本機能は実証実験として提供しております。ご利用を希望される場合は、以下のフォームよりお問い合わせください。
お問い合わせフォーム
機能概要
oviceアカウントへのログインにAzureAD SAML2.0認証を利用する設定を行います。認証すると、ユーザーは組織に属する全てのスペースへ、メンバー権限としてアクセスします。
事前準備
1. 設定に必要な権限があることを確認
- AzureADの「アプリケーション管理者」ロールの割り当て
- oviceの組織オーナーまたはパーミッションユニットを割り当てられたグループ
2. スペースヘッダーの三本マークをクリックし、「組織」タブを選択
組織タブは組織オーナーのみアクセス可能です。
3. 組織の設定→「外部サービス連携」をクリック
4. 「Azure AD SAML」アプリをクリック
5. Microsoft Entra ID 識別子、ログインURL、ログアウトURL、証明書(Base64)にそれぞれ「.」(または適当な文字列)を入力
※これらは後ほど正しい入力値を設定します。
9. 「保存」をクリック
10. 「Azure AD SAML」アプリをクリックし再度開く
この状態で、oviceの設定画面を閉じないでください。
AzureADの設定
1. https://portal.azure.com/#homeへアクセス
2. 「Microsoft Entra ID」をクリック
3. 「エンタープライズアプリケーション」をクリック
4. 「新しいアプリケーション」をクリック
5. 「独自のアプリケーションを作成」をクリック
6. 「お使いのアプリの名前はなんですか?」に対し任意の名前を入力し、「作成」をクリック
※本画面でのその他の選択項目は変更する必要はありません。
7. サイドメニューの「シングルサインオンの設定」→「SAML」をクリック
8. 基本的なSAML構成の「編集」をクリック
9. 「識別子の追加」「応答URLの追加」をクリックし、それぞれ入力エリアを表示させる
10. 事前準備で用意したovice画面に表示されている項目をAzureAD側へコピー&ペースト
ovice設定画面(コピー元) | AzureAD設定画面(ペースト先) |
---|---|
識別子 | 識別子(エンティティID) |
応答URL | 応答URL(Assertion Consumer Service URL) |
サインオンURL | サインオンURL(省略可能) |
※上記画像は左がovice設定画面、右がAzureAD設定画面です。
11. 「保存」をクリックし、基本的なSAML構成を✕ボタンで閉じる
12. 属性とクレームの「編集」をクリック
13. 既存クレームの修正
「追加の要求」内の以下2項目をクリックし、変更箇所を反映の上「保存」してください。
変更するクレームの値 | 変更箇所 |
---|---|
user.mail | 名前を「mail」へ変更 |
user.userprincipalname | ソース属性を「user.displayname」へ変更 ※前後にダブルクオテーションは入りません。 |
14. 新規クレームの追加
「新しいクレームの追加」をクリックし、以下2項目を登録の上「保存」してください。
名前 | 名前空間 | ソース属性 |
department | http://schemas.xmlsoap.org/ws/2005/05/identity/claims | user.department |
jobtitle | http://schemas.xmlsoap.org/ws/2005/05/identity/claims | user.jobtitle |
※ソース属性の前後にダブルクオテーションは入りません。
15. 属性とクレームを✕ボタンで閉じる
16. サイドメニューの「ユーザーとグループ」→「ユーザーまたはグループの追加」をクリック
17. ユーザーの「選択されていません」をクリック
18. 任意のユーザーを選択し「選択」をクリック
19. 「割り当て」をクリック
20. サイドメニューの「シングルサインオン」→ 証明書(Base64)の「ダウンロード」をクリック
21. 「〇〇(任意の名前)のセットアップ」という項目を確認
この状態で、AzureADの設定画面を閉じないでください。
oviceの設定
1. AzureADの設定のステップ21の項目をovice側の設定画面へコピー&ペースト
AzureAD設定画面(コピー元) | ovice設定画面(ペースト先) |
---|---|
ログインURL | ログインURL |
Microsoft Entra ID 識別子 | Microsoft Entra ID 識別子 |
ログアウトURL | ログアウトURL |
※上記画像は左がAzureAD設定画面、右がovice設定画面です。
3. AzureADの設定のステップ20でダウンロードした証明書をパソコンのテキストエディタアプリで開く
※Macの場合、証明書ファイルを右クリックし「その他のアプリケーションで開く」から「テキストエディット」アプリで開いてください。
4. 全てコピーし、証明書(Base64)にペースト
※"-----BEGIN CERTIFICATE-----"、"-----END CERTIFICATE-----"も含めてください。
5. 「保存」をクリック
AzureAD(組織)を利用したログイン
以下を参照しログインしてください。
AzureAD(組織)を利用したログイン
AzureAD(組織)を利用したログインに失敗する場合
以下の内容を確認してください。
- SAML認証でログインすると500エラーが表示される
- 作成したアプリの各項目(アサーション情報等)が正しく設定されていることを確認してください。
- ユーザーとグループの設定に、ユーザーが正しく割り当てられていることを確認してください。
Tips
- 組織に属する各スペースのアクセス許可設定とブロックリスト設定が優先されます。
アクセス許可
ブロックリスト - AzureAD(組織)認証した際に、oviceアカウントが新規作成された場合、Microsoftアカウントの表示名、部署、役職がoviceのアカウント情報に自動反映されます。
- 既にoviceのスペースへアクセスしアカウント情報を変更した場合は、AzureAD認証時にMicrosoftアカウントの情報はoviceへ反映されません。
- AzureADの設定画面が表示されない場合、画面の強制リフレッシュをお試しください。
強制リフレッシュの方法