ステップ1:Microsoft 365 でシングルサインオンの設定
Microsoft 365 のグローバル管理者権限を持つユーザーを使用し、以下の設定を行います。
アプリケーションの登録
プライベート証明書の作成
証明書 / クライアントシークレットの登録
Microsoft Graph の追加
Office 365 Exchange Online の追加
ロールの割り当て
情報:
先日開催いたしましたウェビナーの模様を収録した動画を公開いたしました。
こちらよりご参照ください。
アプリケーションの登録
Microsoft Azure にログインします。
ログイン画面が表示された場合は、グローバル管理者のメールアドレス・パスワードを入力し、ログインしてください。
画面上部の検索ボックスに「Active」と入力し、表示された「Azure Active Directory 」をクリックします。
画面左のメニューより「アプリの登録」をクリックし、「新規登録」をクリックします。
以下の設定を行います。
- 名前
- 任意の値を入力します。ここでは「Gluegent Gate」と入力しています。
- サポートされているアカウントの種類
- 「この組織ディレクトリのみに含まれるアカウント」を選択します。
- リダイレクト URI
- 「Web」を選択し、下記URLを入力します。
-
https://auth.gluegent.net/seciossadmin/index.php?action_saml_tenantOffice365OAuth=true
-
情報:
管理画面へのログインURL のうち、seciossadmin でのログインを禁止している場合は上記URL の seciossadmin を tenantadmin に変更してください。
→Gluegent Gate 管理画面へのログイン方法 - 応用編
「登録」をクリックします。
作成されたアプリが表示されます。「概要」に表示される「アプリケーション(クライアント)ID」「ディレクトリ(テナント)ID」をテキストエディタ等に控えておきます。
各 ID 横の「クリップボードにコピー」をクリックします。
プライベート証明書の作成
情報:
この項で証明書の作成が正しく行えない場合は弊社にて作成した証明書をご提供いたします。証明書の提供をご希望の際は当サポートへお知らせください。
プライベート証明書を作成します。
こちらにアクセスし、OpenSSLをインストールします。
「Download Win32/Win64 OpenSSL」にて最新バージョンのEXE または MSI をクリックします。お使いの Windows のビットバージョンに合ったものを選択してください。Light版 / 通常版のいずれかを選択してください。
ダウンロードしたファイルを実行し、インストールを行ってください。
コマンドプロンプトを起動します。
CD コマンドを使用し、OpenSSL の実行ファイルが格納されたフォルダに移動します。
上記の例の場合は、Program Filesにインストールしたので
cd C:\Program Files\OpenSSL-Win64\bin
と入力しています。
以下のコマンドを入力し、秘密鍵を生成します。
openssl genrsa 2048 > %HOMEPATH%\oauth.key
%HOMEPATH% に oauth.key ファイルが作成されます。%HOMEPATH% は C:¥Users¥ユーザ名 などです。
秘密鍵をもとに、証明書を作成します。
openssl req -new -x509 -key %HOMEPATH%\oauth.key -out %HOMEPATH%\oauth.crt -days 3650 -subj "/C=JP/ST=Tokyo/L=Minato/O=SIOS/OU=GL/CN=gluegent"
情報:
上記コマンドの [-days 3650] は 10 年間有効な証明書を作成しています。10 年間より短い期間を指定することも可能です。(例:-days 365)
上記コマンドの [/C=JP/ST=Tokyo/L=Minato/O=SIOS/OU=GL/CN=gluegent] はお客様の情報に則した内容を設定してください。
C=Country Name (国名を2文字で指定する。日本の国名は”JP”)
S=State Or Province Name (都道府県名を指定する)
L=Location Name (市区町村名を指定する)
O=Organization Name (企業名を指定する)
OU=Organization Unit Name (部署名を指定する)
CN=Common Name (Gluegent Gate のテナント ID と同一のものを指定する)
%HOMEPATH% に oauth.crt ファイルが作成されます。
証明書 / クライアントシークレットの登録
Microsoft Azure>Azure Active Directory>アプリの登録>Gluegent Gate にて「証明書とシークレット」をクリックします。
「証明書」をクリックし「証明書のアップロード」をクリックします。
先ほど作成した「oauth.crt」を選択し「追加」をクリックします。
「クライアント シークレット」をクリックし、「新しいクライアント シークレット」をクリックします。
「有効期限」にて「24か月」などの長い期間を選択し、「追加」をクリックします。
重要:
証明書とクライアント シークレットの有効期限が切れると、Gluegent Gate から Microsoft 365 への ID 同期が正常に行われなくなります。クライアント シークレットの追加の操作を再度実施してください。
作成後、一覧に表示されたクライアント シークレットの「値」をテキストエディタ等に控えておきます。
値の横の「クリップボードにコピー」をクリックします。
Microsoft Graph の追加
Microsoft Azure>Azure Active Directory>アプリの登録>Gluegent Gate にて「API のアクセス許可」をクリックします。
「アクセス許可の追加」をクリックします。
「Microsoft Graph」をクリックします。
「アプリケーションの許可」をクリックします。
検索ボックスにアクセス許可を入力し、表示されたアクセス許可のチェックボックスをオンにします。(「>」をクリックして詳細を開きます)
以下のアクセス許可を全て追加してください。
- Application.ReadWrite.All
- Directory.Read.All
- Directory.ReadWrite.All
- Domain.ReadWrite.All
- Group.Read.All
- Group.ReadWrite.All
- GroupMember.Read.All
- GroupMember.ReadWrite.All
- Member.Read.Hidden
- Organization.Read.All
- Organization.ReadWrite.All
- Policy.Read.All
- RoleManagement.Read.Directory
- RoleManagement.ReadWrite.Directory
- User.Read.All
- User.ReadWrite.All
次に「委任されたアクセス許可」をクリックします。
検索ボックスに以下のアクセス許可を入力し、表示されたアクセス許可のチェックボックスをオンにします。(「>」をクリックして詳細を開きます)
以下のアクセス許可を全て追加してください。
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.ReadWrite.All
- Domain.ReadWrite.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- Member.Read.Hidden
- Organization.ReadWrite.All
- Policy.Read.All
- RoleManagement.ReadWrite.Directory
- User.ReadWrite.All
情報:
検索候補が 2 つ以上表示された場合は完全に一致する方を選択してください。
すべて選択したら「アクセス許可の追加」をクリックします。
追加したアクセス許可が一覧に表示されたことを確認し、「管理者の同意を与えます」をクリックします。
「はい」をクリックします。
Office 365 Exchange Online の追加
情報:
ご契約のMicrosoft 365 のライセンスに Exchange Online が含まれており、Gluegent Gate から Microsoft 365 への ID 同期時に Exchange Online のライセンスを付与する場合は以下の操作を行ってください。
Microsoft Azure>Azure Active Directory>アプリの登録>Gluegent Gate にて「マニフェスト」をクリックします。
エディタ内に以下の文言を追記します。
"requiredResourceAccess": [
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
},
作業は記述されている内容をテキストエディタにコピーして行ってください。
記述された内容から「requiredResourceAccess」を検索します。
検索にヒットした
"requiredResourceAccess": [
と
{
の間に
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
},
を追記します。
編集した内容をテキストエディタから画面にコピーします。
「保存」をクリックします。
「API のアクセス許可」をクリックします。
一覧に「Office 365 Exchange Online」>「Exchange.ManageAsApp」が追加されていることを確認し「管理者の同意を与えます」をクリックします。
「はい」をクリックします。
ロールの割り当て
Microsoft Azure>すべてのサービス にて「ID」をクリックし、「Azure AD のロールと管理者」をクリックします。
管理者ロールの一覧から「グローバル管理者」を検索し、クリックします。
「割り当ての追加」をクリックします。
アプリの登録時に控えておいた「アプリケーション(クライアント)ID」を検索ボックスに入力し、表示されたアプリをクリックします。
「追加」をクリックします。
ステップ2:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate の管理画面にアクセスします。
左メニューにて「シングルサインオン」→「クラウドサービス」の順にクリックします。
一覧から「Microsoft 365」の操作アイコンをクリックします。
以下の設定変更を行います。
- シングルサインオンの設定
- 「有効」のチェックがオンになっています。変更不要です。
- ID同期
- 「有効」のチェックをオンにになっています。変更不要です。
- Microsoft 365 ドメイン
-
ドメインを入力されています。変更不要です。
- Microsoft 365 管理アカウント名
- Microsoft 365 の管理権限を持つユーザーのメールアドレスが入力されています。変更不要です。
- OAuth 認証-アプリケーションID
- ステップ1 で Azure AD に作成したアプリケーションの「アプリケーション(クライアント)ID」を入力します。
- ディレクトリID
- ステップ1 で Azure AD に作成したアプリケーションの「ディレクトリ(テナント)ID」を入力します。
- クライアントシークレット
- ステップ1 で作成したクライアント シークレットの「値」を入力します。
- トークンの取得
- 上記「アプリケーションID」「ディレクトリID」「クライアントシークレット」を入力後、「トークン取得」をクリックします。
-
重要:
クライアントシークレットや証明書の有効期限が切れた際は、再発行を行い、再度トークン取得が必要です。
- Exchangeの接続方式
- 「パスワード」を選択します。
-
重要:
証明書を選択した場合、グループの種類「Microsoft 365」のグループが作成できませんので「パスワード」を選択してください。
- 証明書(PKCS#12形式)
- 使用しません。
- 証明書のパスフレーズ
- 使用しません。
- 接続用パスワード
- 「Microsoft 365 管理アカウント名」で入力したユーザーのパスワードを入力します。
各設定を設定し「保存」をクリックします。
ステップ3:設定状況の確認
ステップ2 で行った設定変更が正常に行われていることを確認します。
確認1
既存ユーザーでログインができることを確認してください。
情報:
移行作業はID同期に関する設定変更となりますので、既存ユーザーのログインに影響はありませんが、シングルサインオン>クラウドサービス>Microsoft 365の画面で「保存」を実行することで、意図しない変更が発生する場合があります。この影響がないことの確認のため、既存ユーザーでのログインをお試しいただいています。
確認2
ライセンスに空きがあれば、新規ユーザーが作成できることを確認します。
ユーザー>新規登録にてテスト用のユーザーを作成します。このとき、許可するサービスの「Microsoft 365」のチェックをオンにしてください。
ログ>システムログにて操作ログを参照し、Gluegent Gateへのユーザー追加及びMicrosoft 365へのユーザー追加が正しく行われていることを確認してください。
また、併せて、Microsoft 365 側にユーザーが正しく作成されていることを確認してください。
重要:
設定されたパスワードが Microsoft 365 側のユーザーに同期されますが、この時、Microsoft 365 のパスワードポリシーを満たしていないと Microsoft 365 のユーザー同期に失敗し、ユーザーが作られません。
確認3
上記「確認2」で新規作成したユーザーでログインができることを確認してください。
正常に行えなかった場合
ログイン・ユーザー作成が正しく行えない場合、設定に何らかの誤りがあることが考えられます。
設定内容を変更前の状態に戻してください。
ステップ2(場合によってはステップ1)から再度実施してください。
これまでにいただいたお問い合わせでは以下のようなトラブルが報告されております。
◯設定変更後、Microsoft 365 へのログイン時に Gluegent Gate に遷移しなくなった。
→シングルサインオン>クラウドサービス>Microsoft 365の画面で「シングルサインオンの設定」のチェックが外れていました。
◯設定変更後に作成したユーザーでログインができない。「The user account xxxxxx does not exist 〜」というメッセージが表示される。
→パスワードポリシーを満たしていないために、Microsoft 365にユーザーが作成されていませんでした。
◯設定変更後、既存ユーザーが全員ログインできなくなった。
→原因はわかりませんが、設定保存時にシングルサインオンの設定が行われなかったようです。シングルサインオン>クラウドサービス>Microsoft 365の画面で「シングルサインオンの設定」のチェックをオフにして「保存」をクリックし、再度チェックをオンにして「保存」をクリックすることで解消されました。
◯設定変更後、設定変更を行っていない項目が変更された。
→設定変更を行っていない項目も上書き保存されます。PowerShell で Gluegent Gate の画面の設定を変更している場合は、お気をつけください。