SeciossLink 管理者ガイド
シングルサインオン
Microsoft 365
Microsoft 365 とのシングルサインオン、ID 同期の設定を⾏います。
事前にMicrosoft 365側で設定※を実施後、「シングルサインオン」-「クラウドサービス」から、”Microsoft 365”を選択して設定を実施して下さい。
Microsoft 365 設定画面
Microsoft 365 設定項目
| 項目名 | 説明 | |
|---|---|---|
| シングルサインオンの設定 | 有効にした場合、Microsoft 365とのシングルサインオンを行います。 | |
| ID同期 | 有効にした場合、Microsoft 365とのID同期を行います。 | |
| Microsoft 365 ドメイン | Microsoft 365のドメイン ※onmicrosoft.com ドメインは利用できません。 ※example.com、sub.example.comのようにルートドメインとルートドメインにサブドメインを付加したドメインを同時に登録することはできません。その場合、ルートドメインのみ登録して下さい。ユーザーやグループのメールアドレスには、設定したルートドメインに対してサブドメインを付加したメールアドレスも使用することができます。 |
|
| ユーザー名の属性 | Microsoft 365のユーザープリンシパル名に同期する属性 ・メールアドレス:ユーザーに設定されているメールアドレスが同期されます ・ユーザーID:“<ユーザーID>@<「Microsoft365 ドメイン」の先頭のドメイン>”がユーザープリンシパル名となります。 ※当項目を変更した場合、変更前の設定で同期されたユーザーは、Microsoft 365 へのシングルサインオンや同期ができなくなる場合があります。 |
|
| シングルサインオンの方式 | Microsoft 365 にログインするシングルサインオンの方式を選択します ・WS-Federation ・SAML |
|
| APIの認証方式 | Microsoftとシングルサインオン連携する際の認証方式を選択してください。 ・OAuth認証:OAuthトークンを使用して認証します ※AzureAD側での事前設定方法はページ下部にて説明しております ・レガシー認証:Microsoft365の管理アカウントとパスワードを使用して認証します |
|
| OAuth 認証 | 「APIの認証方式」で「OAuth認証」を選択した際に設定する項目 | |
| アプリケーションID | AzureAD側で作成したアプリケーションの「アプリケーション (クライアント) ID」を入力します | |
| ディレクトリID | AzureAD側で作成したアプリケーションの「ディレクトリ (テナント) ID」を入力します | |
| クライアントシークレット | AzureAD側で取得したクライアントシークレットの”値”を入力します | |
| トークンの取得 | アプリケーションID、ディレクトリID、クライアントシークレットを入力したら「トークン取得」を押下してください。 ※Microsoft365の認証画面が開かれ、認証が完了した際には”未取得”の表示が”取得済み”に切り替わります。 |
|
| 証明書(PKCS#12形式) | Azure AD管理画面に登録した証明書を登録します。 | |
| 証明書のパスフレーズ | Azure AD管理画面に登録した証明書を発行した際のパスフレーズを入力します。 | |
| レガシー認証 | 「APIの認証方式」で「レガシー認証」を選択した際に設定する項目 | |
| Microsoft 365 管理アカウント名 |
Microsoft 365側の管理アカウント(onmicrosoft.com ドメインのアカウントを推奨しています) ※Microsoft365でシングルサインオン対象ではなく、全体管理者の役割を持つユーザーである必要があります。 |
|
| 管理アカウントの パスワード |
管理アカウントのパスワードを入力します | |
| Exchange Onlineの設定 | Exchange Onlineライセンスを使用している際のメールに関する設定項目 | |
| 設定 | 有効にした場合、ユーザーのメールボックスの設定を行います。
※この設定を変更しても、既存ユーザーのメールボックスの設定には影響ありません。 |
|
| メールボックスの削除済み アイテムの保存期間 |
メールを削除した場合、メールボックスを保存しておく日数 | |
| メールボックスの 監査ログの出⼒ |
メールボックスの監査ログの出⼒の有効、無効 | |
| メールボックスの アーカイブ |
メールボックスのアーカイブの有効、無効を選択します | |
| 電子メール機能の デフォルト設定 |
POP、IMAP、MAPI、Outlook Web App、ActiveSync、デバイス用OWA の有効、無効を選択します | |
| 予定表のデフォルト設定 | 予定表の公開有無を選択します。 | |
| 階層型アドレス帳 | Outlook の階層型アドレス帳の有効、無効 ※“最上位グループ”には、階層型アドレス帳の最上位のグループとなるSeciossLik のユーザーグループのグループ名を設定して下さい。 ※設定保存後、最上位グループに設定したユーザーグループはグループ情報の“階層化アドレス帳表示”を“表示”に設定して下さい。 |
|
| リフレッシュトークンの有効期間 | “0”以外の値を指定した場合、リフレッシュトークンが指定した時間を経過すると、リフレッシュトークンを無効にして、Microsoft 365のユーザーに再認証を要求します。
※”0″の場合は当設定は無効となります。 |
|
Microsoft 365側の事前設定(OAuth認証を使用する場合)
※「SeciossLink クイックスタートガイド Microsoft365編」で詳細に扱っているため、そちらもご参考ください。
1.Azure AD側でのアプリケーション登録
①Microsoft Azure にログインし、Azure Active Directoryを開きます
②「アプリの登録」メニューを開いて、「新規登録」を選択します。
③以下の項目を入力してアプリケーションを登録してください
・名前:※任意のアプリケーション名を入力
・サポートされているアカウントの種類:この組織ディレクトリのみに含まれるアカウント(デフォルト値)
・リダイレクトURL:https://slink.secioss.com/seciossadmin/index.php?action_saml_tenantOffice365OAuth=true
④作成されたことが確認できたら、「概要」から以下の項目の値を確認して控えてください。
※SeciossLink側での設定で使用いたします
・アプリケーション (クライアント) ID
・ディレクトリ (テナント) ID
2.証明書/クライアントシークレットの登録
①事前にLinux上で、プライベート証明書を作成します。
※発行方法についてはアプリケーションの登録をご参考ください
②「証明書とシークレット」メニューを開き、「証明書のアップロード」より、先ほど生成した「oauth.crt」をアップロードします。
③「新しいクライアントシークレット」より、クライアントシークレットを追加します。
※追加したクライアントシークレットの「値」はSeciossLinkでの設定に使用するため、控えてください。
3.Azure Active Directory Graph の 追加
①作成したアプリケーションの左メニュー「APIのアクセス許可」を開き、「アクセス許可の追加」から、「Azure Active Directory Graph」を選択します。
②「アプリケーションの許可」を選択し、以下の必要なアクセス許可を追加して「アクセス許可の追加」を選択します。
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
Device.ReadWrite.All
Directory.ReadWrite.All
Domain.ReadWrite.All
Member.Read.Hidden
Policy.Read.All
③追加したアクセス許可が一覧に表示されたことが確認できたら、管理者の同意を与えてください。
4.Microsoft Graph の追加
①「アクセス許可の追加」から、「Microsoft Graph」を選択します。
②「アプリケーションの許可」を選択し、以下の必要なアクセス許可を追加して「アクセス許可の追加」を選択します。
User.Read.All
Directory.Read.All
User.ReadWrite.All
Directory.ReadWrite.All
GroupMember.Read.All
Group.Read.All
Group.ReadWrite.All
GroupMember.ReadWrite.All
Organization.Read.All
Organization.ReadWrite.All
RoleManagement.Read.Directory
RoleManagement.ReadWrite.Directory
③追加したアクセス許可が一覧に表示されたことが確認できたら、管理者の同意を与えてください。
5.Office 365 Exchange Online の 追加 ※ExchangeOnlineライセンスを付与する場合
①左メニュー「マニフェスト」を選択し、エディター内に以下の構文を追記して保存してください。
“requiredResourceAccess”: [
{
“resourceAppId”: “00000002-0000-0ff1-ce00-000000000000”,
“resourceAccess”: [
{
“id”: “dc50a0fb-09a3-484d-be87-e023b12c6440”,
“type”: “Role”
}
]
},
②アクセス許可の一覧に「Office 365 Exchange Online」ー「Exchange.ManageAsApp」が表示されたことが確認できたら、管理者の同意を与えてください。
6.全体管理者ロールの割り当て
①左メニューの「すべてのサービス」から「AzureADのロールと管理者」を開きます。
※「ID」を選択するとサービスを絞り込むことができます。
②「すべてのロール」の一覧から、「グローバル管理者」を選択します
③「割り当ての追加」から、作成したアプリの「アプリケーション(クライアント)ID」を入力して検索し、表示されたら追加します。
- ログイン
- 直接ログイン
- シングルサインオンでのログイン
- ユーザー管理
- 一覧
- 新規登録
- CSV 登録
- CSVによる登録方法
- CSVによる削除方法
- CSVによるサービスのログインID 登録
- ユーザー情報の変更・参照
- ユーザー情報
- 連絡先情報
- プロファイル
- グループ
- アクセス権
- RADIUS 設定
- サービスのログインID登録
- ユーザー権限
- ユーザーの削除
- 組織管理
- 組織の一覧
- 組織情報の登録
- CSV 登録
- 組織情報の変更
- 組織の削除
- プロファイル管理
- プロファイル一覧
- 新規登録
- 割り当て一覧
- パスワードポリシー
- 画面設定
- CSV 登録
- プロファイルの変更
- プロファイルの削除
- ユーザーグループ管理
- ユーザーグループ一覧
- ユーザーグループ登録
- ユーザーグループの変更
- ユーザーグループのメンバー一覧
- ユーザーグループのメンバー追加
- ユーザーグループのメンバー削除
- ユーザーグループのプロファイル設定
- グループの種類一覧
- グループの種類登録
- セキュリティーグループ管理
- セキュリティーグループ一覧
- セキュリティーグループ新規登録
- セキュリティーグループの編集
- セキュリティーグループの所属メンバー一覧
- セキュリティーグループへのメンバー追加
- セキュリティーグループのメンバー削除
- セキュリティーグループの削除
- 連絡先の管理
- 連絡先情報の一覧
- 連絡先新規登録
- CSV 登録
- シングルサインオン
- クラウドサービス
- Adobe Creative Cloud
- Amazon Web Services
- Box
- cybozu.com
- Dropbox
- Evernote
- freee
- GitHub
- Google Workspace
- LINE WORKS
- Microsoft 365
- Questetra
- Salesforce
- Slack
- VMware Workspace ONE
- Zendesk
- Zoom
- zScaler
- SAML
- SAML サービスプロバイダー 一覧
- SAML サービスプロバイダーの登録
- SAML 設定
- 学認サービスの登録
- OAuth
- OAuth コンシューマー一覧
- OAuth コンシューマーの登録
- OpenID Connect
- OpenID Connect クライアント一覧
- OpenID Connect クライアント新規登録
- 代理認証
- 代理認証 アプリケーション一覧
- 代理認証 アプリケーションの登録
- リバースプロキシ
- リバースプロキシ アプリケーション一覧
- リバースプロキシ アプリケーションの登録
- リバースプロキシ ホストの設定
- 認証ルール
- 利⽤可能な認証方法
- 認証ルール一覧
- 認証ルール登録
- 許可するユーザーの設定
- 許可するグループの設定
- ネットワークの設定
- 時間の設定
- 認証ポリシー
- SAML ID プロバイダー
- AD/LDAP 認証(LDAPS)
- 統合Windows 認証
- 証明書認証
- アクセス権限
- アクセス権限の一覧
- アクセス権限の登録
- 許可するユーザー
- 許可するグループ
- 許可する国
- 許可するネットワーク
- 許可する時間
- 統合ID 管理
- 同期システム一覧
- マスターLDAP サーバの設定
- マスターDB の設定
- CSV インポートの設定
- LDAP サーバーの設定
- DB の設定
- CSV エクスポートの設定
- SCIM API の設定
- Restful API の設定
- 拠点一覧
- 拠点の登録
- 共通設定
- 属性名
- 関数
- 特権ID管理
- 特権IDの一覧
- 特権IDの登録
- 特権IDの付与
- 特権IDを使用したログイン
- 特権IDゲートウェイ機能
- 特権IDゲートウェイの一覧
- 特権IDゲートウェイの登録
- 特権IDターゲットの一覧
- 特権IDターゲットの登録
- 特権IDターゲットのセッション記録一覧
- 特権ID ゲートウェイ機能を使用したアクセス
- 特権IDの設定
- CASB
- クラウドサービス
- Amazon Web Service(AWS)
- Box
- Dropbox
- Google Workspace
- LINE WORKS
- Microsoft 365
- アクティビティログ
- グラフ
- 脅威検知
- 脅威検知の設定
- アクセスポリシー
- 登録
- 許可するユーザーの設定
- 許可するグループの設定
- 許可する国の設定
- 許可するネットワークの設定
- 許可する時間の設定
- システム設定
- パスワードポリシー設定
- メールテンプレート設定
- ID運用ルール
- IdP 証明書
- IdP 証明書一覧
- IdP 証明書登録
- クライアント証明書
- Windows 証明書サービスの設定について
- クライアント証明書 取得までの流れ
- クライアント証明書一覧
- クライアント証明書申請
- 一括申請
- クライアント証明書の設定
- 接続アプリケーション
- 端末一覧
- 端末のCSV 登録
- 端末管理 設定
- 許可する端末の管理
- エクスポートファイル
- FIDO 認証デバイス
- FIDO 認証デバイス一覧
- FIDO 認証デバイスの登録
- FIDO 認証デバイスの設定
- 追加属性
- 連絡先設定
- 画面設定
- テナント情報
- 設定登録
- LDAP参照
- LDAP クライアント一覧
- LDAP クライアントの登録
- LDAP参照の設定
- RADIUS 認証
- RADIUS クライアント一覧
- RADIUS クライアントの登録
- RADIUSクライアント認証の設定
- AD/LDAP 連携(SaaS 型サービス)
- 差分確認
- Active Directory のデータ設定
- 同期対象ユーザの設定
- 管理者権限の設定
- 許可するサービスの同期
- セキュリティグループの同期
- サービスのロールの同期
- プロファイル属性の同期
- グループの種類属性の同期
- 同期する属性
- ログ
- システムログ
- ダッシュボード
- サービスの同期情報
- Provisioning API
- APIの認証
- ユーザー
- 組織
- ユーザグループ
- セキュリティーグループ
- CSVインポート・エクスポート
- CRLアップロード
- ログ検索
- レスポンス
- Provisioning API SCIM 2.0
- 認証
- ユーザー
- 組織
- 連絡先
- ユーザーグループ
- セキュリティーグループ
- ログイン
- SSO ポータル画面
- パスワード変更
- アカウントの設定
- 連携サービス用のID登録
- 接続アプリケーション
- ログアウト
- ワンタイムパスワード
- 対応しているトークン
- SlinkPass のダウンロード
- SlinkPass初期設定
- QR コードで登録
- 登録コードで登録
- ブラウザで自動登録
- シークレットキーの生成
- ワンタイムパスワードの表示
- シークレットキーの登録
- SlinkPass、Google Authenticator
- 携帯電話、C200
- WebOTP
- メール
- 認証デバイス(FIDO認証)の利用
- 認証デバイス(FIDO認証)
- PUSH通知
マニュアル内検索
マニュアル関連
ID管理と認証を一元管理可能なSaaS型サービス
Standardプランを1か⽉無料でお試し!
無料期間終了後もデータ引継ぎ可能です。
まずはお気軽にお試しください。
