Wisora
外部認証で利用する SAML を設定します。このページでは、Microsoft Entra のエンタープライズアプリケーション (以下、エンタープライズアプリ) を利用して外部認証プロバイダー (IdP) を構成する前提で説明します。
Wisora Pro プランと外部認証利用オプションが必要です
- この機能を利用するには、Wisora Pro プランと外部認証利用オプション (ユーザーパック) の契約が必要です。詳しくは、以下のページを参照してください。
- Trial 期間中は、この機能を試用できます。
- 社内限定公開のボットで SAML 認証を利用する場合は、設定を始める前に SSO を利用して社内限定公開のボットを設置する を参照して全体像を把握してください。
- このドキュメントは Microsoft Entra ID の設定について記載していますが、他の SAML 対応の外部認証プロバイダーでも利用できます。
テナントごとに決められた「応答 URL」と「SP Entity ID」を確認する
テナントごとに決められていて、外部認証プロバイダーに登録が必要な値を確認します。
-
管理コンソールにログイン して、メニューの [管理 (テナント)] → [外部認証設定] → [SAML] タブを順にクリックします。
-
[SAML 認証を有効にする] にチェックを入れて、以下の値を確認します。
項目 説明 [応答 URL /Assertion Consumer Service (ACS) URL] 認証後のリダイレクト先。あとで、エンタープライズアプリの [応答 URL (Assertion Consumer Service URL)] に入力します。 [SP Entity ID] サービスプロバイダー ID。あとで、エンタープライズアプリの [識別子 (エンティティ ID)] に入力します。
Microsoft Entra ID で SAML を設定する
エンタープライズアプリを作成して、SAML を設定します。
-
Microsoft Entra 管理センター にアクセスして、 [Entra ID] → [エンタープライズ アプリ] を順にクリックします。
-
エンタープライズアプリの左メニューで [すべてのアプリケーション] をクリックします。
-
[+新しいアプリケーション] → [+独自のアプリケーションの作成] を順にクリックします。
-
アプリ情報を設定します。
項目 説明 [入力名] エンドユーザーごとに表示される SAML 同意画面に表示するアプリの正式名称。エンドユーザーにわかりやすい名前を入力します。 [アプリケーションでどのような操作を行いたいですか?] 「ギャラリーに見つからないその他のアプリケーションを統合します (ギャラリー以外)」を選択します。 -
[作成] をクリックします。
エンタープライズアプリが作成されます。
-
作成したエンタープライズアプリの左メニューで [シングル サインオン] → [SAML] を順にクリックします。
「SAML によるシングル サインオンのセットアップ」画面が表示されます。
-
[基本的な SAML 構成] の [編集] をクリックします。
-
以下の項目を設定します。
項目 説明 [識別子 (エンティティ ID)] [識別子の追加] をクリックして、テナントごとに決められた「応答 URL」と「SP Entity ID」を確認する で取得した [SP Entity ID] の値を入力します。 [応答 URL (Assertion Consumer Service URL)] [応答 URL の追加] をクリックして、テナントごとに決められた「応答 URL」と「SP Entity ID」を確認する で取得した [応答 URL /Assertion Consumer Service (ACS) URL] の値を入力します。 -
[保存] をクリックします。
-
保存されたら「基本的な SAML 構成」画面の [✖] をクリックします。
-
[SAML 証明書] の [アプリのフェデレーション メタデータ URL] をクリップボードにコピーします。
Microsoft Entra のエンタープライズアプリケーションにユーザーを追加する
エンタープライズアプリの SAML SSO は、割り当てたユーザーやグループにのみ利用が許可されます。ここでは、ユーザーを追加する手順を説明します。
-
作成したエンタープライズアプリの左メニューで [ユーザーとグループ] をクリックします。
-
[+ユーザーまたはグループの追加] をクリックして、 [ユーザー] の [選択されていません] をクリックします。
-
SAML SSO の利用を許可するユーザーにチェックを入れて、 [選択] をクリックします。
-
[割り当て] をクリックします。
選択したユーザーに、エンタープライズアプリの SAML SSO の利用が許可されます。
Microsoft Entra のエンタープライズアプリケーションで検証証明書を必須にする (任意)
エンタープライズアプリの検証証明書 (オプション) を必須にする場合は、Wisora で公開鍵と秘密鍵を生成します。
- Wisora には、公開鍵と秘密鍵の両方を登録します。
- エンタープライズアプリには、公開鍵を登録します。
この手順は必要に応じて行います
Microsoft Entra ID では、既定では検証証明書 (AuthnRequest 署名) を必須にしていません。AuthnRequest 署名を有効にしない場合は、この手順を行う必要はありません。
-
公開鍵と秘密鍵を生成します。
OpenSSL を利用する例:
$ openssl genrsa -out wisora-sp.key 2048 $ openssl req -new -x509 -key wisora-sp.key -out wisora-sp.cer -days 3650 -subj "/CN=wisora-sp" $ openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in wisora-sp.key -out wisora-sp-pkcs8.keywisora-sp.cer: SP 公開鍵 (PEM、Wisora で使用)wisora-sp-pkcs8.key: SP 秘密鍵 (PEM/PKCS#8、Wisora で使用)
-
管理コンソールにログイン して、メニューの [管理 (テナント)] → [外部認証設定] → [SAML] タブを順にクリックします。
-
[SP 証明書(PEM, 任意: メタデータ公開用)] に
wisora-sp.cerの内容を貼り付けます。 -
[SP 秘密鍵(PEM/PKCS#8, 任意: AuthnRequest署名用)] に
wisora-sp-pkcs8.keyの内容を貼り付けます。 -
[設定を保存] をクリックします。
-
作成したエンタープライズアプリの左メニューで [シングル サインオン] → [SAML] を順にクリックします。
-
[検証証明書 (オプション)] の [編集] をクリックします。
-
[検証証明書を必須とする] にチェックを入れます。
-
[証明書のアップロード] をクリックし、 [ファイルの選択] をクリックして
wisora-sp.cerを選択し、 [OK] をクリックします。 -
[保存] をクリックします。
-
[SAML 署名証明書] セクションの [サインオン構成] で [要求を署名する] を 必須 (オン) に設定し、 [保存] をクリックします。
-
設定後、Microsoft Entra のエンタープライズアプリケーションの情報を Wisora に設定する に戻り、 [設定をテスト] で SAML 認証が成功するか確認します。
Microsoft Entra のエンタープライズアプリケーションの情報を Wisora に設定する
-
管理コンソールにログイン して、メニューの [管理 (テナント)] → [外部認証設定] → [SAML] タブを順にクリックします。
-
[SAML 認証を有効にする] にチェックを入れます。
-
[IdP メタデータ URL から取得] をクリックして、 [IdP メタデータ URL] に Microsoft Entra ID で SAML を設定する で取得したエンタープライズアプリのフェデレーション メタデータ URL を入力し、 [取得] をクリックします。
-
[設定を保存] をクリックします。
続けて、SAML が正しく設定されていることを確認します。
-
[設定をテスト] をクリックします。
SAML 認証フローが開始されます。画面の指示に従って、Microsoft Entra のエンタープライズアプリケーションにユーザーを追加する で追加したユーザーのアカウントでログインしてください。
ログインに成功すると、Wisora の 公開ページ が表示されます。
エラーが表示されたときは
[設定をテスト] をクリックしたときにエラーが発生した場合は、以下の内容を確認してください。
| エラー | 説明 |
|---|---|
この login.microsoftonline.com ページが見つかりません | [IdP SSO エンドポイント URL] に入力した値が、エンタープライズアプリの「SAML によるシングル サインオンのセットアップ」画面の [ログイン URL] の値と異なります。もう一度値を入力してください。 |
エラーコード callback_processing_failed 詳細 Failed to process OAuth callback: SAML signature validation failed | [IdP X.509 証明書 (PEM)] に入力した値が、エンタープライズアプリの「SAML によるシングル サインオンのセットアップ」画面の [証明書 (Base64)] の [ダウンロード] をクリックしてダウンロードできるファイル (.cer ファイル) に記載されている値と異なります。もう一度値を入力してください。 |
申し訳ありませんが、サインイン中に問題が発生しました。 AADSTS76021: The request sent by client is not signed while the application requires signed requests | [SP 秘密鍵(PEM/PKCS#8, 任意: AuthnRequest署名用)] に入力した値が、エンタープライズアプリの「SAML によるシングル サインオンのセットアップ」画面の [検証証明書 (オプション)] にアップロードした証明書と対応していません。もう一度値を入力し、証明書をアップロードしてください。 |
申し訳ありませんが、サインイン中に問題が発生しました。 AADSTS700016: Application with identifier ‘https://xxxxxxxxxx.xxx’ was not found in the directory ‘既定のディレクトリ’. This can happen if the application has not been installed by the administrator of the tenant or consented to by any user in the tenant. You may have sent your authentication request to the wrong tenant. | エンタープライズアプリの「基本的な SAML 構成」画面の [識別子 (エンティティ ID)] に登録した識別子と、Wisora の外部認証設定画面の [SAML] タブの [SP Entity ID] が一致していません。もう一度値を入力してください。 |
申し訳ありませんが、サインイン中に問題が発生しました。 AADSTS50011: The reply URL ‘https://xxxxxxxxxx.xxx’ specified in the request does not match the reply URLs configured for the application ‘https://xxxxxxxxxx.xxx’. Make sure the reply URL sent in the request matches one added to your application in the Azure portal. Navigate to https://aka.ms/urlMismatchError to learn more about how to fix this. | エンタープライズアプリの「基本的な SAML 構成」画面の [応答 URL (Assertion Consumer Service URL)] に登録した応答 URL と、Wisora の外部認証設定画面の [SAML] タブの [応答 URL /Assertion Consumer Service (ACS) URL] が一致していません。もう一度値を入力してください。 |