direct と cybozu.com に Microsoft Entra ID を介してシングルサインオン

目次

はじめに

direct と cybozu.com を Microsoft Entra ID(以下、Entra ID)を介してシングルサインオン(SSO)する手順を紹介します。

direct とは多くの現場で活用される、現場に強い国産ビジネスチャットです。
チャットボットを活用して現場業務の自動化・効率化を実現できます。
詳細は、 【公式】現場のDXにビジネスチャット「direct(ダイレクト)」 (External link) を確認してください。

本手順を設定することで direct と cybozu.com それぞれにログインする作業が不要となり、利用者の利便性が高まります。
また、各サービスのパスワード管理が不要になり、セキュリティ向上やシステム担当者の業務負担軽減というメリットがあります。

構成とログインフロー

direct や cybozu.com にアクセスする(1)と Entra ID の認証画面が表示されます(2)。
Entra ID のアカウント名とパスワードを入力し、認証に成功すると direct や cybozu.com の画面が表示されます(3)。

お試し環境

いずれのサービスも無料のお試し期間がありますのでぜひお試しください。

注意事項

SSO には SAML を利用します。
cybozu.com には SAML を利用する場合の制限事項があります。詳細は、 STEP3:ログイン時にSAML認証だけを使うように制限する (External link) を確認してください。

本手順で SSO する場合は 3 つのサービスでユーザーの以下の項目を一致させる必要があります。

  • direct
    メールアドレス
  • cybozu.com
    ログイン名
  • Entra ID
    ユーザー名(ユーザー プリンシパル名)

一致させるのが難しい場合は Entra ID の「属性とクレーム」設定の変更で対応できる場合があります。
こちらの設定については本手順の対象外となります。

設定には以下の権限が必要になります。

  • direct
    管理者
  • cybozu.com
    cybozu.com 共通管理者
  • Entra ID
    ユーザー管理者およびアプリケーション管理者以上の権限

設定手順

次の 2 つの設定が必要になります。

  • cybozu.com と Entra ID
  • direct と Entra ID

cybozu.com と Entra ID の設定

設定手順は、 Entra ID で認証して、cybozu.com にログインする を参照してください。

direct と Entra ID の設定

1. Entra ID にユーザーとグループを作成

「cybozu.com と Entra ID の設定」で設定済みのため不要です。
以降の手順では追加したユーザのユーザー名は「sso-user1@sample.onmicrosoft.com」、所属させたグループは「シングルサインオングループ」として説明します。

2. Entra ID にエンタープライズアプリケーション「direct」を追加

Entra ID に direct と連携できるアプリケーションを追加します。

Azure Portal (External link) にサインインします。

Microsoft Entra ID の管理の「表示」をクリックします。

「エンタープライズ アプリケーション」をクリックします。

「新しいアプリケーション」をクリックし、「direct」で検索します。
検索結果の「direct」をクリックし、Azure Potal に direct を追加します。

3. direct に SSO するユーザーを設定

追加したアプリケーションの対象に「シングルサインオングループ」を設定します。
これにより「シングルサインオングループ」に所属するユーザーが、direct に SSO できます。

エンタープライズアプリケーションに追加した direct をクリックし、「ユーザーとグループの割り当て」をクリックします。

「ユーザーまたはグループの追加」をクリックし、「シングルサインオングループ」を選択します。

4. Entra ID の SAML 設定

エンタープライズアプリケーションに追加した「direct」をクリックし、「シングルサインオンの設定」の「作業の開始」をクリックします。

シングル サインオン方式の選択は「SAML」を選択します。
基本的な SAML 構成の変更は不要です(初期値のままで利用できます)。

SAML 署名証明書の「証明書(Base64)」をダウンロードします。
direct のセットアップの「ログイン URL」の内容をメモします。

5. direct にユーザーを作成

direct では SSO を利用するユーザーをグループで管理できます。
まずは direct にグループを作成します。

direct (External link) にサインインします。

初めてサインインされる場合は事前に組織の作成などの手順が必要です。詳細は、 direct ご利用 マニュアル (External link) を確認してください。

管理者設定の「アカウント管理」をクリックします。

「グループの作成」をクリックし、グループ名やグループ ID に適切な内容を入力します。
ここで入力するグループ ID はログイン時に利用します。本手順ではグループ ID を「sso-direct-test」としました。

作成したグループにユーザーを所属させます。
「アカウント管理:グループ一覧」の歯車アイコンから「管理リクエスト送信」を選択します。

すでに組織へ参加しているメンバーを SSO させる場合は「組織のメンバーへ管理リクエストを送信」をクリックします。
そうでない場合は「メールアドレスを指定して管理リクエストを送信」をクリックします。
本手順では後者をご案内します。

「メールアドレスを指定して管理リクエストを送信」をクリックしたら適切な内容を入力します。
管理リクエスト送信先のメールアドレスを Entra ID ユーザーの「ユーザー名」とそろえてください。

送信をクリックすると管理リクエスト送信先のメールアドレスにメールが届きます。その内容にしたがってユーザーを作成します。
SSO の設定に影響するのはユーザーのメールアドレスです。そのため、ここでの入力内容は SSO には影響しません。

6. direct の SAML 設定

「アカウント管理:グループ一覧」の歯車アイコンから「シングルサインオン」を選択します。

「SAML 認証を使う」をチェックし、以下の値を入力します。

  • Identity Provider のエンドポイント URL:Entra ID でメモした「ログイン URL」の内容
  • ログアウト後に遷移する URL:https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

「Identity Provider の公開鍵」に Entra ID でダウンロードした証明書をアップロードします。

動作確認

ブラウザーを起動して(全サービスからログアウトした状態) direct のSSO画面 (External link) にアクセスします。

アカウント管理グループ ID を入力し、「次へ」をクリックすると Entra ID のログイン画面が表示されます。
ログインに成功すると direct の画面が表示されます。

次に同じブラウザーで https://sample.cybozu.com にアクセスします。

認証画面が表示されることなく cybozu.com にアクセスできます。

先に cybozu.com へアクセスした場合も同様で、direct は認証画面が表示されることなくアクセスできます。
(アカウント管理グループ ID の入力は必要です)

information

この Tips は、2021 年 11 月版 cybozu.com で動作を確認しています。