Microsoft Entra ID(Azure Active Directory)をIdPとしてシングルサインオン(SSO)を設定する(エンタープライズプランのみ)
この機能はエンタープライズプランのお客様限定です。
この記事では、Microsoft Entra ID(Azure Active Directory(Azure AD))をSAML 2.0のIdentity Provider(IdP)としてkickflowのSSOを設定する方法を紹介します。
Microsoft Entra IDをIdPとして使用するには
-
Microsoft Entra 管理センター から、 「アプリケーション」→「エンタープライズアプリケーション」 をクリックします。
-
画面上部のメニューから、 「新しいアプリケーション」 をクリックします。
-
「独自のアプリケーションの作成」 をクリックします。右側のパネルが表示されたら、アプリの名前に 「kickflow」、 「ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)」 にチェックし、 「作成」 をクリックします。
-
「2. シングル サインオンの設定」内の「作業の開始」 をクリックします。
-
「SAML」 をクリックします。
-
「①基本的な SAML 構成」内の「編集」 をクリックします。
-
右側のパネルのフォームに、以下のようにkickflow管理画面から取得した値をコピー&ペーストし、「保存」をクリックします。
- 識別子(エンティティID) - kickflowの「管理センター」>「セキュリティ」>「認証方式」内の「シングルサインオン(SSO)の設定」から、 「Entity ID」 をコピー&ペースト
- 応答URL(Assertion Consumer Service URL) - kickflowの「管理センター」>「セキュリティ」>「認証方式」内の「シングルサインオン(SSO)の設定」から、「 Assertion Consumer Service URL (ACS URL)」 をコピー&ペースト
-
【省略可能】もしMicrosoft 365の アプリポータル から直接kickflowにサインイン(IdP Initiated SSO)したい場合、以下の入力をしてください。
- サインオンURL - https://[テナントID].kickflow.com/startSso
-
「③SAML 証明書」内の「編集」 をクリックします。
-
アクティブになっている証明書から 「PEM 証明書のダウンロード」 をクリックし、証明書をダウンロードします。
-
「④kickflow のセットアップ」内の「ログインURL」 と 「ログアウトURL」 をコピー&ペーストで控えておいてください。後の手順で使用します。
-
「ユーザーとグループ」→「ユーザーまたはグループの追加」 から、kickflowにサインインさせたいユーザーやグループを割り当てます。
-
kickflowの 「管理センター」>「セキュリティ」>「認証方式」 を開き、 「シングルサインオン(SSO)の設定」 から、 「X.509署名証明書をアップロード」 をクリックします。
-
X.509署名証明書のアップロード画面内に以下のように入力後、 「アップロード」 をクリックします。
- X.509署名証明書 ←手順9. でダウンロードした 「PEM証明書」 をアップロード
- シングルサインオンURL ←手順10. で控えた 「ログインURL」 をコピー&ペースト
- シングルサインアウトURL ←手順10. で控えた 「ログアウトURL」 をコピー&ペースト
-
kickflow同画面上の 「ユーザーが選択可能な認証方式」 で、 「シングルサインオン」 を選択し 「保存」 をクリックすることで、シングルサインオンが有効化されます。
Microsoft Entra IDで証明書を更新する際の注意点
発行した証明書の有効期限はデフォルトで3年間のため、有効期限が切れる前に新しい証明書をMicrosoft Entra ID上で発行し、kickflowに再アップロードする必要があります。
更新する際はMicrosoft Entra ID上から新しい証明書を発行して 「PEM証明書」 としてダウンロード後、kickflowの 「X.509署名証明書をアップロード」 をクリックしてアップロードしてください。
なおMicrosoft Entra ID上からフェデレーション メタデータ XMLをダウンロードし、kickflowの 「SAMLメタデータをアップロード」 で証明書を更新した場合、正常にシングルサインオンできなくなる可能性があるため使用しないようご注意ください。