カテゴリー内の他の記事

directとcybozu.comにAzure Active Directoryを介してシングルサインオン

はじめに

direct と cybozu.com を Azure Active Directory(以下、Azure AD)を介してシングルサインオン(SSO)する手順をご紹介します。

direct とは多くの現場で活用される、現場に強い国産ビジネスチャットです。
チャットボットを活用して現場業務の自動化・効率化を実現できます。
詳細はこちらのページをご覧ください。
https://direct4b.com/ja/

本手順を設定することで direct と cybozu.com それぞれにログインする作業が不要になり、利用者の利便性が高まります。
また、各サービスのパスワード管理が不要になり、セキュリティ向上やシステム担当者の業務負担軽減というメリットがあります。

 

構成とログインフロー

direct や cybozu.com にアクセスする(1)と Azure AD の認証画面が表示されます(2)。
Azure AD のアカウント名とパスワードを入力し、認証に成功すると direct や cybozu.com の画面が表示されます(3)。

概要図

 

お試し環境

いずれのサービスも無料のお試し期間がありますので是非お試しください。

 

注意事項

SSO には SAML を利用します。
cybozu.com には SAML を利用する場合の制限事項があります。詳細はこちらをご覧ください。
https://jp.cybozu.help/general/ja/admin/list_saml/saml_restriction.html

 

本手順で SSO する場合は3つのサービスでユーザーの以下の項目を一致させる必要があります。

  • direct
    メールアドレス
  • cybozu.com
    ログイン名
  • Azure AD
    ユーザー名(ユーザー プリンシパル名)

一致させるのが難しい場合は Azure AD の「属性とクレーム」設定の変更で対応できる場合があります。
こちらの設定については本手順の対象外となります。

 

設定には以下の権限が必要になります。

  • direct
    管理者
  • cybozu.com
    cybozu.com 共通管理者
  • Azure AD
    ユーザー管理者およびアプリケーション管理者以上の権限


設定手順

cybozu.com とAzure AD、direct と Azure AD の2つの設定が必要になります。

 

cybozu.com と Azure AD の設定

1. Azure AD にユーザーとグループを作成

Azure AD では SSO の対象をユーザーやグループに所属するユーザーなどの単位で管理できます。
本手順ではグループに所属するユーザーを対象とするため、ユーザーだけでなくグループも作成します。

Azure Portal にサインインします。
https://portal.azure.com/#home

 

Azure Active Directory の管理の「表示」をクリックします。

Azure AD Portal


「ユーザー」をクリックし、ユーザーを追加します。

Azure AD Portal User


各サービスで一致させる必要があるユーザー名は「sso-user1@sample.onmicrosoft.com」としました。

Azure AD Add User

 

「グループ」をクリックし、グループを追加します。

Azure AD Portal Group


本手順ではグループ名を「シングルサインオングループ」にしました。
先程追加したユーザーをグループに所属させます。

Azure AD Add Group

 

2. Azure AD にエンタープライズアプリケーション「cybozu.com」を追加

Azure AD に cybozu.com と連携できるアプリケーションを追加します。

「エンタープライズ アプリケーション」をクリックします。

Azure AD Portal App

 

「新しいアプリケーション」をクリックし、「kintone」で検索します。
利用サービスが Garoon や Cybozu Office、Mailwise でも kintone で検索してください。

検索結果の「Kintone」をクリックし、Azure Portal に kintone を追加します。
本手順では名前を「cybozu.com」に変更して追加しました。

kintone

 

3. cybozu.com に SSO するユーザーを設定

追加したアプリケーションの対象に「シングルサインオングループ」を設定します。
これにより「シングルサインオングループ」に所属するユーザーが cybozu.com に SSO できるようになります。


エンタープライズアプリケーションに追加した cybozu.com をクリックし、「ユーザーとグループの割り当て」をクリックします。

Azure AD App Permission

 

「ユーザーまたはグループの追加」をクリックし、「シングルサインオングループ」を選択します。

 

4. Azure AD の SAML 設定

エンタープライズアプリケーションに追加した「cybozu.com」をクリックし、「シングルサインオンの設定」の「作業の開始」をクリックします。

Azure AD App SSO


シングル サインオン方式の選択は「SAML」を選択します。

 

基本的な SAML 構成を編集し、以下の値を入力します。「sample.cybozu.com」は適切な内容に変更してください。
識別子 (エンティティ ID):https://sample.cybozu.com
応答 URL (Assertion Consumer Service URL):https://sample.cybozu.com/saml/acs
サインオン URL:https://sample.cybozu.com

Azure AD Saml1

 

SAML 署名証明書の「証明書 (Base64)」をダウンロードします。
cybozu.com のセットアップの「ログイン URL」の内容をメモします。

newcybozu1.png

 

5. cybozu.com にユーザーを作成

cybozu.com にサインインします。
https://sample.cybozu.com/

 

「cybozu.com 共通管理」をクリックし、ユーザー管理の「組織/ユーザー」をクリックします。
「ユーザーの追加」をクリックし、ユーザーを作成します。
作成するユーザーのログイン名を Azure AD ユーザーの「ユーザー名」と揃えてください。

cybozucom1.png

 

6. cybozu.comのSAML設定

cybozu.com 共通管理のシステム管理の「ログイン」をクリックします。


「SAML 認証を有効にする」をチェックし、以下の値を入力します。
Identity Provider の SSO エンドポイント URL:Azure AD でメモした「ログイン URL」の内容
cybozu.com からのログアウト後に遷移する URL:https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

「Identity Providerが署名に使用する公開鍵の証明書」に Azure AD でダウンロードした証明書をアップロードします。

newcybozu2.png


以上で、cybozu.com と Azure AD の SSO 設定は完了です。

 

directとAzure ADの設定

1. Azure AD にユーザーとグループを作成

「cybozu.com と Azure AD の設定」で設定済みのため不要です。
以降の手順では追加したユーザのユーザー名は「sso-user1@sample.onmicrosoft.com」、所属させたグループは「シングルサインオングループ」として説明します。

 

2. Azure AD にエンタープライズアプリケーション「direct」を追加

Azure AD に direct と連携できるアプリケーションを追加します。

 

Azure Portal にサインインします。

https://portal.azure.com/#home

 

Azure Active Directory の管理の「表示」をクリックします。

Azure AD Portal

 

「エンタープライズ アプリケーション」をクリックします。

Azure AD Portal App

 

「新しいアプリケーション」をクリックし、「direct」で検索します。
検索結果の「direct」をクリックし、Azure Potal に direct を追加します。

direct

 

3. direct に SSO するユーザーを設定

追加したアプリケーションの対象に「シングルサインオングループ」を設定します。
これにより「シングルサインオングループ」に所属するユーザーが direct に SSO できるようになります。

 

エンタープライズアプリケーションに追加した direct をクリックし、「ユーザーとグループの割り当て」をクリックします。

Azure AD App Permission


「ユーザーまたはグループの追加」をクリックし、「シングルサインオングループ」を選択します。

 

4. Azure AD の SAML 設定

エンタープライズアプリケーションに追加した「direct」をクリックし、「シングルサインオンの設定」の「作業の開始」をクリックします。

Azure AD App SSO

 

シングル サインオン方式の選択は「SAML」を選択します。

 

基本的な SAML 構成の変更は不要です。(初期値のままで利用できます)

newdirect.png

 

SAML 署名証明書の「証明書 (Base64)」をダウンロードします。
direct のセットアップの「ログイン URL」の内容をメモします。

newdirect4.png

 

5. direct にユーザーを作成

direct では SSO を利用するユーザーをグループで管理できます。
まずは direct にグループを作成します。

 

direct にサインインします。
https://direct4b.com/signin

初めてサインインされる場合は事前に組織の作成などの手順が必要です。詳細はこちらの手順をご確認ください。
https://direct4b.com/ja/support/doc/direct_manual_user.pdf

 

管理者設定の「アカウント管理」をクリックします。

direct

 

「グループの作成」をクリックし、グループ名やグループ ID に適切な内容を入力します。
ここで入力するグループ ID はログイン時に利用します。本手順ではグループ ID を「sso-direct-test」としました。
direct

 

作成したグループにユーザーを所属させます。
「アカウント管理:グループ一覧」の歯車アイコンから「管理リクエスト送信」を選択します。

direct


既に組織に参加しているメンバーをSSOさせる場合は「組織のメンバーへ管理リクエストを送信」を、
そうではない場合は「メールアドレスを指定して管理リクエストを送信」をクリックします。
本手順では後者をご案内します。

direct

 

「メールアドレスを指定して管理リクエストを送信」をクリックしたら適切な内容を入力します。
管理リクエスト送信先のメールアドレスを Azure AD ユーザーの「ユーザー名」と揃えてください。

direct

 

送信をクリックすると管理リクエスト送信先のメールアドレスにメールが届きます。その内容に従ってユーザーを作成します。
SSO の設定に影響するのはユーザーのメールアドレスです。そのため、ここでの入力内容は SSO には影響しません。

 

6. direct の SAML 設定

「アカウント管理:グループ一覧」の歯車アイコンから「シングルサインオン」を選択します。

direct


「SAML 認証を使う」をチェックし、以下の値を入力します。
Identity Provider のエンドポイントURL:Azure AD でメモした「ログイン URL」の内容
ログアウト後に遷移する URL:https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

「Identity Provider の公開鍵」に Azure AD でダウンロードした証明書をアップロードします。

newdirect2.png


動作確認

ブラウザを起動して(全サービスからログアウトした状態)direct にアクセスします。

https://direct4b.com/sso

 

アカウント管理グループ ID を入力し、「次へ」をクリックすると Azure AD のログイン画面が表示されます。
ログインに成功すると direct の画面が表示されます。

direct

 

次に同じブラウザで cybozu.com にアクセスします。
https://sample.cybozu.com

認証画面が表示されることなく cybozu.com にアクセスできます。

 

先に cybozu.com にアクセスした場合も同様で、direct は認証画面が表示されることなくアクセスできます。
(アカウント管理グループ ID の入力は必要です)

 

 

このTipsは、2021年11月版 cybozu.com で確認したものです。

記事に関するフィードバック

記事のコメント欄は記事に対するフィードバックをする場となっております。
右の記事フィードバックのためのガイドを参照してコメントしてください。
記事のリンク切れなど、気になる点がある場合も、こちらのフォームからフィードバックいただけますと幸いです。

サインインしてコメントを残してください。