SAML/WS-Fed ID プロバイダーとのフェデレーションを追加する

適用対象: 次の内容が従業員テナントに適用されることを示す白いチェック マーク記号が付いた緑の円。 従業員テナント :次の内容が外部テナントに適用されることを示す白いチェック マーク記号が付いた緑の円。 外部テナント (詳細)

Microsoft Entra テナントは、SAML または WS-Fed ID プロバイダー (IdP) を使用する外部組織と直接フェデレーションできます。 外部組織のユーザーは、独自の IdP マネージド アカウントを使用して、招待の利用中またはセルフサービス サインアップ時に、新しい Microsoft Entra 資格情報を作成しなくても、アプリまたはリソースにサインインできます。 ユーザーは、アプリにサインアップまたはサインインするときに IdP にリダイレクトされ、正常にサインインすると Microsoft Entra に戻ります。

[前提条件]

IdP の発行者の値は、RFC 3986 形式 (たとえば、 https://testdev.example.comhttp://www.example.com/exk10l6w90DHM0yi) に従う有効な URI である必要があります。 単一単語または URI 以外の値 ( testdevなど) はサポートされておらず、ポータルによって拒否されます。 これは、識別子 URI の制限に関するページに記載されているように、Microsoft Entra ID のセキュリティで保護された 識別子パターンと一致します。 SAML IdP の場合、発行者は、SAML 2.0 標準および Microsoft Entra 検証規則に従って、プロバイダーを URI として一意に識別する必要があります。

SAML/WS-Fed IdP フェデレーションを構成する方法

手順 1: パートナーが DNS テキスト レコードを更新する必要があるかどうかを判断する

パートナーが DNS レコードを更新してフェデレーションを有効にする必要があるかどうかを判断するには、次の手順に従います。

  1. パートナーの IdP パッシブ認証 URL を調べて、ドメインがターゲット ドメインまたはターゲット ドメイン内のホストと一致するかどうかを確認します。 すなわち、fabrikam.com のフェデレーションを設定する場合は次のようになります。

    • パッシブ認証エンドポイントが https://fabrikam.com または https://sts.fabrikam.com/adfs (同じドメイン内のホスト) の場合、DNS の変更は必要ありません。
    • パッシブ認証エンドポイントが https://fabrikamconglomerate.com/adfs または https://fabrikam.co.uk/adfs の場合、ドメインは fabrikam.com ドメインと一致していないため、パートナーは DNS 構成に認証 URL のテキスト レコードを追加する必要があります。

  2. 前の手順に基づいて DNS の変更が必要な場合は、次の例のように、ドメインの DNS レコードに TXT レコードを追加するようにパートナーに依頼します。

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

手順 2: パートナー組織の IdP を構成する

次に、パートナー組織は必須のクレームと証明書利用者信頼を指定して、IdP を構成する必要があります。 フェデレーションを適切に機能させるためには、Microsoft Entra 外部 ID が、外部 IdP において構成される特定の属性とクレームを送信するように外部 IdP に求めます。

フェデレーション用に SAML/WS-Fed IdP を構成する方法を示すために、例として Active Directory フェデレーション サービス (AD FS) を使用します。 AD FSとSAML/WS-Fed IdPのフェデレーション構成に関する記事を参照してください。この中には、AD FSをSAML 2.0またはWS-Fed IdPとしてフェデレーションの準備を整えるための設定例が示されています。

SAML 2.0 ID プロバイダーを構成するには

Microsoft Entra 外部 ID では、外部 IdP からの SAML 2.0 応答に特定の属性と要求が含まれている必要があります。 必要な属性と要求は、次のいずれかの方法で外部 IdP で構成できます。

  • オンライン セキュリティ トークン サービス XML ファイルへのリンク、または
  • 値を手動で入力する

必要な値については、次の表を参照してください。

値が、外部フェデレーションを設定しているクラウドと一致することを確認してください。

表 1. IdP からの SAML 2.0 応答に必要な属性。

属性 人材を重視する価値 外部テナント向けの価値
アサーチョンコンシューマサービス https://login.microsoftonline.com/login.srf https://<tenantID>.ciamlogin.com/login.srf https://<tenantID>.ciamlogin.com/login.srf、そのプロバイダーで必要な場合は、外部 IdP のコールバック/ACS URL として追加します。
対象者 https://login.microsoftonline.com/<tenant ID>/ (推奨) <tenant ID> を、フェデレーションを設定する Microsoft Entra テナントのテナント ID に置き換えます。

外部フェデレーションに対して Microsoft Entra ID によって送信された SAML 要求の場合、発行者 URL はテナント エンドポイントです (たとえば https://login.microsoftonline.com/<tenant ID>/)。 新しいフェデレーションでは、すべてのパートナーは、SAML または WS-Fed ベースの IdP の対象ユーザーをテナントのエンドポイントに設定することをお勧めします。 グローバル エンドポイント (urn:federation:MicrosoftOnlineなど) で構成されている既存のフェデレーションは引き続き機能しますが、外部 IdP が Microsoft Entra ID によって送信された SAML 要求のグローバル発行者 URL を想定している場合、新しいフェデレーションは機能しなくなります。		 https://login.microsoftonline.com/<tenant ID>/
<tenant ID>を、フェデレーションを設定する Microsoft Entra テナントのテナント ID に置き換えます。
発行者 パートナーの IdP の発行者 URI (たとえば http://www.example.com/exk10l6w90DHM0yi...) パートナーの IdP の発行者 URI (たとえば http://www.example.com/exk10l6w90DHM0yi...)

表 2. IdP によって発行された SAML 2.0 トークンに必要な要求。

属性名
NameID の形式 urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ユーザーの電子メール アドレス

WS-Fed ID プロバイダーを構成するには

Microsoft Entra 外部 ID には、外部 IdP からの WS-Fed メッセージに特定の属性と要求が含まれている必要があります。 必要な属性と要求は、次のいずれかの方法で外部 IdP で構成できます。

  • オンライン セキュリティ トークン サービス XML ファイルへのリンク、または
  • 値を手動で入力する

現在、Microsoft Entra ID との互換性がテストされている 2 つの WS-Fed プロバイダーは、AD FS と Shibboleth です。

必須の WS-Fed 属性および要求

サード パーティの WS-Fed IdP に構成する必要がある特定の属性と要求の要件を次の各表に示します。 フェデレーションを設定するには、IdP からの WS-Fed メッセージにおいて以下の属性が受け取られる必要があります。 これらの属性は、オンライン セキュリティ トークン サービスの XML ファイルにリンクするか手動で入力することによって、構成できます。

必要な値については、次の表を参照してください。

値が、外部フェデレーションを設定しているクラウドと一致することを確認してください。

表 3. IdP からの WS-Fed メッセージに必要な属性。

属性 人材を重視する価値 外部テナント向けの価値
パッシブリクエスターエンドポイント https://login.microsoftonline.com/login.srf https://<tenantID>.ciamlogin.com/login.srf
対象者 https://login.microsoftonline.com/<tenant ID>/ (推奨) <tenant ID> を、フェデレーションを設定する Microsoft Entra テナントのテナント ID に置き換えます。

外部フェデレーションに対して Microsoft Entra ID によって送信された SAML 要求の場合、発行者 URL はテナント エンドポイントです (たとえば https://login.microsoftonline.com/<tenant ID>/)。 新しいフェデレーションでは、すべてのパートナーは、SAML または WS-Fed ベースの IdP の対象ユーザーをテナントのエンドポイントに設定することをお勧めします。 グローバル エンドポイント (urn:federation:MicrosoftOnlineなど) で構成されている既存のフェデレーションは引き続き機能しますが、外部 IdP が Microsoft Entra ID によって送信された SAML 要求のグローバル発行者 URL を想定している場合、新しいフェデレーションは機能しなくなります。		 https://login.microsoftonline.com/<tenant ID>/
<tenant ID>を、フェデレーションを設定する Microsoft Entra テナントのテナント ID に置き換えます。
発行者 パートナーの IdP の発行者 URI (たとえば http://www.example.com/exk10l6w90DHM0yi...) パートナーの IdP の発行者 URI (たとえば http://www.example.com/exk10l6w90DHM0yi...)

表 4. IdP によって発行された WS-Fed トークンに必要な要求。

属性
イミュータブルID (不変ID) http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
メールアドレス http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

手順 3: Microsoft Entra 外部 ID で SAML/WS-Fed IdP フェデレーションを構成する

次に、Microsoft Entra 外部 ID で手順 1 で構成した IdP とのフェデレーションを構成します。 Microsoft Entra 管理センターまたは Microsoft Graph API を使用できます。 フェデレーション ポリシーが有効になるまで 5 分から 10 分かかる場合があります。 この間、セルフサービス サインアップを完了したり、フェデレーション ドメインの招待を利用したりしないでください。 次の属性は必須です。

  • パートナーの IdP の発行者 URI
  • パートナー IdP のパッシブ認証エンドポイント (サポートされているのは https のみ)
  • 証明書

Microsoft Entra 管理センターでテナントに IdP を追加するには

  1. Microsoft Entra 管理センターに、少なくとも外部 ID プロバイダー管理者としてサインインします。

  2. 複数のテナントにアクセスできる場合は、上部メニューの [設定] アイコン を使用して、[ ディレクトリ ] メニューからテナントに切り替えます。

  3. Microsoft Entra ID>External Identities>すべての ID プロバイダーを表示する

  4. [ カスタム ] タブを選択し、[ Add new>SAML/WS-Fed] を選択します。

    新しい SAML または WS-Fed IdP を追加するためのボタンを示すスクリーンショット。

  5. [ 新しい SAML/WS-Fed IdP ] ページで、次のように入力します。

    • 表示名 - パートナーの IdP を識別するのに役立つ名前を入力します。
    • ID プロバイダー プロトコル - SAML または WS-Fed を選択します。
    • ドメインレス - ドメインレス を選択すると、ユーザーのメール アドレスのドメイン チェックは適用されません。 詳細については、「 ドメインレス SAML IdP フェデレーション」を参照してください。
    • フェデレーション IdP のドメイン名 - フェデレーション のパートナーの IdP ターゲット ドメイン名を入力します。 この初期構成時に、ドメイン名を 1 つだけ入力します。 ドメインは後からさらに追加できます。

    新しい SAML または WS-Fed IdP ページを示すスクリーンショット。

  6. メタデータを設定する方法を選択します。 メタデータを含むファイルがある場合は、[メタデータ ファイルの解析] を選択して ファイル を参照することで、フィールドを自動的に設定できます。 または、[ 入力メタデータ] を手動で 選択し、次の情報を入力できます。

    • パートナーの SAML IdP の 発行者 URI 、またはパートナーの WS-Fed IdP の エンティティ ID
    • パートナーの SAML IdP の パッシブ認証エンドポイント 、またはパートナーの WS-Fed IdP の パッシブ リクエスタ エンドポイント
    • 証明書 - 署名証明書 ID。
    • メタデータ URL - 署名証明書の自動更新のための IdP のメタデータの場所。

    メタデータ フィールドを示すスクリーンショット。

    メタデータ URL は省略可能です。 ただし、強くお勧めします。 メタデータ URL を指定すると、署名証明書が有効期限切れになったときに、Microsoft Entra ID によって自動的に更新することができます。 有効期限が切れる前に何らかの理由で証明書がローテーションされた場合、またはメタデータ URL を指定しない場合、Microsoft Entra ID はそれを更新できません。 この場合、署名証明書を手動で更新する必要があります。

  7. [保存] を選択します。 ID プロバイダーが SAML/WS-Fed ID プロバイダーの 一覧に追加されます。

    SAML/WS-Fed ID プロバイダーの一覧と新しいエントリを示すスクリーンショット。

  8. (省略可能) このフェデレーション ID プロバイダーにドメイン名を追加するには、次の手順を行います。

    1. [ ドメイン] 列のリンクを選択します。

      SAML/WS-Fed ID プロバイダーにドメインを追加するためのリンクを示すスクリーンショット。

    2. [ フェデレーション IdP のドメイン名] の横にドメイン名を入力し、[ 追加] を選択します。 追加するドメインごとに繰り返します。 完了したら、[ 完了] を選択します。

      ドメインの詳細ウィンドウの [追加] ボタンを示すスクリーンショット。

Microsoft Graph API を使用してフェデレーションを構成する方法

Microsoft Graph API samlOrWsFedExternalDomainFederation リソースの種類を使用して、SAML または WS-Fed プロトコルをサポートする ID プロバイダーとのフェデレーションを設定できます。

手順 4: 引き換え順序を構成する (従業員テナントでの B2B コラボレーション)

確認済みドメインとの B2B コラボレーションのためにワークフォース テナントでフェデレーションを構成する場合は、招待の利用時にフェデレーション IdP が最初に使用されていることを確認します。 インバウンド B2B コラボレーションのテナント間アクセス設定で引き換え順序の設定を構成します。 SAML/WS-Fed ID プロバイダープライマリ ID プロバイダーの一覧の一番上に移動して、フェデレーション IdP で引き換えの優先順位を付けます。

新しい B2B ゲスト ユーザーを招待することで、フェデレーションのセットアップをテストできます。 詳細については、 Microsoft Entra 管理センターでの Microsoft Entra B2B コラボレーション ユーザーの追加に関するページを参照してください。

招待の引き換え順序は、Microsoft Graph REST API (ベータ 版) を使用して構成できます。 例 2: Microsoft Graph リファレンス ドキュメントの 既定の招待引き換え構成を更新 するを参照してください。

ドメインレス SAML IdP フェデレーション (プレビュー)

Microsoft Entra IDの従来のフェデレーションでは、カスタム ドメイン (contoso.com など) を確認し、認証要求を外部 SAML ID プロバイダー (IdP) にリダイレクトするようにそのドメインを構成する必要があります。 このセットアップでは、認証後に外部 IdP によって提供される電子メール要求のドメインが、Microsoft Entra IDで構成された SAML IdP に関連付けられているドメインに対して検証されます。

ユーザーの電子メール ドメインが SAML IdP で構成されているドメイン (yahoo.com や gmail.com など) と異なる場合、ユーザーはサインイン中に次のエラーが発生する可能性があります。

AADSTS5000819: SAML アサーションが無効です。 電子メール アドレス要求が見つからないか、外部領域のドメインと一致しません。

このエラーは通常次の場合に発生します。

  • 外部 SAML IdP が電子メール要求を送信しない、または
  • IdP によって提供される電子メール アドレス ドメインが、Microsoft Entra IDの外部 IdP で構成されているドメインと一致しません

電子メール要求が存在する場合でも、ドメインベースの一致要件により、電子メール ドメインが構成済みの IdP ドメインと一致しない場合、認証が失敗する可能性があります。

SAML ID プロバイダーとのドメインレス SAML フェデレーションを使用すると、外部ユーザーは、メール ドメインに関係なく、IdP で管理される資格情報を使用してアプリまたは従業員リソースに対して認証を行うことができます。 ドメインレス フェデレーションを使用すると、サインインまたは招待の利用中に、ユーザーの電子メールドメインと事前構成済みの IdP ドメインの間でドメインマッチングを行う必要がなくなります。

ドメインレス SAML IdP フェデレーションを構成する

ドメイン一致の制限に対処するには、SAML IdP をドメインレスとして構成します。 ドメインレス フェデレーションが有効になっている場合:

  • Microsoft Entra IDは、発行者 URI の関連付けに基づいて、構成済みの SAML IdP に認証要求をルーティングします。
  • ユーザーのメール アドレス ドメインが、IdP 用に構成されたドメインと一致しません。

ユーザーは、外部 SAML IdP を使用してサインインするときに、任意のドメインの電子メール アドレス (yahoo.com や gmail.com など) を使用して正常に認証できます。

新しい SAML IdP に対してドメインレス フェデレーションを有効にするには、次の手順に従います。

  • [ 新しい SAML/WS-Fed IdP ] ページで、[ ドメインレス] を選択します。 [ ドメインレス] を選択すると、ユーザーのメール アドレスのドメイン チェックは適用されません。

    ドメインレス構成を含む SAML/WS-Fed ID プロバイダーの一覧を示すスクリーンショット。

重要

[ドメインレス] フィールドが選択されている場合、フェデレーションはドメインレスとして構成されます。 Microsoft Entra IDでは、ドメイン ベースのルーティングではなく、Issuer URI を使用して受信認証要求を照合します。 現時点では、テナントごとに構成できるワイルドカード IdP は 1 つだけ です。

ドメインレス SAML IdP フェデレーションのユーザー フロー

ドメインレス フェデレーションを構成したら、次の手順に従って、パートナー組織からゲスト ユーザーを招待できます。

  1. Microsoft Entra 管理センターで、Identity>Users>All users に移動します。
  2. [ + 新しいユーザー ] を選択し、[ 外部ユーザーの招待] を選択します。
  3. ゲスト ユーザーのメール アドレスを入力します。 メール ドメインは、テナント内の検証済みドメインと一致する必要はありません。
  4. 招待リダイレクト URL に 、domain_hint パラメーターを含め、構成された発行者 URI に基づいてユーザーが適切な IdP にルーティングされるようにします。 domain_hint値は、SAML IdP 構成で定義されている発行者 URI と一致する必要があります。
  5. 招待を完了して送信します。
  6. 招待されたユーザーが招待を利用すると、Microsoft Entra IDは、domain_hint パラメーターの発行者 URI を使用して、構成された SAML IdP に認証要求をルーティングします。
  7. ユーザーは外部 SAML IdP を使用して認証します。 ユーザーのメール アドレス ドメインが IdP 用に構成されたドメインと一致せず、ユーザーはリソース テナントにアクセスできます。
  8. それ以降のサインインでは、ユーザー オブジェクトが外部 IdP 関連付けで更新されるため、ユーザーは外部 SAML IdP で認証することで、リソース テナント アプリケーションに直接アクセスできます。

既知の問題

次の既知の問題に積極的に対処中であり、このセクションは修正プログラムが利用可能になった後に更新されます。

  • IdP 構成が保存されていない場合でも、無効なドメイン名が入力された場合、IdP 構成は削除されます。

証明書または構成の詳細を更新する方法

[すべての ID プロバイダー ] ページで、構成されている SAML/WS-Fed ID プロバイダーとその証明書の有効期限の一覧を表示できます。 この一覧から、証明書を更新したり、その他の構成の詳細を変更したりできます。

  1. Microsoft Entra 管理センターに、少なくとも外部 ID プロバイダー管理者としてサインインします。

  2. Microsoft Entra ID>External Identities>すべての ID プロバイダーを表示する

  3. [カスタム] タブ 選択します。

  4. 一覧内の ID プロバイダーまでスクロールするか、検索ボックスを使用します。

  5. 証明書を更新するか、構成の詳細を変更するには、次の手順を実行します。

    • ID プロバイダーの [構成] 列で、[ 編集] リンクを選択します。
    • 構成ページで、次の詳細から任意のものを変更します。
      • 表示名 - パートナーの組織の表示名。
      • ID プロバイダー プロトコル - SAML または WS-Fed を選択します。
      • パッシブ認証エンドポイント - パートナー IdP のパッシブ リクエスタ エンドポイント。
      • 証明書 - 署名証明書の ID。 更新するには、新しい証明書 ID を入力します。
      • メタデータ URL - 署名証明書の自動更新に使用されるパートナーのメタデータを含む URL。
    • [保存] を選択します

    IDP 構成の詳細のスクリーンショット。

  6. パートナーに関連付けられているドメインを編集するには、[ ドメイン ] 列のリンクを選択します。 ドメインの詳細ウィンドウで、次の操作を行います。

    • ドメインを追加するには、[ フェデレーション IdP のドメイン名] の横にドメイン名を入力し、[ 追加] を選択します。 追加するドメインごとに繰り返します。
    • ドメインを削除するには、ドメインの横にある削除アイコンを選択します。
    • 完了したら、[ 完了] を選択します。

    ドメイン構成ページのスクリーンショット。

  7. ドメインレス フェデレーションに切り替えるには、[ ドメインレス ] チェック ボックスをオンにし、[ 完了] を選択します。

    ドメインレスのドメイン構成ページのスクリーンショット。

    パートナーとのフェデレーションを削除するには、最初に 1 つを除くすべてのドメインを削除してから、次のセクション の手順に従います。

フェデレーションを削除する方法

フェデレーション構成は削除できます。 その場合、既に招待を利用したフェデレーション ゲスト ユーザーはサインインできなくなります。 ただし、 引き換えの状態をリセットすることで、リソースへのアクセス権を再び付与することができます。 Microsoft Entra管理センターで IdP の構成を削除するには:

  1. Microsoft Entra 管理センターに、少なくとも外部 ID プロバイダー管理者としてサインインします。

  2. Microsoft Entra ID>External Identities>すべての ID プロバイダーを表示する

  3. [ カスタム ] タブを選択し、一覧から ID プロバイダーまでスクロールするか、検索ボックスを使用します。

  4. [ ドメイン ] 列のリンクを選択して、IdP のドメインの詳細を表示します。

  5. [ ドメイン名 ] 一覧の 1 つ以外のドメインをすべて削除します。

  6. [ 構成の削除] を選択し、[ 完了] を選択します。

    構成の削除のスクリーンショット。

  7. [ OK] を 選択して削除を確定します。

Microsoft Graph API samlOrWsFedExternalDomainFederation リソースの種類を使用してフェデレーションを削除することもできます。

次のステップ

  • Last updated on