メインコンテンツにスキップ
AzureADでシングルサインオン設定をする
祢次金正気 avatar
対応者:祢次金正気
8か月以上前に更新

AzureADでシングルサインオン設定をする手順についてご紹介します。

【目次】

1.設定前準備

「シングルサインオン」の設定を行うには、Qastでビジネスプラン以上のお申し込みが必要です。
チャットサポート、もしくはメールで support@qast.jp 宛に以下を記載の上、ご連絡ください。

  • 会社名

  • 担当者名

  • チームURL
    ※利用されているQastのURLです。

2.AzureADでシングルサインオン設定をする

(1)Qastで「entity_id」「acs_url」をコピーします。
※Qast[マイページ]>[セキュリティ]>「シングルサインオン」内に記載されているため、それぞれコピーの上、メモしておいてください。


​(2)AzureADで「Qast」を追加して各種設定します。


1.Azureにログインし、[AzureAppDirectory]をクリックします。

2.[エンタープライズアプリケーションの登録]をクリックします。

3.[新しいアプリケーション]をクリックします。

4.[ギャラリー以外のアプリケーション]をクリックします。

5.「名前」の入力欄にアプリケーション名を入力して[追加]をクリックします。


6.左メニュー「管理」内にある[シングルサインオン]をクリックします。


7.[SAML]をクリックします。


8.「基本的なSAML構成」画面内の「識別子」「応答URL」に、(1)でコピーした以下をそれぞれ貼り付けて[保存]をクリックします。

  • 識別子:entity_id

  • 応答URL:acs_url


9.「ユーザー属性とクレーム」内の[編集ボタン]をクリックします。


10.「クレーム名」内の[一意のユーザー識別子]をクリックします。


11.「ソース属性」のプルダウンをクリックして[user.userprincipalname]を選択した後、[保存]をクリックします。


12.「SAML署名証明書」内にある「フェデレーションメタデータXML」の[ダウンロード]をクリックします。


​(2)QastにXMLをインポートします。

Qast[マイページ]>「セキュリティ」>「シングルサインオン」内にある[XMLファイルを選択]ボタンをクリックして、先程ダウンロードした「フェデレーションメタデータXML」を選択してください。


​(3)[テストする]ボタンをクリックして、正常に連携されているか確認します。

「テストする」ボタンをクリックして、連携がうまくいっているかテストしてください。

設定が問題なければ、ポップアップ画面が表示されるので「OK」を押して次のステップに進みます。

エラー画面が表示される場合、どこかに問題があるため、3.テストしてエラーになる場合を確認してください。



​(4)Qastで「有効」のチェックボックスにチェックします。
この時点でQastにログイン中の全メンバーが自動的にログアウトされ、SSO経由でのログインを求められます。
SSOのサービス側から「Qast」を選択、もしくはQastのログイン画面からSSOに一度遷移してログインすることができるようになります。

3.テストしてエラーになる場合

エラーになる場合の考えられる要因は下記の通りです。

  • Qast側の設定:nameIDの不一致
    Qastで利用しているメールアドレスと、SSO側で利用しているメールアドレスが異なる場合、メンバーごとに紐付けを行う必要があります。Qastの「セキュリティ」タブから、各ユーザーのメールアドレスをご確認ください。

  • SSO側の設定:「entity_id」と「acs_url」
    それぞれが正しく貼り付けられているか、再度ご確認ください。

  • SSO側の設定:マッピング要素が「メール」になっているか
    各サービスによって呼称は異なりますが、QastとSSOの紐付け要素が「メールアドレス」になっているかご確認ください。
    G Suiteの場合「属性のマッピング」、OneLoginの場合「Parameters」、AzureADの場合「ソース属性」です。

  • AzureADの設定:メールアドレスが正しく設定されているか
    Azure上の登録メールアドレスがデフォルト(@◯◯.onmicrsoft.com)のままになっていないか、ご確認ください。

4.備考

シングルサインオン連携後、AD連携を行う場合は以下をご確認ください。

こちらの回答で解決しましたか?