背景
検証環境(無料)を作成し、下記を実施したので、実施するまでに調べた内容をまとめます。
① 独自ドメインのAzureテナントを作成する
② AADユーザーでWindowsにログインする
③ AADをIDPとしてSSOする(ゲストユーザー含め)
ちなみにIDPにAADを採用した理由は下記3点です。
・ガートナー マジッククアドラント2020で一番右上にいる
・無料(50000 objectまで)
・資料が多い
IDPはAADかokta がよさげだと感じました。
AADをIDPとした際の、SSO対象SaaSに必要な料金プランも載せます。(投稿時点)
独自ドメインのAzureテナントを作成する
① 独自ドメインを取得します。
お名前ドットコムでもなんでも大丈夫です。
googleのドメイン.pageは1年間無料なのでこれを使いました。
ついでにgoogle work spaceのトライアル(2週間)も利用しました。
② AADの左側「カスタムドメイン」セクションで①の独自ドメインを登録します。
独自ドメインが利用可能であればTXTレコードが表示されるので、これを独自ドメインに追加し、ドメインの所有権を証明します。
私の場合はAADで表示されたTXTレコードをgoogle domainsのカスタムリソースレコードからMS=hogeという形で入力しました。
③ テナントを作成します。
テナントに初期ドメインを設定後、独自ドメインを追加できます。
AADユーザーでWindowsにログインする
前提として、Windows Pro以上のエディションじゃないとできません。
① AADテナントでユーザー作成します。
② Windows設定(歯車) -> アカウント -> 職場または学校にアクセスする -> 接続 -> このデバイスを Azure Active Directory に参加させる -> ①で作成したユーザーを入力 -> 次へ...
で設定ができます。設定ができたらWindowsのユーザー切り替えで上記のユーザーとしてログインできるようになります。
AADをIDPとしてSSOする(ゲストユーザー含め)
▼Microsoft公式チュートリアルで丁寧に解説されています。
SaaS アプリケーションと Azure Active Directory の統合に関するチュートリアル
エンタープライズアプリケーションのAzureADギャラリーに専用のsamlアプリがないSaaSにSSOしたい場合は、下記手順でアプリを作成します。
① AAD左側「エンタープライズアプリケーション」セクション -> 独自アプリケーションの作成 -> アプリ名を任意で入力 -> ラジオボタン「ギャラリーに見つからないその他のアプリケーションを統合します」選択 -> 作成
② 「ユーザーとグループの割り当て」「シングル サインオンの設定」を設定
以上でAzureADギャラリーに専用のsamlアプリがあるSaaSと同じようにアプリを用意できます。
また、サインイン対象のSaaSによりますが、ゲストユーザーをSSOさせることもできます。
ゲストユーザーをSSOさせる場合は、「ユーザーとグループの割り当て」でゲストユーザーを選択します。
AADをIDPとしたSSO対象の必要料金プラン(投稿時点)
調べた範囲で載せます。
| SaaS名 | 必要プラン | トライアル期間 |
|---|---|---|
| GitHub | Enterprise以上(ユーザー/$21) | 45日 |
| Zoom | ビジネスプラン以上(ID/¥2,000) | 1月 |
| Slack | プラスプラン以上(ユーザー/¥1,600) | 30日 |
| jira | atlassian Accessが必要 | 30日 |
| AWS | 無料(IAM) | - |
| Google workspace | 無料 | - |
Slackはトライアル開始に問い合わせが必要ですが、
フォーム入力後にチャットですぐに返信が来て、すぐに利用開始できました。
Google workspaceはSSOするために追加料金はいりませんが、そもそも有料です 。トライアルは2週間あります。
蛇足
私の記事に不備などありましたらご指摘いただけると幸いです。