このサイトはCloudGate UNOを導入するための前準備である
Office 365側でのOAuth設定について説明しています。

目次

1. はじめに
1-1. このガイドの対象
1-2. 目的と内容

2. 注意点
2-1.Office 365管理センターへのログイン
2-2.管理者アカウントでの操作
2-3.シングルサインオン対象のOffice 365ドメイン
2-4.APIプロビジョニングテストの影響

3.Office 365 ユーザー同期設定(OAuth設定)
3-1. アプリケーションの追加

 4.アプリケーションIDとキーの取得
4-1. アプリケーションIDとキーの取得

5.RootDomainの確認
5-1.Windows PowerShell利用環境の準備
5-2.RootDomainの確認

6.CloudGateサービス必要情報の送信
6-1. WebフォームからCloudGateお申し込みの場合
6-2. その他のお申込みの場合

7.PowerShellによるSSO設定コマンド解説
7-1. Office 365シングルサインオン有効化
7-2. Office 365シングルサインオン無効化

1.はじめに

1-1.このガイドの対象

このガイドは、次の方を対象にしています。
Office 365を導入しており、CloudGate(試用版を含む)を導入予定する方。
Office 365の全体管理者権限を持つ方。
このガイドに記載されている作業内容は既にOffice 365を導入していることが前提となります。

1-2.目的と内容

CloudGateは、お客様のOffice 365環境に対しOffice 365 APIを利用して様々な情報の連携を行います。
Office 365 APIを利用するためには、CloudGateはお客様のOffice 365環境にAPIアクセスを許可されているという認証情報の証明をOffice 365サーバーに対し行う必要があります。
Office 365が採用しているAPI認証方式は「OAuth(オー・オース)」という認証方式です。
このガイドでは、Azure AD上にアプリケーションを作成してOAuthの設定を行う手順を解説いたします。

2.注意点

2-1.Office 365管理センターへのログイン

ログイン方法は以下となります。

Office 365管理センター(https://portal.office.com/adminportal/home/)にアクセスし、全体管理者でログインします。
「職場または学校アカウント」に「全体管理者アカウント」及び「全体管理者アカウントのパスワード」を入力し、「サインイン」ボタンをクリックします。




ログインに成功することでOffice 365管理センターが表示されます。



※Office 365管理センターが表示されず「管理者の連絡先情報を更新」が表示される場合は、指定されているオプションの設定を実施し「完了」ボタンをクリックまたは「キャンセル」をクリックします。






2-2.管理者アカウントでの操作


このガイドの作業はすべてOffice 365の全体管理者権限を持つアカウントで行う必要があります。





全体管理者権限を持たないアカウントで作業した場合、お申込みフォームから正しく情報の送信が行えません。

また、このガイドに記載されている作業を行う際に利用するOffice 365の全体管理者アカウントは
CloudGateを利用するにあたり永続的にOffice 365上に存在している必要があります。
万が一当該アカウントを削除されてしまいますとCloudGateの利用に支障が出る恐れがありますので、
削除しないようお願い致します。



*Office 365の管理については下記URLの参照をお願いします。
Office 365 管理センターについて
Office 365 で管理者ロールを割り当てる



2-3.シングルサインオン対象のOffice 365ドメイン

Office 365の仕様で、「既定値」として設定されているドメインにはシングルサインオンの設定を行うことができません。 そのため、「xxxx.onmicrosoft.com」形式のドメインを「既定値」として設定し、その下に別ドメイン(カスタムドメイン)を作成して カスタムドメインに対しシングルサインオン設定を行う必要があります。 もし、カスタムドメインが「既定値」に設定されている場合は、以下の手順にて 「xxxx.onmicrosoft.com」形式のドメインを「既定のドメイン」へと変更してください。

1.「Office 365管理センター」の「セットアップ」メニューを配下の「ドメイン」を選択します。
※「Office 365管理センター」へのログイン方法は2-1.Office 365管理センターへのログインを参照

2.「xxxx.onmicrosoft.com」形式のドメインを選択します。

3.「既定のドメイン」へと変更してください。

*Office 365の既定のドメインについては下記URLの参照をお願いします。

Office 365 の初期 onmicrosoft.com ドメインについて

2-4.APIによるプロビジョニング確認テストの影響について

CloudGate UNOのサービスリリース時、Office 365連携の設定過程において、APIによるプロビジョニングテストを実行するため、
お客様のOffice 365管理センター内に「cloudgate-api-test-user@xxxxxx.onmicrosoft.com」という名称のユーザーが自動で作成されます。このユーザーにはライセンスが割り当てられていない状態です。
サービス開通後、お手数をおかけいたしますが、Office 365管理センターより削除いただけますようお願いいたします。


3.Office 365 ユーザー同期設定(OAuth設定)

3-1.アプリケーションの追加

CloudGate UNO側で作成したユーザーを自動的にOffice 365側にも
同期する為の事前設定となります。
具体的にはAzure AD上にアプリケーションを作成し、OAuthの設定を行います。

1.「Office 365管理センター」を利用可能なユーザーでOffice 365へログインします。左メニューの
一番下の「Azure AD」を選択します。
※「Office 365管理センター」へのログイン方法は2-1.Office 365管理センターへのログインを参照

左メニューの一番下の「Azure AD」を選択します。

2.左メニューの「Azure Active Directory」を選択します。

サインアップ

3.「アプリの登録」を選択します。

サービスの管理を開始する

4.「新しいアプリケーションの登録」を選択します。

「Office365管理センター」へ戻ってから「Azure AD」を選択します。

5.「名前」、「アプリケーションの種類」、「サインオンURL」の設定を行います。

「Office365管理センター」へ戻ってから「Azure AD」を選択します。

4.アプリケーションIDとキーの取得

4-1.アプリケーションIDとキーの取得

1.直前の手順「3−1」で作成したアプリケーションを選択します。

完成したアプリケーションの「構成」タブを選択すると、以下の画面が表示されます。

2.アプリケーションを選択すると以下の画面が表示されます。

完成したアプリケーションの「構成」タブを選択すると、以下の画面が表示されます。

① アプリケーションID

「アプリケーションID」をコピーし、メモ帳やエディタに保存します。
(実際の画面は黒塗りの部分に文字列が表示されています)

② 必要なアクセス許可

対象のAPIを選択します。

クライアントID

「必要なアクセス許可」から「Windows Azure Active Directory
(Microsoft.Azure.ActiveDirectory)」を 選択すると、「アクセスの有効化」が一覧で表示されます。 以下をそれぞれ選択し、画面上部の「保存」を選択します。

アプリケーションのアクセス許可:Read and write directory data
委任されたアクセス許可 :Sign in and read user profile

時間の選択

次に、画面左上の「アクセス許可の付与」を選択し、続いて「はい」を選択します。 直前に「必要なアクセス許可」で選択した権限が適用されます。

時間の選択

③ キーを作成します。

時間の選択

「キー」を選択すると上記のような画面表示となります。
「キーの説明」には任意の値を入力します。(例:CloudGate連携用)
キーは「1年」、「2年」、「期限なし」を選択できますので「期限なし」を選択します。
保存後、キーの文字列が表示されますのですぐにコピーし、メモ帳やエディタに保存します。
(画面を移動したり、閉じたりしてしまうと、確認はできなくなってしまいますので注意してください。)

時間の選択

※公開キーのアップロードは不要です。

3.以下をISRまで送付願います。
 「アプリケーションID」
 「キー」
 「キーの有効期限(年月日情報)」

5.RootDomainの確認

Office 365では、カスタムドメインにサブドメインを設定した場合に、自動的にRootDomainが紐付けられている場合があります。
RootDomainの値はCloudGateの設定に必要なため、RootDomainの存在を以下の手順で確認してください。

5-1.Windows PowerShellを利用できる環境の準備

RootDomainの確認には以下の設定が必要です。すでに設定済である場合は、手順5-2に進みます。

https://docs.microsoft.com/ja-jp/office365/enterprise/powershell/connect-to-office-365-powershell

上記のリンク先にアクセスし、「Microsoft PowerShell の
Microsoft Azure Active Directory モジュールとの接続」の
”手順 1: 必要なソフトウェアをインストールします” に従い以下2つをインストールします。

2.インストールしたら、PowerShellを起動します。コマンドラインに以下を入力して実行します。

connect-msolservice

3.IDとパスワードを入力するウィンドウが表示されますので、
「全体管理者権限を持つOffice 365アカウント」でログインしてください。

ログインが完了すると、下記のようになります。

5-2.RootDomainの確認

1. PowerShellを起動し「全体管理者権限を持つOffice 365アカウント」でログインします。
※ログイン方法は5-1.Windows PowerShellを利用できる環境の準備を参照。

2. 以下のコマンドを実行します。
Get-MsolDomain -DomainName "ドメイン名" | FL Name, RootDomain
※青字の"ドメイン名"には、シングルサインオン設定する対象のOffice 365ドメイン
(カスタムドメイン)を指定してください。

実行例:



3.結果を確認します。

 

例①:RootDomainが空欄の場合

 
 
 お申込みフォームのRootDomain確認欄は「RootDomainは空欄」を選択してください。

 例②:RootDomainに別のドメインが表示された場合

 
 
 お申込みフォームのRootDomain確認欄は「空欄ではない」を選択の上、表示されたドメインを入力してください。  

6.CloudGateサービス必要情報の送信

CloudGateサービスの開通には手順3及び手順4の操作後に取得できる下記の情報が必要になります。

6-1.WebフォームからCloudGateお申し込みの場合

Webフォームからトライアルをお申し込みの場合は、お申込みフォームで各種情報を入力して送信してください。

CloudGateトライアル申し込みサイトへ


6-2.その他のお申込みの場合

弊社のチェックシートアップロードサイトからチェックシートと一緒に圧縮してアップロードしご提出ください。

7.PowerShellによるSSO設定コマンド解説

CloudGate UNOサービスが開通したら、必要なユーザーを登録してください。
(操作手順は別途マニュアルをご用意しております)
ユーザーの作成、セキュリティプロファイルの設定が完了したら、Office 365のシングルサインオンを有効化は以下の手順で実施します。

7-1.Office 365シングルサインオン有効化

CloudGate UNO管理者サイトの「アイデンティティプロバイダー」メニューにアクセスします。



①~③のURLをコピーしてください。
また、④の証明書ファイルをダウンロードします。



④のダウンロードした証明書ファイルは、テキストエディタで開き、
表示される文字列をコピーしてください。
コピーした文字列は改行が入らないよう、改行を削除して調整してください。



PowerShellを起動し「全体管理者権限を持つOffice 365アカウント」でログインします。
※ログイン方法は5-1.Windows PowerShellを利用できる環境の準備を参照。
  以下のコマンドを実行します。青字部分はお客様の環境の値に置き換えてください。

※コマンドは以下の簡単コマンド生成ツールから生成することも可能です。
   その際は証明書ファイルのテキストエディタでの編集は不要です。

簡単コマンド生成ツールはこちらから

$dom = "SSOを適用するOffice 365対象ドメイン"
$url = "②のURL"
$cert = "④の文字列"
$entity = "①のURL"
$logout = "③のURL"
Set-MsolDomainAuthentication -DomainName $dom -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $entity -LogOffUri $logout -PreferredAuthenticationProtocol SAMLP -Authentication federated

実行例:

$dom = "of2.isr.co.jp"
$url = "https://echizen.cloudgate.jp/sso/core.cloudgate.jp/login.xhtml"
$cert = "IGHg9wUUEQMA0GCSqGSIb3DQEBCwUAMBQxEjAQBgNVBAMMCUNsb3VkR2F0ZTAeFw0xNDA3MjIwODExMjNaFw0yNDA3MjIwx="
$entity = "https://echizen.cloudgate.jp/sso/core.cloudgate.jp/"
$logout = "https://echizen.cloudgate.jp/sso/core.cloudgate.jp/logout.xhtml"
Set-MsolDomainAuthentication -DomainName $dom -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $entity -LogOffUri $logout -PreferredAuthenticationProtocol SAMLP -Authentication federated

確認のために以下のコマンドを実行します。

Get-MsolDomain

表示された画面で対象のドメインのAuthentication項目が「Federated」の状態であれば、
シングルサインオンの有効化設定が完了しています。



7-2.Office 365シングルサインオン無効化

シングルサインオンが有効化されたOffice 365環境を、シングルサインオン無効化に設定する場合の手順は以下となります。
・PowerShellを起動し「全体管理者権限を持つOffice 365アカウント」でログインします。
※PowerShellへのログイン方法は5-1.Windows PowerShellを利用できる環境の準備を参照。



・以下のコマンドを実行します


Set-MsolDomainAuthentication -DomainName ドメイン名 -Authentication Managed

実行例:

Set-MsolDomainAuthentication –DomainName of2.isr.co.jp -Authentication Managed

表示された画面で対象のドメインのAuthentication項目が「Managed」の状態であれば、シングルサインオンの無効化設定が完了しています。


▲ ページ先頭へ

目次へ戻る