ステップ1:Microsoft 365 で「ドメイン」の設定
Gluegent Gate と Microsoft 365 の連携には、xxxx.onmicrosoft.com 以外のお客様が保持しているドメインが必要です。
Gluegent Gate で作成されるユーザーは、ここで追加したドメインのメールアドレスを使用します。
既にドメインが追加されている場合は次のステップまでお進みください。
- Microsoft 365 の管理センターにアクセスします。
- [設定] > [ドメイン] ページの順に移動します。
- [ドメインの追加] を選択します。
- 追加するドメインの名前を入力し、[このドメインを使用する] を選択します。
- ドメインの所有を確認する方法を選択します。
- Microsoft がドメインを使用するために必要な DNS 変更を行います。
- [完了] を選択します。
詳細は、Microsoft 365 のヘルプ記事をご参照ください。
ステップ2:Microsoft 365 で「既定ドメイン」の設定
Microsoft 365 では新しく作成したドメインが自動的に「既定のドメイン」となります。「既定のドメイン」に設定したドメインは Gluegent Gate との連携には使用できません。
そのため、追加したドメインのチェックを選択し、別のドメインへ「既定のドメイン」を移動させます。
Microsoft 365 の初期ドメインの「xxxx.onmicrosoft.com」を「既定のドメイン」に必ず変更してください。
- 管理センターで、 [設定] > [ドメイン] ページの順に移動します。
- [ ドメイン ] ページで、新しいメール アドレスの既定として設定するドメインを選択します。
- [ 既定に設定 ] を選択します。
詳細は、Microsoft 365 のヘルプ記事をご参照ください。
結果例:
ステップ3:Microsoft 365 でシングルサインオンの設定
Microsoft 365 のグローバル管理者権限を持つユーザーを使用し、以下の設定を行います。
アプリケーションの登録
Microsoft Azure にログインします。
ログイン画面が表示された場合は、グローバル管理者のメールアドレス・パスワードを入力し、ログインしてください。
画面上部の検索ボックスに「Active」と入力し、表示された「Azure Active Directory 」をクリックします。
画面左のメニューより「アプリの登録」をクリックし、「新規登録」をクリックします。
以下の設定を行います。
- 名前
- 任意の値を入力します。ここでは「Gluegent Gate」と入力しています。
- サポートされているアカウントの種類
- 「この組織ディレクトリのみに含まれるアカウント」を選択します。
- リダイレクト URI
- 「Web」を選択し、下記URLを入力します。
-
https://auth.gluegent.net/seciossadmin/index.php?action_saml_tenantOffice365OAuth=true
「登録」をクリックします。
作成されたアプリが表示されます。「概要」に表示される「アプリケーション(クライアント)ID」「ディレクトリ(テナント)ID」をテキストエディタ等に控えておきます。
各 ID 横の「クリップボードにコピー」をクリックします。
プライベート証明書の作成
プライベート証明書を作成します。
こちらにアクセスし、OpenSSLをインストールします。
「Download Win32/Win64 OpenSSL」にて最新バージョンのEXE または MSI をクリックします。お使いの Windows のビットバージョンに合ったものを選択してください。Light版 / 通常版のいずれかを選択してください。
ダウンロードしたファイルを実行し、インストールを行ってください。
コマンドプロンプトを起動します。
CD コマンドを使用し、OpenSSL の実行ファイルが格納されたフォルダに移動します。
上記の例の場合は、Program Filesにインストールしたので
cd C:\Program Files\OpenSSL-Win64\bin
と入力しています。
以下のコマンドを入力し、秘密鍵を生成します。
openssl genrsa 2048 > %HOMEPATH%\oauth.key
秘密鍵をもとに、証明書を作成します。
openssl req -new -x509 -key %HOMEPATH%\oauth.key -out %HOMEPATH%\oauth.crt -days 3650 -subj "/C=JP/ST=Tokyo/L=Minato/O=SIOS/OU=GL/CN=gluegent"
情報:
上記コマンドの [-days 3650] は 10 年間有効な証明書を作成しています。10 年間より短い期間を指定することも可能です。(例:-days 365)
上記コマンドの [/C=JP/ST=Tokyo/L=Minato/O=SIOS/OU=GL/CN=gluegent] はお客様の情報に則した内容を設定してください。
C=Country Name (国名を2文字で指定する。日本の国名は”JP”)
S=State Or Province Name (都道府県名を指定する)
L=Location Name (市町村名を指定する)
O=Organization Name (企業名を指定する)
OU=Organization Unit Name (部署名を指定する)
CN=Common Name (Gluegent Gate のテナント ID と同一のものを指定する)
秘密鍵と証明書ファイルを PFX 形式に変換します。
下記コマンドを実行すると、ホームディレクトリ(C:\Users\<ユーザー名>)直下に「oauth.pfx」が生成されます。
openssl pkcs12 -export -inkey %HOMEPATH%\oauth.key -in %HOMEPATH%\oauth.crt -out %HOMEPATH%\oauth.pfx -name "oauth"
[Enter Export Password:] が表示されますので、任意のパスワードを入力します。
[Verifying - Enter Export Password:] が表示されますので、同じパスワードを入力します。
ここで入力したパスワードは Gluegent Gate の管理画面で使用しますので、テキストエディタ等に控えておきます。
証明書 / クライアントシークレットの登録
Microsoft Azure>Azure Active Directory>アプリの登録>Gluegent Gate にて「証明書とシークレット」をクリックします。
「証明書」をクリックし「証明書のアップロード」をクリックします。
先ほど作成した「oauth.crt」を選択し「追加」をクリックします。
「クライアント シークレット」をクリックし、「新しいクライアント シークレット」をクリックします。
「有効期限」にて「24か月」などの長い期間を選択し、「追加」をクリックします。
重要:
証明書とクライアント シークレットの有効期限が切れると、Gluegent Gate から Microsoft 365 への ID 同期が正常に行われなくなります。クライアント シークレットの追加の操作を再度実施してください。
作成後、一覧に表示されたクライアント シークレットの「値」をテキストエディタ等に控えておきます。
値の横の「クリップボードにコピー」をクリックします。
Microsoft Graph の追加
Microsoft Azure>Azure Active Directory>アプリの登録>Gluegent Gate にて「API のアクセス許可」をクリックします。
「アクセス許可の追加」をクリックします。
「Microsoft Graph」をクリックします。
「アプリケーションの許可」をクリックします。
検索ボックスにアクセス許可を入力し、表示されたアクセス許可のチェックボックスをオンにします。(「>」をクリックして詳細を開きます)
以下のアクセス許可を全て追加してください。
- Application.ReadWrite.All
- Directory.Read.All
- Directory.ReadWrite.All
- Domain.ReadWrite.All
- GroupMember.Read.All
- Group.Read.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- Member.Read.Hidden
- Organization.Read.All
- Organization.ReadWrite.All
- Policy.Read.All
- RoleManagement.Read.Directory
- RoleManagement.ReadWrite.Directory
- User.Read.All
- User.ReadWrite.All
情報:
検索候補が 2 つ以上表示された場合は完全に一致する方を選択してください。
すべて選択したら「アクセス許可の追加」をクリックします。
追加したアクセス許可が一覧に表示されたことを確認し、「管理者の同意を与えます」をクリックします。
「はい」をクリックします。
Office 365 Exchange Online の追加
情報:
ご契約のMicrosoft 365 のライセンスに Exchange Online が含まれており、Gluegent Gate から Microsoft 365 への ID 同期時に Exchange Online のライセンスを付与する場合は以下の操作を行ってください。
Microsoft Azure>Azure Active Directory>アプリの登録>Gluegent Gate にて「マニフェスト」をクリックします。
エディタ内に以下の文言を追記します。
"requiredResourceAccess": [
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
},
作業は記述されている内容をテキストエディタにコピーして行ってください。
記述された内容から「requiredResourceAccess」を検索します。
検索にヒットした
"requiredResourceAccess": [
と
{
の間に
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
},
を追記します。
編集した内容をテキストエディタから画面にコピーします。
「保存」をクリックします。
「API のアクセス許可」をクリックします。
一覧に「Office 365 Exchange Online」>「Exchange.ManageAsApp」が追加されていることを確認し「管理者の同意を与えます」をクリックします。
「はい」をクリックします。
ロールの割り当て
Microsoft Azure>すべてのサービス にて「ID」をクリックし、「Azure AD のロールと管理者」をクリックします。
管理者ロールの一覧から「グローバル管理者」を検索し、クリックします。
「割り当ての追加」をクリックします。
アプリの登録時に控えておいた「アプリケーション(クライアント)ID」を検索ボックスに入力し、表示されたアプリをクリックします。
「追加」をクリックします。
ステップ4:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate の管理画面にアクセスします。
左メニューにて「シングルサインオン」→「クラウドサービス」の順にクリックします。
画面右上の「登録」をクリックします。
一覧から「Microsoft 365」の操作アイコンをクリックします。
以下の設定を行います。
- シングルサインオンの設定
- 「有効」のチェックをオフにします。チェックがオフの場合、シングルサインオン(フェデレーション)は行われません。
- ID同期
- 「有効」のチェックをオンにします。
- Microsoft 365 ドメイン
-
ステップ1で追加したドメインを入力します。
重要:
ここには既定のドメインや xxx.onmicrosoft.com ドメインは設定できません。情報:
ドメインが複数存在する場合は「ドメインを追加」をクリックし、追加された入力欄に入力します。
- Microsoft 365 管理アカウント名
- Microsoft 365 の管理権限を持つユーザーのメールアドレスを入力します。
-
情報:
ここで設定する管理者はシングルサインオン対象外の管理者を設定ください。
「xxx.onmicrosoft.com」の管理者が推奨です。
- APIの認証方式
- 「OAuth 認証」を選択します。
- OAuth 認証-アプリケーションID
- ステップ3 で Azure AD に作成したアプリケーションの「アプリケーション(クライアント)ID」を入力します。
- ディレクトリID
- ステップ3 で Azure AD に作成したアプリケーションの「ディレクトリ(テナント)ID」を入力します。
- クライアントシークレット
- ステップ3 で作成したクライアント シークレットの「値」を入力します。
- トークンの取得
- 上記「アプリケーションID」「ディレクトリID」「クライアントシークレット」を入力後、「トークン取得」をクリックします。
-
重要:
クライアントシークレットや証明書の有効期限が切れた際は、再発行を行い、再度トークン取得が必要です。
- Exchangeの接続方式
- 「証明書」「パスワード」のどちらかを選択します。
-
重要:
証明書を選択した場合、グループの種類「Microsoft 365」のグループが作成できません。「Microsoft 365」のグループを作成する場合は「パスワード」を選択してください。
- 証明書(PKCS#12形式)
- 「Exchangeの接続方式」で「証明書」を選択した場合、ステップ3 で作成した「oauth.pfx」を選択します。
- 証明書のパスフレーズ
- 「Exchangeの接続方式」で「証明書」を選択した場合、プライベート証明書を発行した際に設定したパスワードを入力します。
- 接続用パスワード
- 「Exchangeの接続方式」で「パスワード」を選択した場合、「Microsoft 365 管理アカウント名」で入力したユーザーのパスワードを入力します。
各設定を設定し「保存」をクリックします。
情報:
上記の各入力項目を入力し、「保存」をクリックし、正常に保存されるとシングルサインオン(フェデレーション)が行われます。
ステップ5:Gluegent Gate で「認証」「アクセス権限」の設定
認証ルール(本人確認の為の処理)を作成します。
情報:
ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gateの管理画面にアクセスします。
左メニューの「認証」→「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
ID
- 任意の値を入力します。(例:rule_web)
- 認証方法
- 「ID/パスワード認証」にチェックを入れます。
- クライアント
-
以下の 3 つにチェックを入れます。
ブラウザー PC / ブラウザー スマートフォン / ブラウザー タブレット
「登録」をクリックします。
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
情報:
ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:for_web)
- アクセス先のサービス
- 「Microsoft 365」「ユーザーポータル」にチェックを入れます。
- 要求される認証方式
- 「ID/パスワード認証」にチェックを入れます。
- クライアント
-
以下の 3 つにチェックを入れます。
ブラウザー PC / ブラウザー スマートフォン / ブラウザー タブレット
「登録」をクリックします。
重要:
基本認証の場合は認証ルールによる認証は行われません。IP アドレス制限を行う場合はアクセス権限ルールにて設定してください。また、基本認証の場合は ID / パスワード認証のみ行い、それ以外の認証方式は使用できません。
ステップ6:Microsoft 365 で「ユーザー情報」のダウンロード
Microsoft 365 に登録されているユーザー情報を取得します。
- Microsoft 365 の管理センターにアクセスします。
- [ユーザー」>[アクティブなユーザー]ページの順に移動します。
- [...]>[ユーザーのエクスポート]をクリックします。画面の指示に従い操作を行い、ユーザー情報の CSV ファイルをダウンロードします。
同様に、[連絡先]、[チームとグループ]>[アクティブなチームとグループ]にてそれぞれの情報をダウンロードします。
ステップ7:Gluegent Gate で「シングルサインオンの設定」の有効化
Gluegent Gate 側でシングルサインオンが有効となるよう設定を行います。
Gluegent Gate の管理画面にアクセスします。
左メニューの「シングルサインオン」>「クラウドサービス」の順にクリックします。
クラウドサービス一覧の「Microsoft 365」の操作アイコンをクリックします。
ステップ4 で有効としなかった「シングルサインオン」の「有効」チェックをオンにし、「保存」をクリックします。
情報:
「保存」をクリック後、正常に保存されるとシングルサインオン(フェデレーション)が行われます。
ステップ8:Gluegent Gate で「ユーザー」の一括登録
Gluegent Gateでユーザーの一括登録を行います。
重要:
Gluegent Gate に追加されたユーザーのメールアドレスと一致するユーザーが Microsoft 365 に存在した場合Gluegent Gate から Microsoft 365 へ ImmutableID が同期されます。Microsoft 365 には ImmutableID の他、氏名や他の属性や機能も上書きされます。運用中の Microsoft 365 ユーザーと同じ情報で Gluegent Gate ユーザーを作成する必要があります。ライセンス情報も Gluegent Gate に追加した情報で上書きされます。
一括登録を行う前にステップ6 でダウンロードした CSV ファイルの編集を行います。
ダウンロードした CSV ファイルを「ユーザーの管理 - 7. ユーザーの一括作成 / 更新」の CSV 項目仕様に合わせて編集します。
ファイルの準備ができましたら、Gluegent Gate の管理画面にアクセスします。
左メニューの「ユーザー」>「CSV登録」の順にクリックします。
ダウンロード、編集した CSV ファイルが画面に記載されているフォーマットに従っていることを確認します。
ログインユーザーの通知用メールアドレス宛に処理結果が通知されますので確認してください。
詳しくは「ユーザーの管理 - 7. ユーザーの一括作成 / 更新」を参照してください。
注意:
既存ユーザーの影響を最小限にするために、先にユーザーを追加し、シングルサインオンの設定の有効化を後で実施する場合、作成後のユーザー詳細画面にて「更新」をクリックする必要があります。
情報:
同様に連絡先、グループについても Microsoft 365 の設定に合わせて Gluegent Gate の「連絡先」「ユーザーグループ」に追加・設定します。Microsoft 365 にはグループメンバーの CSV ダウンロード機能はありませんので、画面表示を参照しながら Gluegent Gate 側に追加してください。
ステップ9:Gluegent Gate で「操作ログ」を確認
登録後、ログで正しく Microsoft 365 にユーザーが作成されたかを確認します。
Gluegent Gateの管理画面にアクセスします。
左メニューの「ログ」→「システムログ」の順にクリックします。
ログファイルで「操作ログ」を選択し、「適用」をクリックします。その他の検索項目は必要に応じて設定します。
Gluegent Gate への追加ログと Microsoft 365 への追加ログが表示されます。
情報:
「(Microsoft 365)」が付いているものが Microsoft 365 への追加ログです。
赤いテキストで表示されたログは、ユーザーの登録に失敗した処理になります。
ステップ10:シングルサインオン(SSO)を試そう!
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
※Microsoft 365 の管理画面にログインしている場合は、別のブラウザを使用するか、ログアウトしてからユーザーによるログインをご確認ください。
※今回は Microsoft 365 のポータルにアクセスする方法をご紹介します。
https://portal.office.com/ にアクセスします。
※Microsoft のサインイン画面で、メールアドレスを入力し、「次へ」をクリックします。
Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- Gluegent GateのユーザーID(@より前の部分)
- パスワード
- 新規登録時に設定したパスワード
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、再度 Gluegent Gate のログイン画面が表示されるので、新しいパスワードで「ログイン」します。
Gluegent Gate が Microsoft 365 にアクセスが可能かを確認し、アクセス可能と判断されれば、Microsoft 365 へのログインに成功します。