概要
このガイドは、IT管理者がMicrosoft Entra ID(旧Azure AD)とELSA Businessの間でシングルサインオン(SSO)を設定するのに役立ちます。SSOを有効にすると、生徒や教師は既存の企業Microsoft認証情報を使ってELSA Businessにログインでき、別々のパスワードを管理する必要がなくなります。
開始前の準備
ご提供いただくもの
- SSOに使用するメールドメイン(例:xyz@enterprisedomain.com)
必要なもの
- 組織のMicrosoft Entra ID(Azure AD)ポータルへの管理者アクセス権
- SSO認証情報(ELSAが提供)、以下を含みます:
- SP Entity ID(サービスプロバイダーエンティティID)
- ACS URL(Assertion Consumer Service URL)
ステップ1:Microsoft Entra IDでELSAアプリケーションを作成
Microsoft Azureポータルにログインします:Microsoft Azure Portal
エンタープライズアプリケーションに移動:
- 「Microsoft Entra ID」(または「Azure Active Directory」)をクリック
- 左側メニューから「エンタープライズアプリケーション」を選択
- 「+ 新しいアプリケーション」をクリック
独自のアプリケーションを作成:
- 「独自のアプリケーションを作成」をクリック
- アプリケーション名を入力(例:「ELSA Business SSO」)
- 「ギャラリーにない他のアプリケーションを統合する(Non-gallery)」を選択
- 「作成」をクリック
ステップ2:SAMLベースのシングルサインオンを設定
SSO設定にアクセス:
- 新しく作成したELSAアプリケーションで、左側メニューから「シングルサインオン」をクリック
- シングルサインオン方法として「SAML」を選択
基本SAML設定を構成:
- 「基本SAML構成」セクションで「編集」をクリック
- ELSAから提供された以下の値を入力:
- 識別子(Entity ID): ELSAの
SP Entity IDを入力 - 応答URL(Assertion Consumer Service URL): ELSAの
ACS URLを入力
- 識別子(Entity ID): ELSAの
- 「保存」をクリック
ステップ3:ユーザー属性とクレームの設定
属性とクレームを編集:
- 「属性とクレーム」セクションで「編集」をクリック
- 「属性とクレーム」セクションで「編集」をクリック
以下のマッピングが設定されていることを確認:
クレーム名 ソース属性 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressuser.mailhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennameuser.givennamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameuser.userprincipalnamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/surnameuser.surname重要:これらのマッピングにより、ELSAが正しいユーザー情報を受け取ることができます。何らかの理由でこれらのマッピングを変更する必要がある場合は、ユーザー認証に影響する可能性があるため、必ず事前にELSAサポートにご連絡ください。
ステップ4:SAMLメタデータをELSAに提供
SAMLの設定後、SAML証明書(App Federation Metadata URL)をSAML構成からコピーし(画像参照)、ELSAのITチームに送信してください。
ステップ5:ユーザーとグループの割り当て(ELSAによる設定確認後)
ELSAがSSOの設定完了を確認したら:
ユーザーとグループに移動:
- ELSAアプリケーションで、左側メニューから「ユーザーとグループ」をクリック
- 「+ ユーザー/グループの追加」をクリック
- ELSAアプリケーションで、左側メニューから「ユーザーとグループ」をクリック
アクセス権の割り当て:
- 「選択されていません」の下の「ユーザー」または「グループ」をクリック
- ELSAへのアクセスを許可するユーザーまたはグループを選択
- 下部の「選択」をクリック
- 「割り当て」をクリック
この意味:
- 割り当てられたユーザー/グループのみがSSOを使ってELSAにログインできます
- 割り当てられていないユーザーはMicrosoftアプリ内でELSAが表示されません
- ユーザーの追加・削除はいつでも可能です
SSO接続のテスト
- まずご自身をテストユーザーとして割り当ててください
- 現在ELSA Businessにログイン中の場合はログアウト
- ELSA Businessのログインページにアクセス
- 「SSOでサインイン」をクリック
- 企業メールアドレスを入力
- Microsoftログイン画面にリダイレクトされることを確認
- ELSAに正常にログインできることを確認
よくある問題のトラブルシューティング
ログインできないエラー
考えられる原因:
- ELSA側でSSOの設定がまだ完了していない
- メタデータURLがELSAに送信されていない
- SP Entity IDまたはACS URLの入力ミス
解決策: ELSAに設定完了を確認し、ステップ2で入力した値を再度ご確認ください。
ユーザーが割り当てられているのにログインできない
考えられる原因:
- Azure AD上のユーザーのメールアドレスがELSAのメールアドレスと一致していない
- ユーザー属性の設定が正しくない
- ELSAでユーザーアカウントが有効になっていない
解決策:
- 両システムでメールアドレスが一致しているか確認
- ステップ3の属性マッピングが正しいか確認
- ユーザーアカウントの状態をELSAサポートに確認
「属性とクレーム」セクションのマッピングが異なる
考えられる原因:
- Azure ADでカスタムクレーム構成がされている可能性
解決策:
- これらを変更する前にELSAサポートにご連絡ください
- 必要に応じて既存の属性設定に合わせて対応可能です
FAQ
Q: SSOと通常のメール/パスワードログインを同時に利用できますか?
A: はい!SSOは追加のログインオプションです。必要に応じてメール/パスワードも引き続き利用できます。
Q: SSOの設定にはどれくらい時間がかかりますか?
A: Azure側の設定は20~30分、ELSA側の設定はメタデータ受領後1~2営業日です。
Q: 事前にユーザーのELSAアカウントを作成する必要がありますか?
A: はい、SSOでログインする前にELSA Businessにユーザーが存在している必要があります。大量ユーザーのアップロードについてはCSMにご相談ください。
Q: 生徒と教師の両方でSSOを利用できますか?
A: はい、ディレクトリ内にMicrosoftアカウントがあれば、どのユーザータイプでもSSOを利用できます。
Q: ユーザーのメールアドレスが変更になった場合は?
A: ELSAサポートにご連絡いただき、ELSA Businessのメールアドレスを新しいAzure ADのメールアドレスに更新してください。
この記事は役に立ちましたか?
それは素晴らしい!
フィードバックありがとうございます
お役に立てず申し訳ございません!
フィードバックありがとうございます
フィードバックを送信しました
記事の改善におけるご協力ありがとうございます。