください |
| DirectLoginURL | サインオン URL ※この時点ではカオナビには表示されていないので、「ACS URL」を転記したのち、末尾の “/acs” を “/login_saml” に書き換えてください。 |
入力が完了したら上部の「保存」をクリックしてください。
③属性とクレームを編集する
「②属性とクレーム」の編集をクリックし、「+新しいクレームの追加」から以下の内容を登録してください。
| 項目名 | 設定内容 |
|---|---|
| 名前 | |
| 名前空間 | 空欄 |
| ソース | 属性 |
| ソース属性 | Microsoft Entra ID側の設定の⑤で確認した属性値に近しいもの |
登録が完了したら「保存」をクリックしてください。
④設定内容を確認する
「追加の要求」に③で設定した内容が反映されていることを確認し、右上のxボタンで閉じてください。
⑤証明書 (Base64)をダウンロードする
左メニューの概要から「2. シングルサインオンの設定」内の「作業の開始」を選択してください。
「③SAML 署名証明書」で、「証明書 (Base64)」をダウンロードしてください。
カオナビ側への設定の反映
①シングルサインオン設定を『編集』する
カオナビの管理者機能から「シングルサインオン管理」を開き『編集』を選択して以下の箇所だけ設定変更を行い保存してください。
| 項目名称 | 値 |
|---|---|
| メールアドレス送付パラメータ | 「Microsoft Entra ID側への設定反映」の③で設定したユーザー属性の名前(今回の例だと”Email”) |
| x509cert | ダウンロードした証明書 ※テキストで開いてBEGINとENDの行を削除した内容を貼り付けてください。 |
②ログインの確認
②『Login Page』のURLからログインできることを確認してください。
以上で設定は完了です。
アプリでのシングルサインオン利用
Microsoft Entra ID にて、カオナビアプリ > セキュリティ > 条件付きアクセス ポリシーから、アクセス制御を「デバイスは準拠しているとしてマーク済みである必要があります」と設定している場合、アプリではシングルサインオンがご利用いただけません。
