※本FAQは「StartIn」にてMicrosoft 365とシングルサインオンを行うための設定方法となります。
本設定以外のMicrosoft 365に関するお問い合わせは受け付けできかねますのでご了承ください。
※本手順にて正常に動作しない場合、弊社での確認のため、お客様の環境をお借りする場合があります。 |
Microsoft 365 と StartIn のシングルサインオン設定手順は以下のとおりです。
1. 前提条件の確認
1-1. Microsoft365管理センター > 設定 > ドメイン を開き、シングルサインオン対象とするドメインが「(既定)」ではないことを確認します。
「(既定)」のドメインのユーザーでは、シングルサインオンを行うことができません。
1-2. Microsoft 365 でのシングルサインオンには、Microsoft Entra ID (Azure AD)同期機能を利用し、Microsoft 365 のユーザーを StartIn へ同期しておく必要があります。
その際、統合管理画面 > StartIn > ID同期設定 > Azure AD の設定で、「同期したユーザーでMicrosoft 365へのシングルサインオンを行う」設定を有効化しておく必要があります。
Azure AD同期についての詳細は「DigitalArts@Cloud」マニュアル、「StartIn」設定ガイドを確認してください。
2. [StartIn] メタデータの取得
2-1. 統合管理画面 > StartIn > シングルサインオン メタデータ から、「エンティティID」「ACS」「証明書」を確認します。
3. [Microsoft 365] シングルサインオン設定
3-1. PowerShell を管理者権限で起動します。
3-2. PowerShell 上で以下のコマンドを実行します。
Install-Module MSOnline
(以降の手順で必要になるモジュールのインストールコマンドです。下記画像のような確認が求められる場合は「y」と入力しエンターしてください)
3-3. PowerShell 上で以下のコマンドを実行します(サインインダイアログが表示されます)。
Connect-MsolService
3-4. サインインダイアログ上で、連携するMicrosoft 365 の全体管理アカウントでログインします。
3-5. PowerShell 上で以下のコマンドを実行します。
$dom = "<下記の通り>"
$acs = "<下記の通り>"
$uri = "<下記の通り>"
$cert = "<下記の通り>"
Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -ActiveLogOnUri $acs -PassiveLogOnUri $acs -SigningCertificate $cert -IssuerUri $uri -LogOffUri $acs -PreferredAuthenticationProtocol SAMLP
$dom |
SAML連携対象とするユーザーのドメイン |
$acs |
2-1で確認した「ACS」 |
$uri |
2-1で確認した「エンティティID」 |
$cert |
2-1で確認した「証明書」
※改行を削除し、1行になるように入力してください。 |
3-6. PowerShell 上で以下のコマンドを実行し、SAML連携対象とするユーザーのドメインが「Federated」となっていることを確認します。
Get-MsolDomain
3-7. PowerShell 上で以下のコマンドを実行し、3-5で行った設定が反映されていることを確認します。
Get-MsolDomainFederationSettings -DomainName $dom
4. [StartIn] シングルサインオン設定
4-1. 統合管理画面 > StartIn > シングルサインオン > サービスプロバイダー設定 > 追加 から、Microsoft 365用のサービスプロバイダー設定を行い、「適用」します。
サービスプロバイダー名 |
<任意の名称> |
有効 |
ON |
エンティティID |
urn:federation:MicrosoftOnline |
ACS URI |
https://login.microsoftonline.com/login.srf |
ログインURL |
https://www.office.com/
※その他任意のMicrosoft 365 サービスURL |
IdP署名設定 |
レスポンスに署名する:OFF
アサーションに署名する:ON
署名アルゴリズム:RSA_SHA256 |
POST Bindingを強制する |
OFF |
4-2. 統合管理画面 > StartIn > ID管理 > 管理グループ から、作成したサービスプロバイダーへのアクセス許可を設定します。
詳細は「DigitalArts@Cloud」マニュアル を確認してください。
※注意
Microsoft 365 の仕様により、Microsoft 365 でシングルサインオンの設定を有効化した場合、
シングルサインオン対象としたドメインによるユーザー登録を、Microsoft 365 のWebサイト上で行うことができなくなります。
この場合に、Microsoft 365 へのユーザー登録を行うには、以下のFAQページを参照してください。
▽「StartIn」Microsoft 365 / Microsoft Entra ID (Azure AD)へのユーザー登録ができなくなったのですがどのように対応したらよいですか
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=6991