SSOでログインするためのMicrosoft Entra ID（旧：Azure Active Directory）をセットアップしてみよう

• 事前準備

  (1) HULFT Squareでグループを作成する

  (2) ユーザーに電子メールアドレスを設定する

• SSOの設定

  (1) [Microsoft Azure Portal]のアプリケーションを起動する

  (2) [HULFTSquare]のアプリケーションを作成する

  (3) (2)で作成したアプリケーションにSAMLによるシングルサインオンを設定する

• グループの自動割り当て

  (1) HULFT Square上でグループを割り当てるためのMicrosoft Entra IDグループを作成する

  (2) グループを割り当てる

(1)HULFT Squareでグループを作成する

HULFT Squareの > ユーザー管理 > グループで、「HULFT_Square_Users」 という名前のグループを作成します。

このグループには、すべてのユーザーが持つべき最小限のポリシーが割り当てられます。

グループの作成方法については、「グループを作成する」を参照してください。

(2)ユーザーに電子メールアドレスを設定する

お客様環境のMicrosoft Entra IDに「HULFT_Square_Users」というセキュリティグループを作成します。

Microsoft Entra IDの設定では、ユーザーの電子メールアドレスがIDとして使用されます。

各ユーザーのプロパティ設定画面でメールアドレスを設定してください。

(1)[Microsoft Azure Portal]のアプリケーションを起動する

WebブラウザーからMicrosoft Azure Portalを起動します。Microsoft Entra IDの管理者ロールが割り当たったアカウントでサインインします。

1. Azure ポータル メニューから、Microsoft Entra IDを選択します。

   

(2)[HULFTSquare]のアプリケーションを作成する

1. エンタープライズ アプリケーションを選択します。

   

2. 新しいアプリケーションを選択します。

   

3. Microsoft Entra IDギャラリーの参照メニューの上部にある独自のアプリケーションの作成を選択します。

   

4. 独自のアプリケーションの作成ページで、お使いのアプリの名前は何ですか？にHULFTSquareと入力します。

   

5. アプリケーションでどのような操作を行いたいですか？の選択肢で、ギャラリーに見つからないその他のアプリケーションを統合します（ギャラリー以外）を選択します。

   

6. 作成を選択します。

(3)(2)で作成したアプリケーションにSAMLによるシングルサインオンを設定する

1. Azure ポータル メニューで、シングル サインオンを選択します。

   = 備考 =

   概要 > Getting Startedから、2.シングルサインオンの設定にある作業の開始を選択しても遷移できます。

   

2. SAMLを選択します。

   

3. SAMLによるシングル サインオンのセットアップページで、基本的なSAML構成の編集を選択します。

   

4. 基本的なSAML構成セクションで、以下の項目を設定します。

   項目名	設定内容
   識別子の追加	urn:amazon:cognito:sp:ap-northeast-1_rm58xTR9E
   応答URLの追加	https://app-square-hulft-com.auth.ap-northeast-1.amazoncognito.com/saml2/idpresponse
   インデックス	0

   

5. 保存を選択します。

   

6. 右上にあるを選択し、基本的なSAML構成ページを閉じます。

   Microsoft Entra ID上のグループをHULFT Squareのグループにマッピングしない場合、以上でMicrosoft Entra IDの設定は完了です。

   = 備考 =

   エンタープライズアプリケーションにグループの割り当てを行わない場合、SSO経由でユーザーが追加されたときにHULFT Square上でどのグループにも属していないユーザーとなります。そのため、管理者が手動で適切なグループを割り当ててください。

   エンタープライズアプリケーションをグループに割り当てるためには、Microsoft Entra ID上でEnterprise Mobility + Security E5を有効化する必要があります。

   マッピングを行う場合、引き続き以下の手順を実施してください。

7. SAMLによるシングル サインオンのセットアップページで、属性とクレームの編集を選択します。

   

8. 必要な要求のクレーム名にある、一意のユーザー識別子（名前 ID）を選択します。

   

9. ソース属性の設定値が「user.mail」ではない場合、「user.mail」に変更して保存を選択します。

   

10. グループ要求を追加するを選択します。

    

11. グループ クレームセクションのクレームで返される必要があるのは、ユーザーに関連づけられているどのグループですか？で、アプリケーションに割り当てられているグループを選択します。

    

12. ソース属性で、クラウド専用グループの表示名を選択します。

    

13. 詳細オプションを開き、グループ要求の名前をカスタマイズするを選択し、以下の内容を入力します。

    項目名	設定内容
    名前	Group
    名前空間	http://schemas.xmlsoap.org/claims

    

14. 保存を選択します。

15. 右上にあるを選択し、属性とクレームセクションを閉じます。

16. 属性とクレームセクションに以下の内容が追加されていることを確認します。

    属性	クレーム
    グループ	user.groups

(1)HULFT Square上でグループを割り当てるためのMicrosoft Entra IDグループを作成する

1. Azure ポータル メニューから、Microsoft Entra IDを選択します。

   

2. Microsoft Entra IDメニューから、グループを選択します。

   

3. 新しいグループを選択します。

4. グループ名にHULFT_Square_Usersを設定します。

   

5. 以下の設定を確認し、作成を選択します。

   

(2)グループを割り当てる

1. エンタープライズアプリケーションから、HULFTSquareを選択し、ユーザーとグループを選択します。

2. ユーザーまたはグループの追加を選択します。

   

3. 割り当ての追加ページで、ユーザーとグループの選択されていませんを選択します。

   

4. HULFT_Square_Usersのチェックボックスにチェックをつけ、選択を選択します。

   

5. 割り当てを選択します。

   ただし割り当てることができるグループの数は1つです。HULFT Square 上でも、同名のグループを作成しておく必要があります。

   

6. アプリケーションのロールにグループが割り当てられたことを確認します。