Azure Active Directory でのシングル サインオンとは

この記事では、お客様が使用できるシングル サインオン (SSO) オプションについて説明し、Azure Active Directory (Azure AD) を使用するときのシングル サインオンのデプロイの計画に関する概要を示します。 シングル サインオンは、ユーザーが 1 セットの資格情報を使用して複数の独立したソフトウェア システムにサインインできるようにする認証方法です。 SSO を使用すると、使用するアプリケーションにいちいちサインインする必要がなくなります。 SSO を使用すれば、ユーザーは、異なる資格情報を使用して認証を行う必要なしに、必要なすべてのアプリケーションにアクセスできます。 概要については、「Azure Active Directory のシングル サインオン」を参照してください。

Azure AD には、SSO で使用できる多くのアプリケーションが既に存在しています。 アプリケーションのニーズと実装方法に応じて、SSO にはいくつかのオプションがあります。 Azure AD でアプリケーションを作成する前に、時間をかけて SSO のデプロイを計画してください。 マイ アプリ ポータルを使用すると、アプリケーションの管理をより簡単に行うことができます。

シングル サインオンのオプション

SSO 方法の選択は、アプリケーションが認証についてどのように構成されているかによって変わります。 クラウド アプリケーションでは、OpenID Connect、OAuth、SAML などのフェデレーション ベースのオプションを使用できます。 パスワード ベースの SSO やリンク ベースの SSO をアプリケーションで使用したり、SSO を無効にしたりすることもできます。

  • フェデレーション - 複数の ID プロバイダー間で機能するように SSO を設定することをフェデレーションといいます。 フェデレーション プロトコルに基づく SSO の実装を使用すると、セキュリティ、信頼性、エンド ユーザー エクスペリエンス、実装が向上します。

    フェデレーション シングル サインオンでは、Azure AD により、Azure AD アカウントを使用して、アプリケーションに対するユーザーの認証が行われます。 この方法は、SAML 2.0、WS-Federation、または OpenID Connect アプリケーションについてサポートされています。 フェデレーション SSO は、最も機能が豊富なモードの SSO です。 アプリケーションでフェデレーション SSO がサポートされている場合は、パスワード ベースの SSO と Active Directory フェデレーション サービス (AD FS) ではなく、それを Azure AD で使用します。

    エンタープライズ アプリケーションに対して SSO オプションが表示されないシナリオがいくつかあります。 ポータルでアプリの登録を使用してアプリケーションが登録された場合は、OpenID Connect と OAuth を使用するように既定でシングル サインオン機能が構成されます。 この場合、シングル サインオン オプションは、エンタープライズ アプリケーションのナビゲーションに表示されません。

    アプリケーションが別のテナントでホストされているときは、シングル サインオンを使用できません。 アカウントに必要なアクセス許可 (全体管理者、クラウド アプリケーション管理者、アプリケーション管理者、またはサービス プリンシパルの所有者) がない場合も、シングル サインオンを使用できません。 アクセス許可によっては、シングル サインオンを開くことはできても保存できないシナリオが発生する場合もあります。

  • パスワード - オンプレミス アプリケーションでは、SSO にパスワードベースの方法を使用できます。 このオプションは、アプリケーションがアプリケーション プロキシ用に構成されている場合に機能します。

    パスワード ベースの SSO では、ユーザーは、アプリケーションに初めてアクセスするときに、ユーザー名とパスワードを使用してサインインします。 最初のサインインの後は、Azure AD によってユーザー名とパスワードがアプリケーションに提供されます。 パスワード ベースの SSO では、セキュリティ保護されたアプリケーションのパスワードを保存し、Web ブラウザーの拡張機能またはモバイル アプリを使用して再生できます。 このオプションでは、アプリケーションによって提供される既存のサインイン プロセスが使用され、管理者がパスワードを管理でき、ユーザーがパスワードを知っている必要はありません。 詳細については、「パスワードベースのシングル サインオンをアプリケーションに追加する」をご覧ください。

  • リンク - リンクされたサインオンでは、一定期間にわたってアプリケーションを移行するときに、一貫したユーザー エクスペリエンスを提供できます。 アプリケーションを Azure AD に移行する場合は、リンク ベースの SSO を使用して、移行するすべてのアプリケーションへのリンクをすばやく発行できます。 ユーザーは、マイ アプリまたは Microsoft 365 ポータルで、すべてのリンクを見つけることができます。

    リンクされたアプリケーションでユーザーの認証が行われた後は、ユーザーにシングル サインオン アクセスが提供される前に、アカウントを作成する必要があります。 このアカウントのプロビジョニングは、自動的に実行することも、管理者が手動で実行することもできます。 リンクされたアプリケーションでは Azure AD によるシングル サインオン機能が提供されないため、条件付きアクセス ポリシーまたは多要素認証をリンクされたアプリケーションに適用することはできません。 リンクされたアプリケーションを構成するときは、アプリケーションを起動するために表示されるリンクを追加するだけです。 詳細については、「リンクされたシングル サインオンをアプリケーションに追加する」をご覧ください。

  • 無効 - SSO が無効になっていると、アプリケーションでは使用できません。 シングル サインオンが無効になっている場合、ユーザーは 2 回認証することが必要な場合があります。 ユーザーは最初に Azure AD に対して認証してから、アプリケーションに対してサインインします。

    次の場合は SSO を無効にします。

    • このアプリケーションを Azure AD シングル サインオンと統合する準備ができていない
    • アプリケーションの他の部分をテストしている
    • オンプレミスのアプリケーションでユーザーの認証は必要ないが、ユーザーに認証を行わせたい。 SSO を無効にすると、ユーザーは認証を行う必要があります。

    SP によって開始される SAML ベースの SSO 用に構成してあるアプリケーションの SSO モードを無効に変更する場合、ユーザーが MyApps ポータルの外部でアプリケーションにサインインできなくなることはありません。 これを実現するには、ユーザーがサインインする機能を無効にする必要があります。

SSO のデプロイを計画する

Web アプリケーションは、さまざまな企業でホストされ、サービスとして利用できるようになっています。 Web アプリケーションの代表的な例としては、Microsoft 365、GitHub、Salesforce などがあります。 他にもたくさんあります。 Web アプリケーションには、コンピューター上の Web ブラウザーからアクセスします。 シングル サインオンを使用すると、何度もサインインする必要なく、さまざまな Web アプリケーションを行き来することができます。 詳細については、「シングル サインオンのデプロイを計画する」を参照してください。

SSO の実装方法は、アプリケーションがホストされている場所によって異なります。 ホスティングは、アプリケーションにアクセスするためにネットワーク トラフィックをルーティングする方法に関係するので重要です。 ユーザーは、(ローカル ネットワークでホストされている) オンプレミスのアプリケーションにアクセスするために、インターネットを使用する必要はありません。 アプリケーションがクラウドでホストされている場合は、ユーザーはインターネットを使用する必要があります。 クラウドでホストされるアプリケーションは、サービスとしてのソフトウェア (SaaS) アプリケーションとも呼ばれます。

クラウド アプリケーションでは、フェデレーション プロトコルが使用されます。 オンプレミスのアプリケーションにもシングル サインオンを使用できます。 アプリケーション プロキシを使用して、オンプレミスのアプリケーションへのアクセスを構成できます。 詳細については、「Azure AD アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセス」をご覧ください。

マイ アプリ

アプリケーションのユーザーの場合、SSO の詳細を気にする必要はあまりありません。 パスワードを何回も入力しなくても、生産性が向上するアプリケーションを使用できます。 アプリケーションの検索と管理は、マイ アプリ ポータルで行うことができます。 詳細については、「マイ アプリ ポータルからアプリにサインインして開始する」を参照してください。

次の手順