Microsoft 365とSAMLでシングルサインオンする方法
今回はRunbookにMicrosoft 365のアカウントを使ってSAMLでシングルサインオンする方法について紹介します。SAMLの概要や、Google Workspaceとシングルサインオンする方法については、こちらの記事をごらんください。
それではさっそく説明していきます。
Microsoft 365アカウントで、Azureポータルにログインします。
Microsoft Entra IDの管理画面を開きます。以前はAzure Active Directoryという名前でしたが、Entra IDという名称に変わりました。
左メニューから、「エンタプライズ アプリケーション」を開きます。
「すべてのアプリケーション」画面が表示されますので、「新しいアプリケーション」をクリックします。
「独自のアプリケーション」をクリックします。
アプリケーション名に任意の名称を入力し、「作成」をクリックします。
「シングル サインオン」をクリックし、「SAML」をクリックします。
基本的なSAML構成の「編集」ボタンをクリックします。
次の情報を登録します。
| 識別子 | https://(サブドメイン名).runbook.jp |
| 応答URL | https://(サブドメイン名).runbook.jp/auth/saml/acs |
| ユーザーを識別する要素 |
サブドメインが「example」の場合、ACSのURLは、「https://example.runbook.jp/auth/saml/acs」となります。
保存して、前の画面に戻ります。ログインURL、Microsoft Entra識別子が表示されていますのでこれらの情報を控えておきます(ログアウトURLは使用しません)。証明書(Base64)をダウンロードします。
続いて、シングルサインオンを使用するユーザーの設定を行います。「ユーザーとグループ」をクリックして、適宜ユーザーまたはグループの割当を行ってください。
RunbookでSAML認証を設定する
続いて、Runbook側で設定を行います。契約ユーザー(組織を作成したユーザー)でログインして、「契約情報/セキュリティ」から、「シングルサインオン」を開きます。
「SAML認証を有効にする」をチェックして、ログインURL、識別子に先程表示された情報を入力します(ログアウトURLは空欄にしてください)。またダウンロードしておいた証明書をアップロードします。
「SAML認証の使用を必須にする」をチェックすると、Runbookのログイン画面からパスワードでログインしても、サブドメインにアクセスすることはできなくなります。Runbookのユーザーに登録されていても、IdP側に存在しないユーザーは利用できなくなりますので注意してください。もし間違えてログインできなくなってしまったら、変更時に送信されたメールのURLから設定を解除することができます。
「ユーザーを自動作成する」にチェックすると、Runbook側でユーザーが存在しない場合にユーザーを自動作成します。
確認
ログインしていない状態で、サブドメインにアクセスすると、Microsoft 365のログイン画面が表示されます。すでにログインしている場合は、Runbookのトップ画面に遷移します。
シングルサインオンを使うと、利便性が向上するだけでなく、IdP側で用意されている多要素認証やパスキーを利用することで、セキュリティを高められる効果もあります。Microsoft 365を使っていればかんたんに設定できますので、お試しください。
