- CYPOCHI.com
- マニュアル
- 基本システム
- 管理者マニュアル外部認証編
- Microsoftでの認証設定
Microsoftでの認証設定
(2022.09.08改訂)
IDプロバイダー「Microsoft Azure AD」にアプリケーション「CYPOCHI AIR」を登録する手順を説明します。準備
- 当社から送付させて頂きました「CYPOCHI AIR 外部認証(AzureAD)のご利用にあたって」のWord文書。
- お客様の AzureAD にアプリケーションを登録できる Microsoft アカウント。
注意事項
当マニュアル内のスクリーンショットはMicrosoft Azure AD 側の仕様変更により、変更されている場合がございます。Azure AD の詳細については、Microsoft の公式ドキュメント等をご参照ください。
【参考】クイック スタート:Microsoft ID プラットフォームにアプリケーションを登録する
https://learn.microsoft.com/ja-jp/azure/active-directory/develop/quickstart-register-app
【参考】クイック スタート:Web API にアクセスするようにクライアント アプリケーションを構成する
https://learn.microsoft.com/ja-jp/azure/active-directory/develop/quickstart-configure-app-access-web-apis
【参考】アプリに省略可能な要求を提供する
https://learn.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-optional-claims
1.ディレクトリ(テナント)を選択する
アプリケーション「CYPOCHI AIR」がアクセスできるようにするディレクトリ(テナント)を選択します。1.Azure portal にサインインします。
2.複数のディレクトリ(テナント)にアクセスできる場合は、トップ メニューの [設定] をクリックして、[ポータルの設定] 画面を開き、
[ディレクトリとサブスクリプション] フィルター を使用して、アプリケーションを登録するテナントに切り替えます。
3.Azure portal ホーム画面で、Azure サービスから[Azure Active Directory]を選択します。
4. 既定のディレクトリまたは選択したディレクトリの [概要] ペインが表示されます。
表示れている [テナントID] をクリップボードにコピーし、
「CYPOCHI AIR 外部認証(AzureAD)のご利用にあたって」の(カ)テナントIDに貼り付けてください。
2.アプリケーションを登録する
選択したディレクトリ(テナント)にアプリケーション「CYPOCHI AIR」を登録します。1.左側のメニュー [管理] から [アプリの登録] を選択し、[新規登録] をクリックします。
2.アプリケーションの登録画面で、以下を指定します。
| ① | 名前(アプリケーションの表示名) | 任意の文字列を指定できます。推奨は「CYPOCHI AIR」です。 |
| ② | サポートされているアカウントの種類 | アプリケーションを使用できるユーザーを指定します。
通常は、「この組織ディレクトリのみに含まれるアカウント(既定のディレクトリのみ‐シングルテナント」を選択します。 |
| ③ | リダイレクトURI(省略可能) | ここでは何も入力しないでください。
※リダイレクトURI は、次のセクションで構成します。 |
3.ボタン [登録] をクリックして、初期のアプリ登録を完了します。
登録したアプリの [概要] ペインが表示されます。
表示された [アプリケーション(クライアント)ID] をクリップボードにコピーし、
「CYPOCHI AIR 外部認証(AzureAD)のご利用にあたって」の(キ)クライアントID欄に貼り付けてください。
3.リダイレクトURI を追加する
選択したディレクトリ(テナント)にアプリケーション「CYPOCHI AIR」を登録します。1.左側のメニュー [管理] から [認証] を選択し、[プラットフォームを追加] をクリックします。
2.表示された [プラットフォームの構成] パネルで、[Webアプリケーション] から [Web] をクリックします。
3.表示された [Webの構成] パネルで、以下を指定します。
| ① | リダイレクト URI | 「CYPOCHI AIR 外部認証 申請書(AzureAD)」に記載された(イ)リダイレクトURI をコピーして貼り付けてください。 |
| ② | フロントチャネルのログアウト URL(省略可能) | 何も入力しません。 ※アプリケーション「CYPOCHI AIR」は、シングルサインアウトに未対応です。 |
| ③ | 暗黙的な許可およびハイブリッド フロー | チェックボックス「IDトークン(暗黙的およびハイブリッドフローに使用)」のみオンにしてください。 |
4.ボタン [構成] をクリックして、保存します。
4.リダイレクトURI を追加する
資格情報として「クライアントシークレット」を登録し、アプリケーション「CYPOCHI AIR」が使用できるようにします。1.左側メニュー [管理] から [証明書とシークレット] を選択し、[新しいクライアントシークレット] をクリックします。
2.表示された [クライアントシークレットの追加] パネルで、以下を入力します。
| ① | 説明 | このクライアントシークレットの説明を任意の文字列で入力してください。
例「令和5・6年度資格情報」を入力。 |
| ② | 有効期限 | プルダウンリストから選択して有効期限を指定してください。
例「24か月」を選択(Microsoftでは、クライアントシークレットの有効期間を2年以下に制限しています)。 |
追加したクライアントシークレットが表示されます。
表示された [値] をクリップボードにコピーし、「CYPOCHI AIR 外部認証 申請書(AzureAD)」の(ク)「クライアントシークレット」に貼り付けてください。
同様に、[シークレットID] をクリップボードにコピーし、「CYPOCHI AIR 外部認証 申請書(AzureAD)」の(ケ)「シークレットID」に貼り付けてください。
また、表示される「有効期限」を、 「CYPOCHI AIR 外部認証 申請書(AzureAD)」の(コ)「シークレット有効期限」に記入してくいださい。
【注意1】クライアントシークレットは、『トークンの要求時にアプリケーションが自身のIDを証明するために使用する秘密の文字列です』。
シークレット値は、この画面を閉じると、非表示になります。登録直後に表示される値を必ず保存してください。
シークレット値を保存し損ねた場合は、当該クライアントシークレットを削除して、新しく追加し直してください。
【注意2】クライアントシークレットには、有効期限があります。
有効期限に到達する前に、新しいクライアントシークレットを追加して、当社に値とIDを通知してください。
5.オプション要求を追加する
Microsoft ID プラットフォームからアプリケーション「CYPOCHI AIR」に送信されるトークンに含めたい要求を指定します。1.左側メニュー [管理] から [トークン構成] を選択し、[オプションの要求の追加] をクリックします。
2.表示された [オプションの要求の追加] パネルで、ラジオボタン [トークンの種類] の [ID] を選択します。
3.表示された [要求] の一覧から、次の項目のチェックボックスをオンにします。
| ① | このユーザーが持っている場合は、ユーザーのアドレス可能メール | |
| ② | family_name | ユーザー オブジェクトで定義されているユーザーの姓、名字、家名 |
| ③ | given_name | ユーザー オブジェクトで定義されているユーザーの名またはファーストネーム |
| ④ | onprem_sid | オンプレミスのセキュリティ識別子(CYPOCHI AIR では未使用ですが将来の利用に備えて指定します) |
5.次のメッセージが表示されたら、 チェックボックス「Microsoft Grapf email, profile のアクセス許可を有効にします」をオンにします。
6.ボタン [追加] をクリックして、保存します。追加したオプション要求が表示されます。
6.アクセス許可を追加する
アプリケーション「CYPOCHI AIR」が Microsoft Graph API にアクセスできるように構成します。1.左側メニュー [管理] から [APIのアクセス許可] を選択すると、「構成されたアクセス許可」が表示されます。
2.[アクセス許可の追加] をクリックします。
3.表示された [API アクセス許可の要求] パネルで、[Microsoft API ] を選択し、[Microsoft Graph] をクリックします。
4.[委任されたアクセス許可] (アプリケーションは、サインインしたユーザーとして API にアクセスする必要があります)をクリックします。
5.表示された [アクセス許可] の一覧の中から、次の項目のチェックボックスをオンにします。
6.ボタン [アクセス許可の追加] をクリックします。
7.この4項目のアクセスは [管理者の同意が必要] が [いいえ] ですが、[既定のディレクトリに管理者の同意を与えます」をクリックします。
8.確認メッセージが表示されたら [はい] をクリックします。
9.[構成されたアクセス許可] の [状態] に、[既定のディレクトリに付与されました] が表示されます。
7.アプリのロゴを登録する
アプリケーション「CYPOCHI AIR」のロゴを登録し、同意画面等に表示されるようにします。1.次のロゴ画像を右クリックし、「名前を付けて画像を保存」しておきます。
2.左側メニュー [管理] から [ブランド化とプロパティ] をクリックします。
3.表示された [ブランド化とプロパティ] パネルで、項目「新しいロゴのアップロード」のフォルダアイコンをクリックして、上記で保存したロゴファイルを指定します。
4.ボタン[保存] をクリックします。
結び
以上で、AzureAD側の設定が完了です。
ご記入いただきました「CYPOCHI AIR 外部認証(AzureAD)のご利用にあたって」(Word文書)をサイポチ社にご提出ください。
サイポチ社開発環境にて組み込みテスト後、日程調整のうえ、貴学環境に反映させていただきます。
※サイポチ社が利用できる貴学AzureADテナントのテスト用ユーザーをご用意いただき、上記文書にご記入ください。
なお、AzureADテナントに登録したアプリケーションは、既定ではテナントに正常に認証されたすべてのユーザーが利用できます。
AzureADの特定ユーザーまたはグループにのみ、アプリケーション「CYPOCHI AIR」の利用を制限する場合は、下記の手順をご参照ください。
【参照】Azure AD アプリを Azure AD テナントの一連のユーザーに制限する
https://learn.microsoft.com/ja-jp/azure/active-directory/develop/howto-restrict-your-app-to-a-set-of-users