Microsoft Entra ID で SAML 2.0 プロバイダーを設定する

  • [アーティクル]

Microsoft Entra は、SAML 2.0 ID プロバイダーで、自分の Power Pages サイトへの 訪問者の認証 をするために使用できます。 SAML 2.0 の仕様に準拠したプロバイダーを使用することができます。

この記事では以下の手順について説明します。

注意

サイトの認証設定の変更がサイトに反映されるまで、数分かかる場合 があります。 変更をすぐに確認するには、管理センター でサイトを再起動します。

Power Pages で Microsoft Entra を設定する

Microsoft Entra をサイトの ID プロバイダーとして設定します。

  1. Power Pages サイトで、設定>ID プロバイダー を選択します。

    ID プロバイダーが表示されない場合は、使用しているサイトの 一般承認設定外部ログインオン に設定されているかを確認します。

  2. + 新規プロバイダー を選択します。

  3. ログイン プロバイダーの選択その他 を選択します。

  4. プロトコルSAML 2.0 を選択します。

  5. Microsoft Entra ID など、プロバイダーの名前を入力します。

    プロバイダー名は、ユーザーがサインイン ページで ID プロバイダーを選択するときに表示されるボタンのテキストです。

  6. 次へを選択します。

  7. 返信 URL で、コピー を選択します。

    Power Pages ブラウザー タブを閉じないでください。すぐに元に戻ります。

Azure でアプリの登録を作成する

サイトの返信 URL をリダイレクト URI として、Azure portal でアプリ登録を作成します

  1. Azure portalにサインインします。

  2. Azure Active Directory を検索して選択します。

  3. 管理 配下で アプリの登録 を選択します。

  4. 新規登録を選択します。

  5. 名前を入力してください。

  6. 組織の要件を最もよく反映した 対応しているアカウントの種類 のうちの 1 つを選択します。

  7. リダイレクト URI で、プラットフォームとして Web を選択し、サイトの返信 URL を入力します。

    • サイトの既定の URL を使用している場合は、コピーした 返信 URL を貼り付けます。
    • カスタム ドメイン名を使用している場合は、カスタム URL を入力します。 サイトの ID プロバイダーの設定で、アサーション コンシューマ サービスの URL に必ず同じカスタム URL を使用します。

  8. 登録を選択します。

  9. ページ上部にある エンドポイント を選択します。

  10. フェデレーション メタデータ ドキュメントの URL を検索し、コピー アイコンを選択します。

  11. 左側のサイド パネルで、API を公開するを選択します。

  12. アプリケーション ID の URI の右側で、追加を選択します。

  13. アプリ ID URI にサイトの URL を入力します。

  14. 保存 を選びます。

  15. 新しいブラウザー タブで、前にコピーしたフェデレーション メタデータ ドキュメントの URL を貼り付けます。

  16. ドキュメントの entityID タグの値をコピーします。

Power Pages でサイト設定を入力する

先ほどの Power Pages の ID プロバイダーを構成する ページに戻り、次の値を入力します。 必要に応じて、追加の設定 を変更します。 完了後、確認 を選択します。

  • メタデータ アドレス: コピーしたフェデレーション メタデータ ドキュメントの URL を貼り付けます。

  • 認証の種類: コピーしたentityID 値を貼り付けます。

  • サービス プロバイダー領域: サイトの URL を入力します。

  • アサーション コンシューマサービスの URL: サイトでカスタム ドメイン名を使用している場合は、カスタム URL を入力します。それ以外の場合は、既定値 (サイトの返信 URL ) のままにします。 値が 作成した アプリケーションのリダイレクト URI と完全に同じであることを確認してください。

Power Pages での追加設定

追加設定を使用して、SAML 2.0 ID プロバイダーでユーザーの認証方法を詳細にコントロールできます。 これらの値を設定する必要はありません。 完全にオプションです。

  • 対象ユーザーの検証: トークンの検証中に対象ユーザーを検証するには、この設定をオンにします。

  • 有効な対象ユーザー: 対象ユーザー URL のコンマ区切りのリストを入力します。

  • メールによる取引先担当者マッピング : この設定では、取引先担当者がサインインしたときに、対応するメール アドレスにマッピングされるかどうかを決定します。

    • オン: 一意の取引先担当者レコードが一致するメール アドレスに関連付けられ、ユーザーが正常にサインインした後に自動的に外部 ID プロバイダーがその取引先担当者に割り当てられます。
    • オフ

参照

SAML 2.0 プロバイダーを設定する
AD FS で SAML 2.0 プロバイダーを設定する
SAML 2.0 に関する FAQ