JAZUG 9 周年で発表したスライドになります。

1. Azure AD とアプリケーションを
SAML 連携する際に陥る事例と対
処方法について
2019年9月7日
Japan Azure User Group 9 周年イベント
日本マイクロソフト株式会社
山口 真也
AZURE & IDENTITY AZURE IDENTITY サポートエンジニア

2. 本セッションの難易度
・SAML って何だろう、よくわからないって思っている方。
・シングル サインオンの動きを知りたい方。
・これから Azure AD に 3rd パーティー製アプリケーショ
ンを登録して管理したいと考えている方(もしくは既に管
理されている方)
※ SAML なんて知ってるという認証プロトコル自信ニキの
方には物足りない内容かもしれません…。

3. 自己紹介と Azure のサポートについて
名前：山口 真也(やまぐち しんや)
◇Identity
・今年の9月で日本マイクロソフトにジョインして 1 年 3 か月になります。(MS が 6 社目)
・前職までは、ゲーム会社やSIerでインフラ エンジニアをやっていました。
・プログラミング歴皆無、Bash でインフラ運用系のシェル スクリプトしか書けません。
・Qiita やっています。https://qiita.com/Shinya-Yamaguchi
・Facebook (https://www.facebook.com/shinya.yamaguchi.92)
・Twitter @izuru_yamarara (プロレス、baystars、たまに Identity 関連の技術情報)
◇Support 情報
・日本マイクロソフトのAzure のサポートは大きく、 IaaS・PaaS・Identity(Azure AD)の3 つに分
かれていますあります。
・その中で Identity のサポートメンバーは25人ほどで日本のお客様を中心にサポートしています。
(グローバルのお客様もたまにサポートしています)

4. 目次
1. Azure Active Directoryとは
2. SAML 2.0 とは
3. シングル サインオンの動作について
4. お問い合わせ事例とデモ(デモ 2 種予定)
5. CSS ブログ紹介
6. まとめ

5. Azure Active Directory とは

6. Azure Active Directory とは
弊社公開情報より抜粋
Azure Active Directory (Azure AD) は Microsoft が提供する
クラウドベースの ID およびアクセス管理サービスであり、
次のリソースへのサインインとアクセスを支援します。
 Microsoft Office 365、Azure portal、その他何千という
SaaS アプリケーションなど、外部リソース。
 企業ネットワークとイントラネット上のアプリや、自分
の組織で開発したクラウド アプリなどの内部リソース。

7. 🤔🤔🤔🤔🤔

8. Azure AD は Azure 上に Active Directory をたてる事ではありません
Active Directory
Domain Service
(AD DS)
Azure Active Directory Azure Active Directory
Domain Services
・オンプレミスのみで構成 ・IaaS の Virtual Machine 上に
Domain Controller を構築する
・機能はオンプレミスと同じ
Virtual MachineDomain
Controller
Domain
Controller
Azure AD Domain
Controller
PC
Office 365
PC
・オンプレミス AD とは別もの
・ クラウド アプリケーションの認証で
利用される
・ Office 365 など
・PasS 版の Domain Controller
・諸々制限あり
・Azure VM 用 Active Directory
Active Directory
Domain Services
Server PCServer
(Virtual
Machine)
Mobile
(AD DS)
(Azure AD)
(Azure AD DS)
サーバーを自分で管理 サーバーがクラウドに

9. Azure AD ができること
・アプリケーション管理
・Authentication
・企業間 (B2B)
・企業 – 消費者間 (B2C)
・条件付きアクセス
・開発者のための Azure Active Directory
・デバイスの管理
・ドメイン サービス
・エンタープライズ ユーザー
・ハイブリッド ID
・ Identity Governance
・ Identity Protection
・ Azure リソースのマネージド ID
・ Privileged Identity Management (PIM)
・レポートと監視

10. 本セッションではアプリケーション管理を扱います
・アプリケーション管理
・Authentication
・企業間 (B2B)
・企業 – 消費者間 (B2C)
・条件付きアクセス
・開発者のための Azure Active Directory
・デバイスの管理
・ドメイン サービス
・エンタープライズ ユーザー
・ハイブリッド ID
・ Identity Governance
・ Identity Protection
・ Azure リソースのマネージド ID
・ Privileged Identity Management (PIM)
・レポートと監視

11. 今日はここについて話します。

12. 今日の話の登場人物(よく出てくる言葉)
クラウド アプリケーション
(SP = Service Provider)
あなた
(ユーザー)
Azure AD
(IdP = Identity Provider)

13. SAML 2.0 とは

14. その前に

15. アプリケーションを Azure AD に登
録する意味について。

16. アプリケーションを Azure AD に登録する意味について
ユーザーがそれぞれのアプリに認証
(資格情報の管理も煩雑)
Azure AD に認証を統合
(資格情報を一括管理)

17. あらためてSAML 2.0 とは

18. SAML 2.0 とは
SAML 2.0 とは、Security Assertion Markup Languageの略。
OASISによって定められた異なるインターネットドメイン間でユー
ザー認証を行うための XML をベースにした認証プロトコル。
SAML 2.0 を利用し、Azure AD が持っている Identity 情報を、複数の
クラウド サービスに対して、シングル サインオンする環境を実現で
きます。
Assertion ＝ トークン ≒ チケット
Identity = ユーザー ID 、ユーザー名、Eメールアドレス等で構成され
るユーザー情報のこと

19. Azure AD ではここで SAML の設定をします①
対象のアプリを選択

20. Azure AD ではここで SAML の設定をします②

21. シングル サインオンの動作について

22. SAML 2.0 を使った基本的な認証フロー
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/single-sign-on-saml-protocol

23. なるほど、わからん。

24. 図解して流れを説明します。

25. 登場人物
クラウド アプリケーション
(SP = Service Provider)
あなたAzure AD
(IdP = Identity Provider)

26. 登場人物(相関図)
クラウド アプリケーション
(SP = Service Provider)
あなた
Azure AD
(IdP = Identity Provider)
SAML メタデータを交換して、
お互い信頼関係にある
アプリにアクセスしたいと思っている

27. シングル サインオンの動作①
SPIdP
①ブラウザーで SP にアクセス

28. シングル サインオンの動作②
SPIdP
①ブラウザーで SP にアクセス
②君は Azure AD ユーザーかね？

29. シングル サインオンの動作③
SPIdP
①ブラウザーで SP にアクセス
②君は Azure AD ユーザーかね？
③Azure AD で認証してきたまえ、このリ
クエスト (SAML Request) を渡してくれな
いか。

30. シングル サインオンの動作④
SPIdP
①ブラウザーで SP にアクセス
②君は Azure AD ユーザーかね？
③Azure AD で認証してきたまえ、このリ
クエスト (SAML Request) を渡してくれな
いか。
④話を聞こう。まずは資格情報を入力してくれたまえ。

31. シングル サインオンの動作⑤
SPIdP
①ブラウザーで SP にアクセス
②君は Azure AD ユーザーかね？
③Azure AD で認証してきたまえ、このリ
クエスト (SAML Request) を渡してくれな
いか。
④話を聞こう。まずは資格情報を入力してくれたまえ。
⑤君で間違いないようだね、これ(SAML
Response) を SP に渡してくれないか、私の
署名もしておいたからね。
秘密鍵
で署名

32. シングル サインオンの動作⑥
SPIdP
①ブラウザーで SP にアクセス
②君は Azure AD ユーザーかね？
③Azure AD で認証してきたまえ、このリ
クエスト (SAML Request) を渡してくれな
いか。
④話を聞こう。まずは資格情報を入力してくれたまえ。
⑤君で間違いないようだね、これ(SAML
Response) を SP に渡してくれないか、私の
署名もしておいたからね。
公開鍵
で署名
を検証
⑥本当に IdP から送られてきた SAML
Response かチェックするか。

33. シングル サインオンの動作⑦
SPIdP
①ブラウザーで SP にアクセス
②君は Azure AD ユーザーかね？
③Azure AD で認証してきたまえ、このリ
クエスト (SAML Request) を渡してくれな
いか。
④話を聞こう。まずは資格情報を入力してくれたまえ。
⑤君で間違いないようだね、これ(SAML
Response) を SP に渡してくれないか、私の
署名もしておいたからね。
公開鍵
で署名
を検証
⑥本当に IdP から送られてきた SAML
Response かチェックするか。
⑦よかろうアクセスしたまへ。(完)

34. お問い合わせ事例とデモ
(デモ 2 種予定)

35. お問い合わせ事例①

36. お問い合わせ事例①
SP ベンダーからフェデレーション メタデータを
Azure AD にアップロードしてください、と言わ
れたんですが、どうすればいいか分かりません…。

37. お問い合わせ事例①の対処法
ここにあります。(分かりづらくてすみません…)

38. お問い合わせ事例②

39. お問い合わせ事例②
SAML 署名証明書の有効期限が切れたらどうなる
んですか？

40. お問い合わせ事例②
・シングル サインオンができなくなります。
・有効期限切れの SAML 署名証明書は、有効期限が切
れた運転免許証のようなものです。
・IdP が署名しても SP 側の検証に失敗するため、結果、
シングル サインオンができなくなります。

41. お問い合わせ事例② 対処法
証明書が切れる前に、更新しましょう。
1. 目的の日付で新しい証明書を作成します。
2. 新しい証明書を作成します。
3. 適切な形式で新しい証明書をダウンロードします。
4. アプリケーションに新しい証明書をアップロードします。
5. Azure Active Directory ポータル内で新しい証明書をアクティブにします
詳細な手順は、下記公開情報に記載があります。
フェデレーション証明書の有効期限のカスタマイズと、新しい証明書へのロールオーバー
https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/manage-certificates-for-federated-
single-sign-on#customize-the-expiration-date-for-your-federation-certificate-and-roll-it-over-to-a-new-
certificate

42. お問い合わせ事例③

43. お問い合わせ事例③
公開情報のチュートリアルとおりにシングル サインオンの設定をした
のですが、下記画面が出てシングル サインオンできません。

44. お問い合わせ事例③
デモ(事象再現→対処法まで)

45. お問い合わせ事例③ 対処法
・シングル サインオンできないお問い合わせで最も多い問い
合わせ内容。
・IdP と SP のそれぞれの識別子が合致しているか設定画面を
確認しましょう。
・SP 側の設定が確認できない場合は、Fiddler を取れば分か
ります。
(もちろん、サポートに問い合わせいただいてもかまいませ
ん。)

46. お問い合わせ事例④

47. お問い合わせ事例④
公開情報のチュートリアルとおりにシングル サインオンの設定をした
のですが、下記画面が出てシングル サインオンできません。

48. お問い合わせ事例④
デモ(事象再現→対処法まで)

49. お問い合わせ事例④ 対処法
・SAML Binding とは IdP と SP 間でどの方法でメッセージを
送受信するか事前に定義すること。
・Azure AD の場合は、SP が HTTP Redirect Binding で IdP に
Request を送信し、Azure AD が SP に対して HTTP POST
Binding で Response を返す。
・本メッセージが出た際には、SP 側の設定を確認してみる。

50. CSS ブログ紹介

51. CSS ブログ紹介
日本マイクロソフト サポート情報
http://aka.ms/Jsupport
Azure Identity チーム Blog
https://jpazureid.github.io/blog/index.html
お問い合わせ前に、該当する事象が Blog に載っているかもしれませ
ん。
(お問い合わせする工数が削減できます、ご活用ください。)

52. まとめ

53. まとめ
・SAML 認証の仕組み
・シングル サインオンに失敗したときは、Azure AD のエラー画面がある意味すべ
てを物語っている。
・Azure AD のシングル サインオンの TEST 画面は日々進化している。
(Fiddler でパケット解析ももちろん可)
・上記機能を活用することで、問い合わせしなくても自己解決できる率がアップ。
(トラブルシュート力アップ ＆ 工数削減)
・もちろん、サポートにお問い合わせいただければ全力でサポートします。

54. 付録

55. 用語集
言語 意味
トークン アプリケーションにアクセスするために必要な、有効期限付きチケット。
IdP Identity Provider の略。認証基盤という。
SP Service Provider の略。クラウド アプリケーションのことを指す。
IdP Initiated ユーザーが一番初めに Identity Provider にアクセスする SAML 認証フロー。
SP Initiated ユーザーが一番初めに アプリケーション にアクセスする SAML 認証フ
ロー。
SAML Request SP が IdP に対して要求する XML形式のクレーム(要求)
SAML Response IdP が SP に対して返答する、SAML トークンを含んだ XML形式の 情報

56. IdP-Initiated について

57. 登場人物(SP-Initiated と同じです)
クラウド アプリケーション
(SP = Service Provider)
あなたAzure AD
(IdP = Identity Provider)

58. 登場人物(相関図)
クラウド アプリケーション
(SP = Service Provider)
あなた
Azure AD
(IdP = Identity Provider)
SAML メタデータを交換して、
お互い信頼関係にある
アプリにアクセスしたいと思っている

59. Idp-Initiated の動作①
SPIdP
①ブラウザーで IdP にアクセス

60. Idp-Initiated の動作②
SPIdP
①ブラウザーで IdP にアクセス
②話を聞こう。まずは資格情報を入力してくれたまえ。

61. Idp-Initiated の動作③
SPIdP
①ブラウザーで IdP にアクセス
②話を聞こう。まずは資格情報を入力してくれたまえ。
③君で間違いないようだね。
SAML Request が SP から来てないけどこちらで発行しと
いたから。このSAML Response を SP に渡してくれない
か、私の署名もしておいたからね。
秘密鍵
で署名

62. Idp-Initiated の動作④
SPIdP
①ブラウザーで IdP にアクセス
②話を聞こう。まずは資格情報を入力してくれたまえ。
③君で間違いないようだね。
SAML Request が SP から来てないけどこちらで発行しと
いたから。このSAML Response を SP に渡してくれない
か、私の署名もしておいたからね。
秘密鍵
で署名
公開鍵
で署名
を検証
④本当に IdP から送られてきた SAML
Response かチェックするか。

63. Idp-Initiated の動作⑤
SPIdP
①ブラウザーで IdP にアクセス
②話を聞こう。まずは資格情報を入力してくれたまえ。
③君で間違いないようだね。
SAML Request が SP から来てないけどこちらで発行しと
いたから。このSAML Response を SP に渡してくれない
か、私の署名もしておいたからね。
秘密鍵
で署名
公開鍵
で署名
を検証
④本当に IdP から送られてきた SAML
Response かチェックするか。
⑤よかろうアクセスしたまへ。(完)

64. SP-Initiated と IdP-Initiated
・大きな違いは、ユーザー(あなた)が最初にアクセスする先が、SP
なのか IdP なのか。
・どちらを使うかは SP 側が決める。
・Azure AD は SAML Request に対して淡々と SAML Response を返す。
・Azure AD と SAML 連携する際に、対象の SP が SP-Initiated 、 IdP-
Initiated に対応してるかについては、公開情報に記載がある。
(SP だけ、 IdP だけ、両方サポートの 3 パターン)
URL:https://docs.microsoft.com/ja-jp/azure/active-directory/saas-
apps/tutorial-list

65. ご清聴ありがとうございました