ステップ1:Microsoft 365 で「ドメイン」の設定
Gluegent Gate と Microsoft 365 の連携には、xxxx.onmicrosoft.com 以外のお客様が保持しているドメインが必要です。
Gluegent Gate で作成されるユーザーは、ここで追加したドメインのメールアドレスを使用します。
既にドメインが追加されている場合は次のステップまでお進みください。
- Microsoft 365 の管理センターにアクセスします。
- [設定] > [ドメイン] ページの順に移動します。
- [ドメインの追加] を選択します。
- 追加するドメインの名前を入力し、[このドメインを使用する] を選択します。
- ドメインの所有を確認する方法を選択します。
- Microsoft がドメインを使用するために必要な DNS 変更を行います。
- [完了] を選択します。
詳細は、Microsoft 365 のヘルプ記事をご参照ください。
情報:
現在、xxx.onmicrosoft.com での シングルサインオンや ID同期を行うことができますので、ドメインの追加は必須ではありません。
→Microsoft 365 の onmicrosoft.com ドメインへの SSO と ID同期について
ステップ2:Microsoft 365 で「既定ドメイン」の設定
Microsoft 365 では新しく作成したドメインが自動的に「既定のドメイン」となります。「既定のドメイン」に設定したドメインは Gluegent Gate との連携には使用できません。
そのため、追加したドメインのチェックを選択し、別のドメインへ「既定のドメイン」を移動させます。
Microsoft 365 の初期ドメインの「xxxx.onmicrosoft.com」を「既定のドメイン」に必ず変更してください。
- 管理センターで、 [設定] > [ドメイン] ページの順に移動します。
- [ ドメイン ] ページで、新しいメール アドレスの既定として設定するドメインを選択します。
- [ 既定に設定 ] を選択します。
詳細は、Microsoft 365 のヘルプ記事をご参照ください。
結果例:
情報:
既定のドメインを変更することで、配信不能通知(NDR)の送信元が xxxx.onmicrosoft.com になりますが、これは、Set-TransportConfig コマンドの、ExternalPostmasterAddress のパラメーターで変更可能です。
→Set-TransportConfig
ステップ3:Microsoft 365 でシングルサインオンの設定
Microsoft 365 のグローバル管理者権限を持つユーザーを使用し、以下の設定を行います。
アプリケーションの登録
プライベート証明書の作成
証明書 / クライアントシークレットの登録
Microsoft Graph の追加
Office 365 Exchange Online の追加
ロールの割り当て
アプリケーションの登録
Microsoft Azure にログインします。
ログイン画面が表示された場合は、グローバル管理者のメールアドレス・パスワードを入力し、ログインしてください。
画面上部の検索ボックスに「Active」と入力し、表示された「Azure Active Directory 」をクリックします。
画面左のメニューより「アプリの登録」をクリックし、「新規登録」をクリックします。
以下の設定を行います。
- 名前
- 任意の値を入力します。ここでは「Gluegent Gate」と入力しています。
- サポートされているアカウントの種類
- 「この組織ディレクトリのみに含まれるアカウント」を選択します。
- リダイレクト URI
- 「Web」を選択し、下記URLを入力します。
-
https://auth.gluegent.net/seciossadmin/index.php?action_saml_tenantOffice365OAuth=true
「登録」をクリックします。
作成されたアプリが表示されます。「概要」に表示される「アプリケーション(クライアント)ID」「ディレクトリ(テナント)ID」をテキストエディタ等に控えておきます。
各 ID 横の「クリップボードにコピー」をクリックします。
リダイレクト URI の「1個の Web、0個のSPA、0個のパブリック クライアント」をクリックします。
Web > リダイレクト URI にて「URI の追加」をクリックします。
追加された入力欄に下記 URL を入力します。
https://auth.gluegent.net/tenantadmin/index.php?action_saml_tenantOffice365OAuth=true
画面下部の「保存」をクリックします。
プライベート証明書の作成
情報:
この項で証明書の作成が正しく行えない場合は弊社にて作成した証明書をご提供いたします。証明書の提供をご希望の際は当サポートへお知らせください。
プライベート証明書を作成します。
こちらにアクセスし、OpenSSLをインストールします。
「Download Win32/Win64 OpenSSL」にて最新バージョンのEXE または MSI をクリックします。お使いの Windows のビットバージョンに合ったものを選択してください。Light版 / 通常版のいずれかを選択してください。
ダウンロードしたファイルを実行し、インストールを行ってください。
コマンドプロンプトを起動します。
CD コマンドを使用し、OpenSSL の実行ファイルが格納されたフォルダに移動します。
上記の例の場合は、Win64 でインストールし、Program Filesにインストールしたので
cd C:\Program Files\OpenSSL-Win64\bin
と入力しています。
以下のコマンドを入力し、秘密鍵を生成します。
openssl genrsa 2048 > %HOMEPATH%\oauth.key
%HOMEPATH% に oauth.key ファイルが作成されます。%HOMEPATH% は C:¥Users¥ユーザ名 などです。
秘密鍵をもとに、証明書を作成します。
openssl req -new -x509 -key %HOMEPATH%\oauth.key -out %HOMEPATH%\oauth.crt -days 3650 -subj "/C=JP/ST=Tokyo/L=Minato/O=SIOS/OU=GL/CN=gluegent"
情報:
上記コマンドの [-days 3650] は 10 年間有効な証明書を作成しています。10 年間より短い期間を指定することも可能です。(例:-days 365)
上記コマンドの [/C=JP/ST=Tokyo/L=Minato/O=SIOS/OU=GL/CN=gluegent] はお客様の情報に則した内容を設定してください。
C=Country Name (国名を2文字で指定する。日本の国名は”JP”)
S=State Or Province Name (都道府県名を指定する)
L=Location Name (市区町村名を指定する)
O=Organization Name (企業名を指定する)
OU=Organization Unit Name (部署名を指定する)
CN=Common Name (Gluegent Gate のテナント ID と同一のものを指定する)
%HOMEPATH% に oauth.crt ファイルが作成されます。
証明書 / クライアントシークレットの登録
Microsoft Azure>Azure Active Directory>アプリの登録>Gluegent Gate にて「証明書とシークレット」をクリックします。
「証明書」をクリックし「証明書のアップロード」をクリックします。
先ほど作成した「oauth.crt」を選択し「追加」をクリックします。
「クライアント シークレット」をクリックし、「新しいクライアント シークレット」をクリックします。
「有効期限」にて「24か月」などの長い期間を選択し、「追加」をクリックします。
重要:
証明書とクライアント シークレットの有効期限が切れると、Gluegent Gate から Microsoft 365 への ID 同期が正常に行われなくなります。クライアント シークレットの追加の操作を再度実施してください。
有効期限の通知はシステム>テナント情報で設定したメールアドレス宛に送信されます。有効期限が切れる 30日前、21日前、14日前、7日前、及び有効期限が切れる当日に送信されます。
→テナント情報
作成後、一覧に表示されたクライアント シークレットの「値」をテキストエディタ等に控えておきます。
値の横の「クリップボードにコピー」をクリックします。
重要:
クライアント シークレットの「値」は画面遷移や一定時間が経過すると再取得できなくなります。
Microsoft Graph の追加
Microsoft Azure>Azure Active Directory>アプリの登録>Gluegent Gate にて「API のアクセス許可」をクリックします。
「アクセス許可の追加」をクリックします。
「Microsoft Graph」をクリックします。
「アプリケーションの許可」をクリックします。
検索ボックスにアクセス許可を入力し、表示されたアクセス許可のチェックボックスをオンにします。(「>」をクリックして詳細を開きます)
以下のアクセス許可を全て追加してください。
- Application.ReadWrite.All
- Directory.Read.All
- Directory.ReadWrite.All
- Domain.ReadWrite.All
- Group.Read.All
- Group.ReadWrite.All
- GroupMember.Read.All
- GroupMember.ReadWrite.All
- Member.Read.Hidden
- Organization.Read.All
- Organization.ReadWrite.All
- Policy.Read.All
- RoleManagement.Read.Directory
- RoleManagement.ReadWrite.Directory
- User.Read.All
- User.ReadWrite.All
次に「委任されたアクセス許可」をクリックします。
検索ボックスに以下のアクセス許可を入力し、表示されたアクセス許可のチェックボックスをオンにします。(「>」をクリックして詳細を開きます)
以下のアクセス許可を全て追加してください。
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.ReadWrite.All
- Domain.ReadWrite.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- Member.Read.Hidden
- Organization.ReadWrite.All
- Policy.Read.All
- RoleManagement.ReadWrite.Directory
- User.ReadWrite.All
情報:
検索候補が 2 つ以上表示された場合は完全に一致する方を選択してください。
すべて選択したら「アクセス許可の追加」をクリックします。
追加したアクセス許可が一覧に表示されたことを確認し、「管理者の同意を与えます」をクリックします。
「はい」をクリックします。
Office 365 Exchange Online の追加
情報:
ご契約のMicrosoft 365 のライセンスに Exchange Online が含まれており、Gluegent Gate から Microsoft 365 への ID 同期時に Exchange Online のライセンスを付与する場合は以下の操作を行ってください。
Microsoft Azure>Azure Active Directory>アプリの登録>Gluegent Gate にて「マニフェスト」をクリックします。
エディタ内に以下の文言を追記します。
"requiredResourceAccess": [
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
},
作業は記述されている内容をテキストエディタにコピーして行ってください。
記述された内容から「requiredResourceAccess」を検索します。
検索にヒットした
"requiredResourceAccess": [
と
{
の間に
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
},
を追記します。
編集した内容をテキストエディタから画面にコピーします。
「保存」をクリックします。
「API のアクセス許可」をクリックします。
一覧に「Office 365 Exchange Online」>「Exchange.ManageAsApp」が追加されていることを確認し「管理者の同意を与えます」をクリックします。
「はい」をクリックします。
ロールの割り当て
Microsoft Azure>すべてのサービス にて「ID」をクリックし、「Azure AD のロールと管理者」をクリックします。
情報:
すべてのサービス>ID に「Azure AD のロールと管理者」が表示されない場合は、画面最上部の検索ボックスで直接「Azure AD のロールと管理者」を入力してヒットしたメニューをクリックしてください。
管理者ロールの一覧から「グローバル管理者」を検索し、クリックします。
「割り当ての追加」をクリックします。
アプリの登録時に控えておいた「アプリケーション(クライアント)ID」を検索ボックスに入力し、表示されたアプリをクリックします。
「追加」をクリックします。
ステップ4:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate の管理画面にアクセスします。
左メニューにて「シングルサインオン」→「クラウドサービス」の順にクリックします。
画面右上の「登録」をクリックします。
一覧から「Microsoft 365」の操作アイコンをクリックします。
以下の設定を行います。
- シングルサインオンの設定
- 「有効」のチェックをオフにします。チェックがオフの場合、シングルサインオン(フェデレーション)は行われません。
- ID同期
- 「有効」のチェックをオンにします。
- Microsoft 365 ドメイン
-
ステップ1で追加したドメインを入力します。
重要:
ここには「既定のドメイン」や「xxx.onmicrosoft.com」ドメインは設定できません。
(一部例外を除く→Microsoft 365 の onmicrosoft.com ドメインへの SSO と ID同期について)
また、サブドメイン(例:「example.com」に対する「sub.example.com」)も設定できません。情報:
ドメインが複数存在する場合は「ドメインを追加」をクリックし、追加された入力欄に入力します。
- Microsoft 365 管理アカウント名
- Microsoft 365 の管理権限を持つユーザーのメールアドレスを入力します。
-
重要:
- ここで入力する管理者は多要素認証を設定しないでください。
- ここで設定する管理者はシングルサインオン対象外の管理者を設定ください。
「xxx.onmicrosoft.com」の管理者が推奨です。
- APIの認証方式
- 「OAuth 認証」を選択します。
- OAuth 認証-アプリケーションID
- ステップ3 で Azure AD に作成したアプリケーションの「アプリケーション(クライアント)ID」を入力します。
- ディレクトリID
- ステップ3 で Azure AD に作成したアプリケーションの「ディレクトリ(テナント)ID」を入力します。
- クライアントシークレット
- ステップ3 で作成したクライアント シークレットの「値」を入力します。
- トークンの取得
- 上記「アプリケーションID」「ディレクトリID」「クライアントシークレット」を入力後、「トークン取得」をクリックします。
-
重要:
クライアントシークレットや証明書の有効期限が切れた際は、再発行を行い、再度トークン取得が必要です。
- Exchangeの接続方式
- 「パスワード」を選択します。
-
重要:
証明書を選択した場合、グループの種類「Microsoft 365」のグループが作成できませんので「パスワード」を選択してください。
- 証明書(PKCS#12形式)
- 使用しません。
- 証明書のパスフレーズ
- 使用しません。
- 接続用パスワード
- 「Microsoft 365 管理アカウント名」で入力したユーザーのパスワードを入力します。
各設定を設定し「保存」をクリックします。
ステップ5:Gluegent Gate で「認証」「アクセス権限」の設定
認証ルール(本人確認の為の処理)を作成します。
情報:
ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gateの管理画面にアクセスします。
左メニューの「認証」→「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
ID
- 任意の値を入力します。(例:rule_web)
- 認証方法
- 「ID/パスワード認証」にチェックを入れます。
- クライアント
-
以下の 3 つにチェックを入れます。
ブラウザー PC / ブラウザー スマートフォン / ブラウザー タブレット
「登録」をクリックします。
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
情報:
ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:for_web)
- アクセス先のサービス
- 「Microsoft 365」「ユーザーポータル」にチェックを入れます。
- 要求される認証方式
- 「ID/パスワード認証」にチェックを入れます。
- クライアント
-
以下の 3 つにチェックを入れます。
ブラウザー PC / ブラウザー スマートフォン / ブラウザー タブレット
「登録」をクリックします。
重要:
基本認証の場合は認証ルールによる認証は行われません。IP アドレス制限を行う場合はアクセス権限ルールにて設定してください。また、基本認証の場合は ID / パスワード認証のみ行い、それ以外の認証方式は使用できません。
ステップ6:Microsoft 365 で「ユーザー情報」のダウンロード
Microsoft 365 に登録されているユーザー情報を取得します。
- Microsoft 365 の管理センターにアクセスします。
- [ユーザー」>[アクティブなユーザー]ページの順に移動します。
- [...]>[ユーザーのエクスポート]をクリックします。画面の指示に従い操作を行い、ユーザー情報の CSV ファイルをダウンロードします。
ステップ7:Gluegent Gate で「ユーザー」の一括登録
重要:作業の前に
Gluegent Gate と Microsoft 365 の認証連携では、双方のユーザーを Immutable IDと呼ばれる特殊な属性値でマッピングしており、同じ Immutable ID を持つユーザーでログインします。
この Immutable ID は、 Microsoft 365 管理センターで作成された Microsoft 365 ユーザーには登録されていないため、Gluegent Gate から Microsoft 365 へのユーザー同期によって Immutable ID を伝搬する必要があります。
Gluegent Gate からのユーザー同期は、通常同じメールアドレスを持つ Microsoft 365 ユーザーに対して行われ、この際 Immutable ID だけでなく氏名や他の属性、ライセンス情報、パスワードも上書きされます。
そのため、既存の Microsoft 365 ユーザーと同じ情報で Gluegent Gate ユーザーを作成することが望まれます。
Gluegent Gate からのユーザー同期によって、運用中の Microsoft 365 ユーザーのパスワードが上書きされるため、そのタイミングでユーザー側では上書きされたパスワード値での再ログインが必要になります。
そのため本項での Gluegent Gateユーザーの作成は、予めユーザーへの告知を行うなど計画的に実施してください。
雛形ユーザーの作成
Gluegent Gate ユーザーの一括登録用 CSV はフィールド数が多く、またその値も複雑なため、CSV ファイルを一から作成するのは現実的ではありません。
そこで、まず実ユーザーの雛形となるテストユーザーを Gluegent Gate 管理画面上で作成し、エクスポートします。
エクスポートした CSV は一括登録用の CSV として使用できるため雛形ユーザーの行をコピーする形で、実ユーザー情報を書き加えて行くことで記入ミスを防ぐことができます。
Gluegent Gateの管理画面にアクセスします。
左メニューにて「ユーザー」→「新規登録」の順にクリックします。
ユーザーの新規登録画面に遷移します。
必要事項を入力します。
- ユーザーID
- Gluegent Gate のログイン画面で使用するIDです。
- この項目は作成後に変更できません。
- 氏名
- Microsoft 365 の表示名に反映されます。
- メールアドレス
- Microsoft 365 のメールアドレスに反映されます。
- ユーザー名にも反映されます。
- パスワード
- ログインのためのパスワードです。
- 許可するサービス
- 「Microsoft 365」のチェックを入れます。
- Microsoft 365のロール
- 既存ユーザーのライセンス状況に合わせて必要なものを選択します。
「登録」をクリックします。
情報:
Gluegent Gate 側の情報は Microsoft 365 に即時同期されます。Exchange Online に同期される時間は、毎時 0 分と 30 分です。
Gluegent Gate ユーザー一覧画面の下部「ファイル出力」をクリックします。
「SJIS」「UTF-8」のいずれかをクリックします。
ユーザー情報に機種依存文字を含む場合は、文字化けを避けるために「UTF-8」をクリックします。
作成した雛形ユーザーの情報を含む CSV ファイルがダウンロードされます。
CSV による一括登録
実ユーザー情報を加えた CSV を用いて、Gluegent Gate で一括登録を行います。
ユーザー一覧でダウンロードした CSV を元に、ステップ6 でダウンロードした CSV ファイルの情報を使い一括登録用 CSV を作成します。
ファイルの準備ができましたら、Gluegent Gate の管理画面にアクセスします。
左メニューの「ユーザー」>「CSV登録」の順にクリックします。
「ファイルを選択」をクリックし、作成した CSV ファイルを選択し、「登録」をクリックします。
ログインユーザーの通知用メールアドレス宛に処理結果が通知されますので確認してください。
詳しくは「ユーザーの管理 - 7. ユーザーの一括作成 / 更新」を参照してください。
ステップ8:Gluegent Gate で「操作ログ」を確認
登録後、ログで正しく Microsoft 365 にユーザーが作成されたかを確認します。
Gluegent Gateの管理画面にアクセスします。
左メニューの「ログ」→「システムログ」の順にクリックします。
ログファイルで「操作ログ」を選択し、「適用」をクリックします。その他の検索項目は必要に応じて設定します。
Gluegent Gate への追加ログと Microsoft 365 への追加ログが表示されます。
情報:
「(Microsoft 365)」が付いているものが Microsoft 365 への追加ログです。
赤いテキストで表示されたログは、ユーザーの登録に失敗した処理になります。
ステップ9:Gluegent Gate で「シングルサインオンの設定」の有効化
Gluegent Gate 側でシングルサインオンが有効となるよう設定を行います。
Gluegent Gate の管理画面にアクセスします。
左メニューの「シングルサインオン」>「クラウドサービス」の順にクリックします。
クラウドサービス一覧の「Microsoft 365」の操作アイコンをクリックします。
ステップ4 で有効としなかった「シングルサインオン」の「有効」チェックをオンにし、「保存」をクリックします。
情報:
「保存」をクリック後、正常に保存されるとシングルサインオン(フェデレーション)が行われます。
ステップ10:シングルサインオン(SSO)でのログインの確認
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
※Microsoft 365 の管理画面にログインしている場合は、別のブラウザを使用するか、ログアウトしてからユーザーによるログインをご確認ください。
※今回は Microsoft 365 のポータルにアクセスする方法をご紹介します。
https://portal.office.com/ にアクセスします。
※Microsoft のサインイン画面で、メールアドレスを入力し、「次へ」をクリックします。
Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- Gluegent GateのユーザーID(@より前の部分)
- パスワード
- 新規登録時に設定したパスワード
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、Microsoft 365 に自動的に遷移します。遷移しない場合は画面上の「こちらへ」をクリックしてください。
Gluegent Gate が Microsoft 365 にアクセスが可能かを確認し、アクセス可能と判断されれば、Microsoft 365 へのログインに成功します。