GrowiにMicrosoft EntraIDでSAMLログインする

Info

• Growi
  • 7.0.21
• Microsoft EntraID ライセンス
  • Microsoft Entra ID Free
• 操作PC
  • Microsoft Windows 10 Pro 22H2 19045.5011
• ブラウザ
  • Google Chrome 129.0.6668.101

手順

1. Microsoft EntraID管理画面に行く
   --> https://entra.microsoft.com/

2. アプリケーションのエンタープライズ アプリケーションを選択する

   

3. 新しいアプリケーションを選択する

   

4. 独自のアプリケーションの作成を選択する

   

5. 以下の通りに記載し、作成を選択する

   • お使いのアプリの名前は何ですか？
     • Growiと入力 (名前は自由)
   • アプリケーションでどのような操作を行いたいですか？
     • ギャラリーに見つからないその他のアプリケーションを統合しますを選択する

   

6. 作成したアプリを選択し、シングル サインオンを選択する

   

7. SAMLを選択する

   

8. 基本的なSAML構成の編集を選択する

   

9. 以下の通り設定する

   1. 【EntraID】識別子の追加を選択して、GrowiEntraIdを入力する (識別子は自由)
   2. 【Growi】Growiの設定を開き、セキュリティ設定を選択し、認証機関設計のSAMLを選択し、エントリーポイントに上記で入力したGrowiEntraIdを入力する (EntraID側と識別子を合わせる事)
   3. 【Growi】Growiの設定を開き、セキュリティ設定を選択し、認証機関設計のSAMLを選択し、コールバックURLをコピーする
   4. 【EntraID】応答 URLに上記でコピーした値を入力する

   以下のようになっていたら問題ありません。

   

10. 保存を選択する

    

11. 属性とクレームの編集を選択する

    

12. Growiの設定を開き、セキュリティ設定を選択し、認証機関設計のSAMLを選択し、Attribute Mappingに以下の通り入力する

    • GrowiのIDはuser.userprincipalnameのクレーム名を使用する
      • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    • Growiのユーザ名はuser.surnameのクレーム名を使用する
      • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    • Growiのメールアドレスはuser.mailのクレーム名を使用する
      • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Growiの名はuser.givennameのクレーム名を使用する
      • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • Growiの姓はuser.surnameのクレーム名を使用する
      • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    

    

13. SAML 証明書の証明書(Base64)を選択して証明書ファイルをPCにダウンロードする

1. 上記でダウンロードした証明書ファイルをメモ帳やサクラエディタなどで開き、Ctrl + Aなどで全文コピーする
   

2. Growiの設定を開き、セキュリティ設定を選択し、認証機関設計のSAMLを選択し、証明書のテキストボックスに上記でコピーした全文を張り付ける
   

3. Growiの更新を選択して保存

   

4. Testを選択して、正常にログインができたら成功です

   

メモ

1. AADSTS50105エラーが表示された場合

   • ユーザーとグループからユーザーまたはグループの追加でログインできる人を追加してください

   

2. ログインできる人の制限がない場合はプロパティの割り当てが必要ですか？をいいえにすると良いです

番外編

docker-composeで動かしている方は環境変数に登録することもできます。

environment:
    - APP_SITE_URL=https://○○○○.co.jp                                                                # サイトのURL
    - SAML_ENABLED=true                                                                              # SAMLログインを有効化
    - SAML_ENTRY_POINT=https://login.microsoftonline.com/○○○○-○○○○-○○○○-○○○○/saml2               # エントリーポイント
    - SAML_ISSUER=GrowiEntraId                                                                       # 発行者
    - SAML_CERT=-----BEGIN CERTIFICATE-----
      MIICBzCCAXACCQD4US7+0A/b/zANBgkqhkiG9w0BAQsFADBIMQswCQYDVQQGEwJK
      UDEOMAwGA1UECAwFVG9reW8xFTATBgNVBAoMDFdFU0VFSywgSW5jLjESMBAGA1UE
      ...
      crmVwBzbloUO2l6k1ibwD2WVwpdxMKIF5z58HfKAvxZAzCHE7kMEZr1ge30WRXQA
      pWVdnzS1VCO8fKsJ7YYIr+JmHvseph3kFUOI5RqkCcMZlKUv83aUThsTHw==
      -----END CERTIFICATE-----                                                                       # 証明書
    - SAML_ATTR_MAPPING_ID=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name                 # ID
    - SAML_ATTR_MAPPING_USERNAME=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name           # ユーザ名
    - SAML_ATTR_MAPPING_MAIL=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress       # メールアドレス
    - SAML_ATTR_MAPPING_FIRST_NAME=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname    # 名
    - SAML_ATTR_MAPPING_LAST_NAME=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname       # 姓

参考記事