改修するほどのお金はないけどSSOを実現したい
仕事をしてると上記のような要望がたまにあがる。
調べていたら、特別な実装を必要とせず、「My Apps Secure Sign-in Extension」というブラウザ拡張のインストールと設定のみでSSOを実現する手段として、Microsoft EntraIDのパスワードベースのSSOが使えそうだったのでメモしておく
パスワードベースのSSOってどんなもの?
Microsoft Entra IDにアプリケーションへのログイン情報を記録させることで、次回以降のログイン時にはMicrosoft Entra IDが代理でパスワードを送信してくれる。
上記で学んだ中では「代理認証方式」に該当するものと思われる。
触ってみた
ID/Passwordの入力に応じてログインの成否が表示されるログインページだけの下記のアプリケーションを動かしてパスワードのSSOを実際に使ってみる
from flask import Flask, request, redirect, url_for
import ssl
app = Flask(__name__)
@app.route('/top')
def index():
return '''
<form action="/login" method="post">
ID: <input type="text" name="identity"><br>
PW: <input type="password" name="password"><br>
<input type="submit" value="ログイン">
</form>
'''
@app.route('/login', methods=['POST'])
def login():
if request.form['identity'] == 'test' and request.form['password'] == 'pass':
return redirect(url_for('success'))
else:
return 'ログインに失敗しました。'
@app.route('/success')
def success():
return 'ログインに成功しました。'
if __name__ == '__main__':
app.run(debug=True, ssl_context=("C:\\Users\\nodas\\source\\repos\\sample-login\\server.crt", "C:\\Users\\nodas\\source\\repos\\sample-login\\private.key"))
Microsoft Entra ID側の設定
Microsoft Entra 管理センター にログインする
エンタープライズアプリケーション>新しいアプリケーション
「独自のアプリケーションの作成」をクリックすると右側に登録用のペインが表示されるのでアプリケーション名を入力して作成する
「シングルサインオン」をクリックし、シングルサインオン方式から「パスワードベース」をクリック
サインオンURLにアプリケーションのログイン画面のURLを張り付けて保存ボタンを押下する
サインインフィールドを自動検知してくれるはずだが、失敗するとオレンジの枠線のように
手動構成のためのリンクが表示される
シングルサインオン設定の構成をクリックすると右側に構成用のペインが開かれるので
「サインインフィールドの手動検出」を選択し「サインインフィールドの読み込み」をクリックする
($*$事前に「My Apps Secure Sign-in Extension」というブラウザ拡張をインストールしておくこと)
アプリケーションのログイン画面にリダイレクトされるのでID/PWを入力すると
入力欄が強調されて表示される
ログインに成功すると確認メッセージが表示されるのでOKをクリックする
ユーザーとグループからユーザを追加し、「資格情報の更新」から当該ユーザのログイン情報の設定ができるので設定する
アプリケーションのログイン画面を改めて開くとパスワードが保存されてるので拡張情報からログインする旨が表示されるので、拡張機能をクリックするとログインできる。
またMy Appsのダッシュボードからアプリケーションを選択してログインすることもできる
参考