AzureADの設定(組織向け)

本機能は実証実験として提供しております。ご利用を希望される場合は、以下のフォームよりお問い合わせください。
お問い合わせフォーム

 

機能概要

oviceアカウントへのログインにAzureAD SAML2.0認証を利用する設定を行います。認証すると、ユーザーは組織に属する全てのスペースへ、メンバー権限としてアクセスします。

 

事前準備

1. 設定に必要な権限があることを確認

  • AzureADの「アプリケーション管理者」ロールの割り当て
  • oviceの組織オーナーまたはパーミッションユニットを割り当てられたグループ

2. スペースヘッダーの三本マークをクリックし、「組織」タブを選択
組織タブは組織オーナーのみアクセス可能です。

メインメニュー>組織タブ.png

3. 組織の設定→「外部サービス連携」をクリック

4. 「Azure AD SAML」アプリをクリック

Screenshot 2023-10-10 at 11.48.42 AM.png

5. Microsoft Entra ID 識別子、ログインURL、ログアウトURL、証明書(Base64)にそれぞれ「.」(または適当な文字列)を入力

Screenshot 2023-10-10 at 10.21.14 AM.png

※これらは後ほど正しい入力値を設定します。

9. 「保存」をクリック

10. 「Azure AD SAML」アプリをクリックし再度開く

この状態で、oviceの設定画面を閉じないでください。

 

AzureADの設定

1. https://portal.azure.com/#homeへアクセス

2. 「Microsoft Entra ID」をクリック

Screenshot 2023-10-06 at 7.58.52 AM.png

3. 「エンタープライズアプリケーション」をクリック

4. 「新しいアプリケーション」をクリック

Screenshot_2023-03-24_at_2.31.53_PM.png

5. 「独自のアプリケーションを作成」をクリック

Screenshot_2023-03-24_at_2.32.38_PM.png

6. 「お使いのアプリの名前はなんですか?」に対し任意の名前を入力し、「作成」をクリック

※本画面でのその他の選択項目は変更する必要はありません。

7. サイドメニューの「シングルサインオンの設定」→「SAML」をクリック

8. 基本的なSAML構成の「編集」をクリック

Screenshot_2023-03-24_at_2.36.19_PM.png

9. 「識別子の追加」「応答URLの追加」をクリックし、それぞれ入力エリアを表示させる

10. 事前準備で用意したovice画面に表示されている項目をAzureAD側へコピー&ペースト

ovice設定画面(コピー元) AzureAD設定画面(ペースト先)
識別子 識別子(エンティティID)
応答URL 応答URL(Assertion Consumer Service URL)
サインオンURL サインオンURL(省略可能)

 

Screenshot 2023-10-10 at 10.27.20 AM.png

※上記画像は左がovice設定画面、右がAzureAD設定画面です。

11. 「保存」をクリックし、基本的なSAML構成を✕ボタンで閉じる

Screenshot_2023-03-24_at_2.52.57_PM.png

12. 属性とクレームの「編集」をクリック

Screenshot 2023-10-06 at 8.29.58 AM.png

13. 既存クレームの修正

「追加の要求」内の以下2項目をクリックし、変更箇所を反映の上「保存」してください。

変更するクレームの値 変更箇所
user.mail 名前を「mail」へ変更
user.userprincipalname ソース属性を「user.displayname」へ変更
※前後にダブルクオテーションは入りません。

 

14. 新規クレームの追加

「新しいクレームの追加」をクリックし、以下2項目を登録の上「保存」してください。

Screenshot 2023-10-06 at 8.40.39 AM.png

名前 名前空間 ソース属性
department http://schemas.xmlsoap.org/ws/2005/05/identity/claims user.department
jobtitle http://schemas.xmlsoap.org/ws/2005/05/identity/claims user.jobtitle

※ソース属性の前後にダブルクオテーションは入りません。

15. 属性とクレームを✕ボタンで閉じる

16. サイドメニューの「ユーザーとグループ」→「ユーザーまたはグループの追加」をクリック

Screenshot_2023-03-24_at_3.32.13_PM.png

17. ユーザーの「選択されていません」をクリック

18. 任意のユーザーを選択し「選択」をクリック

19. 「割り当て」をクリック

Screenshot_2023-03-24_at_3.36.18_PM.png

20. サイドメニューの「シングルサインオン」→ 証明書(Base64)の「ダウンロード」をクリック

Screenshot_2023-03-24_at_2.57.43_PM.png

21. 「〇〇(任意の名前)のセットアップ」という項目を確認

Screenshot 2023-10-06 at 8.13.52 AM.png

この状態で、AzureADの設定画面を閉じないでください。

 

oviceの設定

1. AzureADの設定のステップ21の項目をovice側の設定画面へコピー&ペースト

AzureAD設定画面(コピー元) ovice設定画面(ペースト先)
ログインURL ログインURL
Microsoft Entra ID 識別子 Microsoft Entra ID 識別子
ログアウトURL ログアウトURL

 

Screenshot 2023-10-10 at 10.31.46 AM.png

※上記画像は左がAzureAD設定画面、右がovice設定画面です。

3. AzureADの設定のステップ20でダウンロードした証明書をパソコンのテキストエディタアプリで開く

※Macの場合、証明書ファイルを右クリックし「その他のアプリケーションで開く」から「テキストエディット」アプリで開いてください。

4. 全てコピーし、証明書(Base64)にペースト

※"-----BEGIN CERTIFICATE-----"、"-----END CERTIFICATE-----"も含めてください。

5. 「保存」をクリック

 

AzureAD(組織)を利用したログイン

以下を参照しログインしてください。
AzureAD(組織)を利用したログイン

 

AzureAD(組織)を利用したログインに失敗する場合

以下の内容を確認してください。

  • SAML認証でログインすると500エラーが表示される
  • 作成したアプリの各項目(アサーション情報等)が正しく設定されていることを確認してください。
  • ユーザーとグループの設定に、ユーザーが正しく割り当てられていることを確認してください。

 

Tips

  • 組織に属する各スペースのアクセス許可設定とブロックリスト設定が優先されます。
    アクセス許可
    ブロックリスト
  • AzureAD(組織)認証した際に、oviceアカウントが新規作成された場合、Microsoftアカウントの表示名、部署、役職がoviceのアカウント情報に自動反映されます。
  • 既にoviceのスペースへアクセスしアカウント情報を変更した場合は、AzureAD認証時にMicrosoftアカウントの情報はoviceへ反映されません。
  • AzureADの設定画面が表示されない場合、画面の強制リフレッシュをお試しください。
    強制リフレッシュの方法

このセクションの記事

もっと見る