次の方法で共有

アプリケーション プロキシ アプリケーションに対するシングル サインオンを構成する方法

  • [アーティクル]

シングル サインオン (SSO) を導入すると、ユーザーに何度も認証することなく、アプリケーションにアクセスできるようになります。 Microsoft Entra ID に対して、クラウド内で認証を 1 回行うだけで済むため、サービスまたはコネクタはユーザーを偽装して、それ以降のアプリケーションからの認証チャレンジを完了することができます。

シングル サインオンの構成方法

SSO を構成するにはまず、Microsoft Entra ID で事前認証を行うようにアプリケーションを構成する必要があります。

  1. 少なくとも アプリケーション管理者 の権限で Microsoft Entra 管理センター にサインインします。
  2. 右上隅で自分のユーザー名を選択します。 アプリケーション プロキシを使うディレクトリにサインインしていることを確認します。 ディレクトリを変更する必要がある場合は、[ディレクトリの切り替え] を選び、アプリケーション プロキシを使うディレクトリを選びます。
  3. ID>アプリケーション>エンタープライズ アプリケーション>アプリケーション プロキシ を参照します。

[事前認証] フィールドを検索し、それが設定されていることを確認します。

個々の事前認証方法の詳細については、アプリの発行に関するドキュメントの手順 4 を参照してください。

Microsoft Entra 管理センターでの事前認証方法

アプリケーション プロキシ アプリケーションに使用するシングル サインオン モードの構成

具体的なシングル サインオンの種類を構成します。 サインオン方法は、バックエンド アプリケーションで使用される認証の種類に基づいて分類されます。 アプリケーション プロキシ アプリケーションは、次の 3 種類のサインオンに対応します:

  • パスワード ベースのサインオン: サインオンにユーザー名フィールドとパスワード フィールドを使うアプリケーションには、パスワード ベースのサインオンを使用できます。 構成手順については、Microsoft Entra ギャラリー アプリケーションのパスワード シングル サインオンの構成に関するページに記載されています。

  • 統合 Windows 認証: 統合 Windows 認証 (IWA) を使うアプリケーションでは、Kerberos の制約付き委任 (KCD) を通じてシングル サインオンが実現されます。 この方法では、Active Directory でユーザーを偽装し、ユーザーに代わってトークンを送受信するためのアクセス許可が、プライベート ネットワーク コネクタに付与されます。 KCD の構成の詳細については、KCD によるシングル サインオンに関するドキュメントを参照してください。

  • ヘッダーベースのサインオン: ヘッダーベースのサインオンは、HTTP ヘッダーを使用するシングル サインオン機能を提供するために使用されます。 詳細については、ヘッダーベースのシングル サインオンに関するトピックを参照してください。

  • SAML シングル サインオン: SAML によるシングル サインオンでは、ユーザーの Microsoft Entra アカウントを使用して、Microsoft Entra がアプリケーションに対して認証を行います。 Microsoft Entra ID は、接続プロトコルを通してアプリケーションにシングル サインオンの情報を伝達します。 SAML ベースのシングル サインオンでは、SAML 要求で定義するルールに基づいて、ユーザーを特定のアプリケーション ロールにマップできます。 SAML によるシングル サインオンの設定の詳細については、アプリケーション プロキシを使用したシングル サインオンの場合の SAML に関するページを参照してください。

上記の各オプションは、[エンタープライズ アプリケーション] で目的のアプリケーションに移動し、左側のメニューで [シングル サインオン] ページを開くと表示されます。 アプリケーションが以前のポータルで作成されている場合、一部のオプションが表示されないことがあります。

このページには、もう 1 つのサインオン オプション ([リンクされたサインオン]) も表示されます。 アプリケーション プロキシでは、このオプションがサポートされます。 ただし、このオプションによって、アプリケーションにシングル サインオンは追加されません。 とは言うものの、アプリケーションには、Active Directory フェデレーション サービスなどの別のサービスを使って既にシングル サインオンが実装されている場合があります。

管理者はこのオプションを選択することで、ユーザーがアプリケーションにアクセスしたときに最初に目にする、アプリケーションへのリンクを作成することができます。 たとえば、Active Directory フェデレーション サービス (AD FS) 2.0 を使用してユーザーを認証するように構成されたアプリケーションでは、[リンクされたサインオン] オプションを使用して、[マイ アプリ] にそのアプリケーションへのリンクを作成できます。

次のステップ