カテゴリー

Microsoft Entra ID(旧:Azure AD)をご利用の場合

管理者機能 > その他 > シングルサインオン管理 > Microsoft Entra ID(旧:Azure AD)

Microsoft Entra ID側の設定

①Microsoft Entra IDを開く

こちらからMicrosoft Azureにログインし、「Microsoft Entra ID」をクリックします。

「Microsoft Entra ID」を開いたら左メニューの「エンタープライズ アプリケーション」に遷移し、「+新しいアプリケーション」をクリックしてください。

②カオナビのアプリケーションを選択する

「アプリケーションを検索」とある検索窓で「カオナビ」と入力し、一覧からカオナビ を選択します。
選択したら「作成」をクリックしてください。

③ユーザーまたはグループを追加する

「1. ユーザーとグループの割り当て」内の「ユーザーとグループの割り当て」をクリックします。

次に「+ユーザーまたはグループの追加」をクリックします。

④テストユーザーを選択する

ユーザーとグループ下の「選択されていません」をクリックし、右から出てきたリストからMicrosoft Entra ID でログインを許可するユーザー(この作業におけるテストユーザー)を検索して選択してください。

ユーザー欄に「選択済み」と表示されたら、下の「選択」をクリックします。
画面が切り替わったら、左下の「割り当て」をクリックします。

元の画面に戻るので、ユーザーが追加されていることを確認してください。

⑤メールアドレスが設定されている属性値を控える

④で確認したユーザー名をクリックし、ユーザーのプロファイルを開きます。
メールアドレスが設定されている属性値(今回の例では「ユーザープリンシパル名」)を確認して、この属性値を控えておいてください。
控えたら右上の「x」ボタンで画面を閉じてください。

⑥「シングルサインオン設定」を開く

左メニューの概要から元の画面に戻り「2. シングルサインオンの設定」の「作業の開始」をクリックしてください。

シングルサインオン方式は「SAML」を選択してください。

⑦「ログイン URL」「Microsoft Entra 識別子」の値を控える

「カオナビ のセットアップ」にある「ログイン URL」「Microsoft Entra 識別子」の値を控えてください。

カオナビ側の設定

①シングルサインオン管理を開く

カオナビにログインして、管理者機能から「シングルサインオン管理」を開き、「新しい設定を追加する」をクリックします。

②Idp名称などを登録する

IdP名称に任意の名称を設定して、Microsoft Entra ID側の設定の⑦で控えた値を以下を参考に転記してください。

項目名称 設定内容
IdP名称 任意の名称
タイプ SAML
メール内のURLをSSO対応にする 任意
転記先のカオナビの設定項目名称 転記元のMicrosoft Entra IDの項目名称
Entity Microsoft Entra 識別子
SSO URL ログインURL
DirectLoginURL 空欄
メールアドレス送付パラメータ 空欄 ※後ほど設定
x509cert 空欄 ※後ほど設定
RequestedAuthnContextの送付設定 送付しない

③保存する

保存をするとMicrosoft Entra ID 側に入力する値が表示されるので、下記をコピーしメモ帳などに控えてください。

  • Entity
  • ACS URL

Microsoft Entra ID側への設定反映

①シングルサインオンの設定画面を開く

Microsoft Entra IDに戻り、エンタープライズ アプリケーションから先程作成したカオナビアプリをクリックしてください。
「2. シングルサインオンの設定」の「作業の開始」をクリックし、「SAML」を選択してください。

②基本的なSAML構成を編集する

「①基本的な SAML 構成」内の「編集」をクリックしてください。
カオナビ側の設定の②で控えた値を以下を参考に転記してください。

転記元のカオナビの設定項目名称 転記先のMicrosoft Entra IDの項目名称
Entity 識別子 (エンティティ ID)
※「識別子の追加」から入力してください
ACS URL 応答URL(Assertion Consumer Service URL)
※「応答URLの追加」から入力してください
DirectLoginURL サインオン URL
※この時点ではカオナビには表示されていないので、「ACS URL」を転記したのち、末尾の “/acs” を “/login_saml” に書き換えてください。

入力が完了したら上部の「保存」をクリックしてください。

③属性とクレームを編集する

「②属性とクレーム」の編集をクリックし、「+新しいクレームの追加」から以下の内容を登録してください。

項目名 設定内容
名前 Email
名前空間 空欄
ソース 属性
ソース属性 Microsoft Entra ID側の設定の⑤で確認した属性値に近しいもの

登録が完了したら「保存」をクリックしてください。

④設定内容を確認する

「追加の要求」に③で設定した内容が反映されていることを確認し、右上のxボタンで閉じてください。

⑤証明書 (Base64)をダウンロードする

左メニューの概要から「2. シングルサインオンの設定」内の「作業の開始」を選択してください。

「③SAML 署名証明書」で、「証明書 (Base64)」をダウンロードしてください。

カオナビ側への設定の反映

①シングルサインオン設定を『編集』する

カオナビの管理者機能から「シングルサインオン管理」を開き『編集』を選択して以下の箇所だけ設定変更を行い保存してください。

項目名称
メールアドレス送付パラメータ 「Microsoft Entra ID側への設定反映」の③で設定したユーザー属性の名前(今回の例だと”Email”)
x509cert ダウンロードした証明書
※テキストで開いてBEGINとENDの行を削除した内容を貼り付けてください。

②ログインの確認

②『Login Page』のURLからログインできることを確認してください。
以上で設定は完了です。

アプリでのシングルサインオン利用

Microsoft Entra ID にて、カオナビアプリ > セキュリティ > 条件付きアクセス ポリシーから、アクセス制御を「デバイスは準拠しているとしてマーク済みである必要があります」と設定している場合、アプリではシングルサインオンがご利用いただけません。