#はじめに
まず、AzureADってなんなの?という方はこちらから
【初心者向け】AzureActiveDirectoryとは何なのか
#AzureADでできるシングルサインオン
##ざっくり概要
まずシングルサインオン(SSO)についてざっくりいうと
一度認証を行うと他のシステムに再度認証を行わずにログインができるようになるシステムのことです。
AzureADの場合は、AzureADで認証を行えば、連携しているシステム(例えばSalesforceやFacebookなど)にログインなしでアクセスができるようになります。
AzureADでは簡単にSSOの仕組みが設定できます。
##認証プロトコル
SAML、OpenIDConnectが使えます。
以下参考記事
SAMLとは?
SAML認証ができるまで
SAML2.0ベースのSSOをわかりやすく解説してみる
OpenIDConnectとは?
一番分かりやすい OpenID Connect の説明
多分わかりやすいOpenID Connect
##実装方法
ではどうやって実装をするのか?というところですが
大きく分けて以下の二つのステップがあります。
・アプリケーションの登録
・ユーザーのアクセス権限設定
では実際に軽くみてみましょう。
##アプリケーションの登録
AzurePortalから作成しているAADのディレクトリから「エンタープライズアプリケーション」を開きます。
そうするとこんな感じのアプリケーションが既に登録されています。
新しいアプリケーションを登録する際には上の方にある「新しいアプリケーション」から登録します。
ギャラリーとして、BoxやGoogleCloudやAWSなどが用意されているので、大抵のSaaS系アプリであればこの中から選択できるかと思います。
この他にも自社でスクラッチ開発したアプリケーションを連携することも可能です。
##ユーザーのアクセス権限設定
今回は例としてTwitterのアプリにシングルサインオンするユーザの設定について、軽くみていきます。
先ほどのAzureADの画面から「エンタープライズアプリケーション」を選択して、Twitterのアイコンをクリックします。
シングルサインオンを構成するには、
・「シングルサインオン」を選択して、AzureAD側とTwitter側で設定を行う
・「プロビジョニング」を選択して、Twitterへのユーザープロビジョニング(管理者として接続する)の設定を行う
・「ユーザーとグループ」を選択して、SSO対象のユーザーと権限を設定する
ここの設定方法は連携するアプリケーションによって異なってくるので、今回はAWSで過去に実施した内容のリンクを貼っておくので、良かったらこちらを参考にしてみてください。