SSOを設定する方法(Microsoft Entra ID)
この手順では、Microsoft Entra ID を使用して ISL Online のシングルサインオン(SSO)を設定する方法を説明します。
※設定手順は変更される場合があります。必ず最新の情報をIdP側のマニュアルでご確認ください。
Step 1:アプリケーションを作成
- Microsoft Entra ID の管理者アカウントで、Microsoft Entra 管理センター(旧 Azure ポータル) にサインインします。
- 「Microsoft Entra ID」 - 「エンタープライズ アプリケーション」 - 「新しいアプリケーション」と進みます。
- 「独自のアプリケーションの作成」を選択し、アプリケーション名(例:ISL Online)を入力します。
- 「ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)」を選択し、[作成] をクリックします。
Step 2:シングルサインオン方式の選択
作成したアプリケーションの「シングルサインオン」を選択します。
Step 3: 「SAML」を選択
「シングルサインオン方式の選択」で「SAML」をクリックします。
Step 4:SAML構成の編集
「基本的な SAML 構成」セクションの [編集] をクリックします。
Step 5:SAMLエンドポイント情報を入力
弊社から提供された以下のURL情報をそれぞれ入力してください。
- 識別子 (エンティティ ID):https://www.islonline.net/sso/saml/sp/domain/<domain>/metadata.xml
- 応答 URL (Assertion Consumer Service URL):https://www.islonline.net/sso/saml/sp/domain/<domain>/acspost
- サインオン URL (省略可能): https://account.islonline.net/users/isllight/start.html
- ログアウト URL (省略可能): https://account.islonline.net/sso/saml/sp/domain/<domain>/slopost
入力情報が正しいことを確認し、「保存」をクリックします。
Step 6:ユーザー属性とクレームの設定
「属性とクレーム」セクションで [編集] をクリックします。
Step 7:ユーザー識別情報(クレーム)を設定
ユーザーが ISL Online にログインする際に使用される情報(SAML クレーム)を以下のように設定します。
- ユーザー名(必須): 一意のユーザ識別子(名前 ID)
- 電子メール(必須):http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- 氏名(オプション):http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname
- ユーザ・グループ(任意。以下の注意を参照):http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
入力後、設定内容を保存してください。設定内容は後の手順で弊社サポート窓口までお送りください。
グループを設定に含めると、IdP側のグループ情報が ISL Online のユーザーグループとして連携・登録されます。
連携するグループは、ISL Online の運用に必要なものに絞って設定してください。
※ISL Onlineでは、1ユーザーあたりのグループ数には上限(100件)があります。
※グループの登録・編集は、IdP側で実施してください。
Step 8:(任意)証明書のアップロード
- 「検証証明書(オプション)」セクションで [編集] をクリックします。
- 「証明書の検証を必須とする」にチェックを入れます。
- SSO設定の Step 4 で保存した証明書ファイルをアップロードします。
- ファイル名は .cert ではなく .cer に変更してください(例:sso-cert.cer)。
- 最後に [保存] をクリックします。
Step 9:ユーザーまたはグループの割り当て
ISL Online アプリケーションにアクセスを許可したいユーザーまたはユーザーグループを割り当てます。
- 「エンタープライズ アプリケーション」→該当アプリを選択→「ユーザーとグループ」から、「ユーザーまたはグループの追加」をクリックしてください。
- Step 7 で「ユーザーグループ」のクレームを設定した場合は、アプリに割り当てたすべてのグループ名とオブジェクトIDを記録しておき、後の手順で弊社サポート窓口までお送りください。
Step 10:フェデレーション メタデータ URL の取得
これで Entra ID 側の設定は完了です。「アプリのフェデレーション メタデータ URL」をコピーします。
後の手順で使用しますので、あらかじめ保存しておいてください。
SAML認証によるシングルサインオン(SSO)を設定する の Step 6 に進みます。
Related Articles
SSOを設定する方法(Microsoft AD FS)
この手順では、Microsoft AD FS を使用して ISL Online のシングルサインオン(SSO)を設定する方法を説明します。 ※設定手順は変更される場合があります。必ず最新の情報をIdP側のマニュアルでご確認ください。 Step 1:証明書利用者信頼の追加 AD FS 管理コンソールを開き、操作パネルの「証明書利用者信頼の追加…」をクリックします。 Step 2:信頼関係追加の開始 「要求に対応する」を選択し、[開始]をクリックします。 Step 3:データソースの選択 ...SSOを設定する方法(Google Workspace)
この手順では、Google Workspace を使用して ISL Online のシングルサインオン(SSO)を設定する方法を説明します。 ※設定手順は変更される場合があります。必ず最新の情報をIdP側のマニュアルでご確認ください。 Step 1:カスタム SAML アプリを追加 Google 管理者アカウントを使用して Google Workspace 管理ポータルにサインインします。 「メニュー」 - 「ウェブアプリとモバイルアプリ」 - 「カスタム SAML アプリを追加」に移動します。 ...プログラムをダウンロードすると「インストールしようとしているアプリは、Microsoft 検証済みアプリではありません」とOSのメッセージが表示されます。
▼表示されるメッセージ例: Windows OSの設定により、当該メッセージが表示される場合がございます。 以下の設定を行うことで解消されるかお確かめください。 1. デスクトップ上のタスクバーにある、[スタート(window)]アイコンを右クリックし、 「アプリと機能」を選択します。 2. 「アプリを入手する場所の選択」の設定を確認します。選択肢から「場所を選ばない」を選択します。 3. プログラムをダウンロードします。(再現しないか確認します。) ※Windows 10 ...Microsoft Intuneを利用してISL AlwaysOn を展開できますか?(macOS)
Microsoft Intune を利用して、管理対象のmacOSデバイスに ISL AlwaysOn を展開することができます。 注意:展開する ISL AlwaysOn をカスタマイズしている場合は、設定ファイルやインストールパスなどをカスタマイズ内容に応じて変更してください。 前提条件 ISL AlwaysOnは、シェルスクリプトを使って macOS 端末にインストール(デプロイ)できます。 ただし、スクリプトを実行するには、以下のすべての条件を満たしている必要があります。 macOS ...Microsoft Intuneを利用してISL Light を展開できますか?(macOS)
Microsoft Intune を利用して、管理対象のmacOSデバイスに ISL Light を展開することができます。 注意: 展開する ISL Light をカスタマイズしている場合は、設定ファイルやインストールパスなどをカスタマイズ内容に応じて変更してください。 前提条件 ISL Light は、シェルスクリプトを使って macOS 端末にインストール(デプロイ)できます。 ただし、スクリプトを実行するには、以下のすべての条件を満たしている必要があります。 macOS 11.0 ...