SeciossLink 管理者ガイド

シングルサインオン
Microsoft 365

Microsoft 365 とのシングルサインオン、ID 同期の設定を⾏います。

事前にMicrosoft 365側で設定※を実施後、「シングルサインオン」-「クラウドサービス」から、”Microsoft 365”を選択して設定を実施して下さい。

Microsoft 365 設定画面

Microsoft 365 設定項目

項目名 説明
シングルサインオンの設定 有効にした場合、Microsoft 365とのシングルサインオンを行います。
ID同期 有効にした場合、Microsoft 365とのID同期を行います。
Microsoft 365 ドメイン Microsoft 365のドメイン
※onmicrosoft.com ドメインは利用できません。
※example.com、sub.example.comのようにルートドメインとルートドメインにサブドメインを付加したドメインを同時に登録することはできません。その場合、ルートドメインのみ登録して下さい。ユーザーやグループのメールアドレスには、設定したルートドメインに対してサブドメインを付加したメールアドレスも使用することができます。
ユーザー名の属性 Microsoft 365のユーザープリンシパル名に同期する属性
・メールアドレス:ユーザーに設定されているメールアドレスが同期されます
・ユーザーID:“<ユーザーID>@<「Microsoft365 ドメイン」の先頭のドメイン>”がユーザープリンシパル名となります。
※当項目を変更した場合、変更前の設定で同期されたユーザーは、Microsoft 365 へのシングルサインオンや同期ができなくなる場合があります。
シングルサインオンの方式 Microsoft 365 にログインするシングルサインオンの方式を選択します
・WS-Federation
・SAML
APIの認証方式 Microsoftとシングルサインオン連携する際の認証方式を選択してください。
・OAuth認証:OAuthトークンを使用して認証します
※AzureAD側での事前設定方法はページ下部にて説明しております
・レガシー認証:Microsoft365の管理アカウントとパスワードを使用して認証します
OAuth 認証 「APIの認証方式」で「OAuth認証」を選択した際に設定する項目
アプリケーションID AzureAD側で作成したアプリケーションの「アプリケーション (クライアント) ID」を入力します
ディレクトリID AzureAD側で作成したアプリケーションの「ディレクトリ (テナント) ID」を入力します
クライアントシークレット AzureAD側で取得したクライアントシークレットの”値”を入力します
トークンの取得 アプリケーションID、ディレクトリID、クライアントシークレットを入力したら「トークン取得」を押下してください。
※Microsoft365の認証画面が開かれ、認証が完了した際には”未取得”の表示が”取得済み”に切り替わります。
証明書(PKCS#12形式) Azure AD管理画面に登録した証明書を登録します。
証明書のパスフレーズ Azure AD管理画面に登録した証明書を発行した際のパスフレーズを入力します。
レガシー認証 「APIの認証方式」で「レガシー認証」を選択した際に設定する項目
Microsoft 365
管理アカウント名
Microsoft 365側の管理アカウント(onmicrosoft.com ドメインのアカウントを推奨しています)
※Microsoft365でシングルサインオン対象ではなく、全体管理者の役割を持つユーザーである必要があります。
管理アカウントの
パスワード
管理アカウントのパスワードを入力します
Exchange Onlineの設定 Exchange Onlineライセンスを使用している際のメールに関する設定項目
設定 有効にした場合、ユーザーのメールボックスの設定を行います。

※この設定を変更しても、既存ユーザーのメールボックスの設定には影響ありません。
※「電子メール機能のデフォルト設定」、「予定表のデフォルト設定」は、新規ユーザー登録時のみ設定を行います。

メールボックスの削除済み
アイテムの保存期間
メールを削除した場合、メールボックスを保存しておく日数
メールボックスの
監査ログの出⼒
メールボックスの監査ログの出⼒の有効、無効
メールボックスの
アーカイブ
メールボックスのアーカイブの有効、無効を選択します
電子メール機能の
デフォルト設定
POP、IMAP、MAPI、Outlook Web App、ActiveSync、デバイス用OWA の有効、無効を選択します
予定表のデフォルト設定 予定表の公開有無を選択します。
階層型アドレス帳 Outlook の階層型アドレス帳の有効、無効
※“最上位グループ”には、階層型アドレス帳の最上位のグループとなるSeciossLik のユーザーグループのグループ名を設定して下さい。
※設定保存後、最上位グループに設定したユーザーグループはグループ情報の“階層化アドレス帳表示”を“表示”に設定して下さい。
リフレッシュトークンの有効期間 “0”以外の値を指定した場合、リフレッシュトークンが指定した時間を経過すると、リフレッシュトークンを無効にして、Microsoft 365のユーザーに再認証を要求します。

※”0″の場合は当設定は無効となります。

Microsoft 365側の事前設定(OAuth認証を使用する場合)

※「SeciossLink クイックスタートガイド Microsoft365編」で詳細に扱っているため、そちらもご参考ください。

1.Azure AD側でのアプリケーション登録
Microsoft Azure にログインし、Azure Active Directoryを開きます
②「アプリの登録」メニューを開いて、「新規登録」を選択します。
③以下の項目を入力してアプリケーションを登録してください
名前:※任意のアプリケーション名を入力
サポートされているアカウントの種類:この組織ディレクトリのみに含まれるアカウント(デフォルト値)
リダイレクトURL:https://slink.secioss.com/seciossadmin/index.php?action_saml_tenantOffice365OAuth=true
④作成されたことが確認できたら、「概要」から以下の項目の値を確認して控えてください。
※SeciossLink側での設定で使用いたします
・アプリケーション (クライアント) ID
・ディレクトリ (テナント) ID

2.証明書/クライアントシークレットの登録
①事前にLinux上で、プライベート証明書を作成します。
※発行方法についてはアプリケーションの登録をご参考ください
②「証明書とシークレット」メニューを開き、「証明書のアップロード」より、先ほど生成した「oauth.crt」をアップロードします。
③「新しいクライアントシークレット」より、クライアントシークレットを追加します。
※追加したクライアントシークレットの「」はSeciossLinkでの設定に使用するため、控えてください。

3.Azure Active Directory Graph の 追加
①作成したアプリケーションの左メニュー「APIのアクセス許可」を開き、「アクセス許可の追加」から、「Azure Active Directory Graph」を選択します。
②「アプリケーションの許可」を選択し、以下の必要なアクセス許可を追加して「アクセス許可の追加」を選択します。
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
Device.ReadWrite.All
Directory.ReadWrite.All
Domain.ReadWrite.All
Member.Read.Hidden
Policy.Read.All
③追加したアクセス許可が一覧に表示されたことが確認できたら、管理者の同意を与えてください。

4.Microsoft Graph の追加
①「アクセス許可の追加」から、「Microsoft Graph」を選択します。
②「アプリケーションの許可」を選択し、以下の必要なアクセス許可を追加して「アクセス許可の追加」を選択します。
User.Read.All
Directory.Read.All
User.ReadWrite.All
Directory.ReadWrite.All
GroupMember.Read.All
Group.Read.All
Group.ReadWrite.All
GroupMember.ReadWrite.All
Organization.Read.All
Organization.ReadWrite.All
RoleManagement.Read.Directory
RoleManagement.ReadWrite.Directory
③追加したアクセス許可が一覧に表示されたことが確認できたら、管理者の同意を与えてください。

5.Office 365 Exchange Online の 追加 ※ExchangeOnlineライセンスを付与する場合
左メニュー「マニフェスト」を選択し、エディター内に以下の構文を追記して保存してください。
“requiredResourceAccess”: [
{
“resourceAppId”: “00000002-0000-0ff1-ce00-000000000000”,
“resourceAccess”: [
{
“id”: “dc50a0fb-09a3-484d-be87-e023b12c6440”,
“type”: “Role”
}
]
},
アクセス許可の一覧に「Office 365 Exchange Online」ー「Exchange.ManageAsApp」が表示されたことが確認できたら、管理者の同意を与えてください。

6.全体管理者ロールの割り当て
左メニューの「すべてのサービス」から「AzureADのロールと管理者」を開きます。
※「ID」を選択するとサービスを絞り込むことができます。
すべてのロール」の一覧から、「グローバル管理者」を選択します
割り当ての追加」から、作成したアプリの「アプリケーション(クライアント)ID」を入力して検索し、表示されたら追加します。

マニュアル内検索

マニュアル関連

ID管理と認証を一元管理可能なSaaS型サービス

Standardプランを1か⽉無料でお試し!
無料期間終了後もデータ引継ぎ可能です。
まずはお気軽にお試しください。

お問い合わせ