Microsoft Entra ID における SSO とは
Microsoft Entra ID(旧Azure Active Directory)は、Microsoftが提供するクラウド型のID管理サービスです。このサービスにはシングルサインオン(SSO)の仕組みが組み込まれており、多くの企業で利用されています。
まず、この章ではMicrosoft Entra ID、SSOといったの基本概念についてご紹介します。
Microsoft Entra IDとは?
Microsoft Entra ID(旧称:Azure Active Directory)は、Microsoftが提供するクラウド型のIDおよびアクセス管理サービスです。
主な特徴は次のとおりです。
- クラウドとオンプレを統合管理:例えば、社員が使う Microsoft 365(Outlook や Teams)や Salesforce、さらに社内の勤怠管理システムまで、一つのIDでログインできるようにまとめて管理することができます。
- 高度なセキュリティパスワードに加えてスマホ通知や指紋認証を使う多要素認証(MFA)や、アクセス状況に応じた追加認証(条件付きアクセス)で、不正ログインを防ぎます。
- アクセス権限の制御:たとえば「営業部の人は営業支援システムにアクセスできるが、経理システムには入れない」というように「誰が・どのアプリやデータを・どんな条件で使えるか」を細かくコントロールすることが可能です。
【関連記事】
▶Microsoft Entra IDとは?Azure ADとの違い、機能、ライセンスを徹底解説
Microsoft Entra IDイメージ(参考:Microsoft)
シングルサインオン(SSO)とは?
シングルサインオン(SSO)とは、ユーザーが一度サインインするだけで、複数のアプリやサービスにそのままアクセスできる仕組みのことです。
通常であれば、Outlook・Teams・Salesforce・GitHub など、サービスごとにログインが必要です。
しかし、SSO を導入すると、最初に 1つのサービス にサインインするだけで認証結果が共有され、各サービスに一度にアクセスできるようになります。
SSOには、以下のようなメリットがあります。
- 利便性の向上:各サービスごとに何度も ID やパスワードを入力する必要がなくなり、手間が減ります。
- セキュリティの強化:認証を一元的に管理できるため、不正ログインやパスワード漏洩のリスクを減らせます。
- IT運用負荷の軽減:アカウント管理が効率化され、IT部門の運用コストやサポート対応が軽減されます。
Microsoft Entra IDにおけるSSO
このように、SSOはユーザー・管理者の双方にとってメリットの大きい認証方式であり、Microsoft Entra ID は特に、このSSOを支える中心的なサービスとなっています。
Microsoft Entra ID でSSOを導入すると、以下のようなメリットがあります。
- 幅広いアプリと連携可能:数千種類以上の SaaS アプリが公式ギャラリーに用意されており、数クリックで追加することができます。
- セキュリティと利便性の両立:SSOとあわせて、多要素認証(MFA)や条件付きアクセスを組み合わせることで、「使いやく安全な」アクセス制御が可能です。
- 社内システムとの統合:クラウドだけでなくオンプレミスのアプリケーションとも統合できるため、 社内外を問わず同じアカウントで利用することができます。
- ユーザー体験の向上: 一度サインインするだけで、必要な業務アプリにアクセス可能です。ユーザーの生産性が向上し、サポート対応の手間も減ります。
SSOイメージ(参考:Microsoft)
他の認証方式との違いとSSOの優位性
シングルサインオン(SSO)は、一度のサインインで複数のアプリやサービスを利用できるという便利な仕組みですが、すべてのケースで常に最適というわけではありません。
ここでは、代表的な認証方式と比較しながら、SSOの特徴と導入メリットを整理します。
主な認証方式の比較
認証方式にはいくつか種類があり、それぞれに以下のような特徴と強み・弱みがあります。
認証方式 | 特徴 | メリット | 注意点 |
|---|---|---|---|
パスワード認証 | ユーザーがIDとパスワードを入力して認証 | シンプル・導入コストが低い | パスワード漏洩・使い回しリスクが高い |
多要素認証(MFA) | パスワードに加え、スマホ認証・生体認証などを追加 | セキュリティ強化 | 使い勝手に若干の負荷 |
SSO(シングルサインオン) | 一度の認証で複数アプリにアクセス可能 | UX向上・IT運用効率化・セキュリティの一元管理 | 初期設定がやや複雑 |
証明書ベース認証 | デバイスにインストールされた証明書で認証 | 自動化しやすく高セキュリティ | デバイス管理が前提 |
認証方式の選び方の目安
どの認証方式を選ぶかは、「利便性」「セキュリティ」「運用効率」のどこを重視するかによります。以下のような基準で、選択すると良いでしょう。
パスワード認証が向いているケース
- 小規模なサービスやテスト環境など、コストをかけずにシンプルに始めたい場合(ただし本番環境ではパスワード漏洩リスクが高いため推奨されません)。
多要素認証(MFA)が必要なケース
- 金融や医療などセキュリティリスクが高い業界
- リモートワークや社外からのアクセスが多い場合
- 「利便性よりセキュリティを優先したい」環境
SSO(シングルサインオン)が効果的なケース
- Microsoft 365、Salesforce、Slack など複数のクラウドアプリを日常的に使っている
- パスワード忘れや再発行の問い合わせが多く、IT部門の負担が大きい
- 会社全体でアクセス制御を統一してガバナンスを強化したい
証明書ベース認証が適しているケース
- 官公庁や大企業など、デバイスも含めて厳格に管理する必要がある環境
- 社内PCや業務端末に証明書を配布・管理できる体制がある場合
SSOの構成パターン
アプリはそれぞれ「認証プロトコル(ログインのルール)」を持っており、必ずしも同じ方法でサインインしているわけではありません。
そこでアプリごとに認証方法が違っていても、シングルサインオンを実現するには共通の仕組みにそろえる必要があり、そのやり方を整理したものが「SSOの構成パターン」です。
Microsoft Entra IDには、アプリの対応状況に応じて次のようなSSO構成パターンが用意されています。
フェデレーションSSO(推奨・正攻法)
アプリが SAML / OIDC / WS-Federationなどの標準プロトコルに対応している場合に利用するパターンです。
セキュリティや拡張性が高いので、アプリが対応しているのであれば、この方式を最優先で選ぶのが基本です。
シングルサインオン(SSO)の仕組み(参考:Microsoft)
以下は、フェデレーション方式の流れの一例です。
1. ユーザーがアプリ(例:GitHub)にアクセスする
2. アプリは「この人の認証はMicrosoft Entra IDに任せる」と判断して、ユーザーをMicrosoft Entra IDにリダイレクト
3. ユーザーがMicrosoft Entra IDでサインイン(パスワードやMFAなど)する
4. Microsoft Entra IDは「この人は本人だ」という証明(トークン(SAMLアサーションやOIDCトークン)を発行し、アプリに送る
5. アプリは「Microsoft Entra IDからの署名付きトークンだから正しい」と確認して、ユーザーをログインさせる
パスワードベースSSO
アプリが標準プロトコルに対応していない場合に利用します。Microsoft Entra ID が裏側でユーザー名とパスワードを代理入力することでログインできる仕組みです。
パスワードベースSSO イメージ (参考:Microsoft)
以下は、流れの一例です。
1. ユーザーが Microsoft Entra ID のポータルから対象アプリを選択
2. Microsoft Entra ID が保存済みのユーザー名とパスワードを取り出す
3. ブラウザ拡張機能が自動でログインフォームに入力して送信
4. ユーザーは入力操作をせずに、そのままアプリへログイン完了
仕組みとしては、「パスワードマネージャー」が自動ログインしてくれるようなものです。セキュリティはフェデレーションより弱いというデメリットがありますが、古いアプリや標準プロトコル非対応アプリでもSSOを使用することができます。
リンクベースSSO
アプリを移行中などでSSO連携ができない場合に利用します。
Microsoft Entra ID のポータルに「アプリへのリンク」を置くだけの仕組みで、クリックすると直接アプリに飛びます。
ただし、ログイン処理はアプリ側で行われるため、条件付きアクセスや多要素認証(MFA)は適用できません。
以下は、流れの一例です。
1. ユーザーが対象のアプリをクリックすると、Microsoft Entra ID が保存済みのリンク先URLにリダイレクト する
2. アプリ側の認証機能など によってログイン処理が行われる
つまり、ショートカットの感覚で利用できるパターンと考えると良いでしょう。
クラウドかオンプレミスか
SSO の導入を考えるときの基本的な軸は、上記でご紹介した構成パターンが主流となります。
しかしWebアプリは大きく分けて クラウド型(SaaS)と オンプレミス型(社内システム)があるため、以下のような考慮も必要です。
1. クラウドアプリ(Microsoft 365、GitHub、Salesforce など
インターネット経由で利用するアプリケーションです。多くは SAML や OpenID Connect などのフェデレーションプロトコルに対応しています。
2. オンプレミスアプリ(社内システムや独自Webアプリなど)
通常は社内ネットワークから直接アクセスすることができます。
社外やリモート環境からも安全に利用したい場合は、Microsoft Entra アプリケーション プロキシを利用してSSOを構成すると、社外からでもセキュアに社内アプリへアクセス可能になります。
Microsoft Entra IDでSSOを設定する手順
ここでは、Microsoft Entra ID を使った SSO 設定の流れをGitHub Enterprise Cloudを例にご紹介します。
【関連記事】
GitHub Enterprise Cloudとは?クラウドベースの開発環境構築と管理機能を解説
主な流れ
SSOを使うには、まず最初に Microsoft Entra ID と GitHub Enterprise Cloud の両方で「このユーザーの本人確認はMicrosoft Entra IDに任せます」という設定をしておく必要があります。
その後は自動的にSSOが動くようになり、ユーザーは一度のサインインで複数サービスを利用できるようになります。
最初の設定(初回のみ必要)
Microsoft Entra ID 側と GitHub Enterprise Cloud 側に、お互いの情報を登録します。
1. Microsoft Entra ID 側での設定
- GitHub Enterprise Cloudに渡すユーザー情報(属性マッピング)
- 証明書(SAML署名用)の発行とダウンロード
- GitHub Enterprise Cloudからのリダイレクトを受ける応答URLの登録
2. GitHub Enterprise Cloud 側での設定
- Microsoft Entra IDから受け取る認証情報(ログイン URL、証明書など)の登録
その後、Microsoft Entra ID 側で対象ユーザーやグループを割り当て、テストを実施して正しくSSOできるか確認します。
前提条件
前提条件として以下の環境や権限が必要です。
1. Microsoft Entra アカウント
有効なサブスクリプションを持つMicrosoft Entra ユーザーが必要です。
2. 必要な管理者ロールのいずれか
- アプリケーション管理者
- クラウド アプリケーション管理者
- アプリケーション所有者
3. GitHub Enterprise アカウント
エンタープライズ アカウント所有者である GitHub ユーザー アカウント
ステップ 1:エンタープライズ アプリケーションとして GitHub Enterprise Cloud を追加
1. Microsoft Entra 管理センターにサインインします。
管理センターログイン画面
2. 左メニューの①「Entra ID」から②「エンタープライズ アプリケーション」→③「新しいアプリケーション」をクリックします。
新しいアプリケーション
3. 検索バーに「GitHub Enterprise Cloud - Enterprise Account」と入力し、「GitHub Enterprise Cloud - Enterprise Account」のアプリをクリックします。
EnterpriseAccount
4. 画面右側に、以下のボックスが開くので、名前を入力し、「作成」をクリックします。
EnterpriseAccount作成
ステップ 2:SSO の構成
1. 以下のような、アプリの概要ページが開きます。
アプリの概要
画面の構成は次のとおりです。
項目 | 説明 |
|---|---|
左メニュー | アプリの設定項目にアクセスするためのナビゲーションです。 |
中央のプロパティ欄 | アプリ名、アプリケーション ID、オブジェクト ID などの基本情報が表示されています。 |
Getting Started(開始用メニュー) | 初めてアプリをセットアップする人向けに、作業の流れを案内しています。 |
2. ①「シングル サインオン」→②「SAML」を選択します。
SAML
3. 「基本的なSAML構成」セクションから、ペンのマーク(「編集」)をクリックします。
SAML構成編集
4.以下の基本的な SAML 構成画面が画面右側に開きます。
SAML構成画面
5. 「識別子の追加」をクリックします。
識別子の追加
6.すると以下のような入力欄が開くので、識別子(Entity ID)を入力します。
識別子の追加EntityID
識別子(Entity ID)とは、サービス(ここでは GitHub Enterprise Account)を一意に表す IDです。
GitHub Enterprise Cloud への接続先を Microsoft Entra ID に教えるために入力します(例:https://github.com/enterprises/my-company)。
7.応答 URLについても、同様に「応答 URLの追加」をクリックして入力します。
応答URLの追加
応答 URL(ACS URL)とは、Microsoft Entra ID からの認証レスポンスを GitHub Enterprise Cloud が受け取る窓口となるurlのことです(例:https://github.com/enterprises/my-company/saml/consume)。
8. 他の任意の記載項目も入力可能です。入力したら「保存」をクリックします。
応答URLの保存
9.次の「属性とクレーム」セクションは、Microsoft Entra ID が GitHub Enterprise Cloud に渡すユーザー情報の一覧を示しています。
属性とクレーム
- 属性(Attribute):Microsoft Entra ID が持っているユーザー情報
- クレーム(Claim):SAML 認証で GitHub Enterprise Cloud 側に送られるデータ
ここで設定された内容に従って、Microsoft Entra IDのユーザー情報がSAMLレスポンスに含まれてGitHub Enterprise Cloudに渡されます。
10.Microsoft Entra ID が署名する証明書(Base64形式) を入手します。
[ SAML 署名証明書 ] セクションで、 証明書 (Base64) を探し、[ ダウンロード ] を選択して証明書をダウンロードし、コンピューターに保存します。
SAML 署名証明書
この証明書は「このSAML応答は確かにMicrosoft Entra IDから送られたものです」という デジタル署名の検証用 に使われます。
GitHub Enterprise Cloud 側にアップロードすることで、GitHub Enterprise Cloudは「なりすましではなく正しいIdPから来た応答である」と確認することができます。
11. [ GitHub Enterprise Cloud - Enterprise Account のセットアップ ] セクションに、以下のような 認証に必要なURL が表示されています。
セットアップセクション
- ログイン URL
- Microsoft Entra 識別子
- ログアウト URL
こうしたURLを GitHub Enterprise Cloud 側の SAML設定画面に貼り付けることで、GitHub Enterprise Cloudが「どのIdP(Microsoft Entra ID)に問い合わせればいいか」を知ることができます。
12. Microsoft Entra ID 側の構成を終えると、GitHub Enterprise Cloud 側に入力すべき各種情報(証明書や各種 URL)が出そろいます。これらを GitHub Enterprise Cloud の SAML 設定画面にコピーして登録することで、Microsoft Entra ID と GitHub Enterprise Cloud の SSO 連携が確立します。
詳細は、Microsoftの公式ドキュメントをご覧ください。
ステップ 3:ユーザーの割り当てとテスト
1. [ ユーザーとグループ] を選択し、[ +ユーザーまたはグループの追加]をクリックします。
その後、SSOを許可する対象ユーザーやグループを割り当てます。
SSOを許可する対象割り当て
2. [選択されていません]をクリックし、ユーザーを選択します。その後、下の [選択]をクリックします。
SSOを許可する対象選択
3.「1人のユーザーが選択されました。」と表示が変わったのを確認したら、[ 割り当て]をクリックします。
4. Microsoft Entra ID側から、[ シングルサインオン]→[ Test]から SSO の接続確認を行い、認証が正しく動作することを検証します。
テスト画面
設計・運用で意識すべきポイント
Microsoft Entra ID で SSO を使うときは、設定だけでなく 運用を続けるための設計も大事です。
以下の点を意識すると、長期的な運用も踏まえて使うことができるでしょう。
ユーザー割り当ての方針を明確にする
すべてのユーザーに一律でアプリケーションを割り当てるのか、それとも部門や職種ごとのグループ単位で割り当てるのか、最初に方針を定めておくことが重要です。
方針を決めておくと、管理が楽になり、誤設定も防ぐことができます。
属性マッピングの精度を確保する
SAML認証を用いる場合、Microsoft Entra ID 側のユーザー情報とアプリケーション側の受け取り形式を正確にマッピングする必要があります。
たとえば「name」「email」などの属性が正しく渡らないと、ユーザーが正しく認識されない、あるいはアクセスエラーが発生することがあります。
証明書の有効期限を定期的に確認する
SAMLで使う証明書には期限があります。 切れるとSSOが使えなくなってしまうので、定期的に期限をチェックして、早めに更新の準備をしておくことが大切です。
まとめ
本記事では、Microsoft Entra ID を使ったシングルサインオン(SSO)について、基本の考え方から設定手順、運用で気をつけるポイントまで紹介しました。
Microsoft Entra ID は、Microsoft 製品だけでなく多くの SaaS サービスとも連携でき、セキュリティと使いやすさを両立したアクセス管理を実現できる強力な仕組みです。
SSOの導入をすることは、ユーザーの利便性を向上させるだけでなく、IT部門の運用負荷軽減やセキュリティ強化にもつながります。設定は一見難しそうですが、Microsoft Entra 管理センターを使えば GUI で直感的に進められるのも大きなメリットです。
東京エレクトロンデバイスでは、Microsoft Entra ID を活用した安全な ID 管理や SSO 導入のご支援を行っています。
導入のご相談や構成検討についてもお気軽にお問い合わせください。
