ラボ 06:フェデレーション ID プロバイダーを追加する

ログインの種類 = Microsoft 365 管理

ラボのシナリオ

あなたの会社は多くの仕入れ先と提携しており、時折、いくつかの仕入れ先のアカウントをゲストとしてディレクトリに追加し、サインインに Google アカウントの使用を許可する必要があります。

推定時間: 25 分

演習 1 - ID プロバイダーを構成する

タスク 1 - ID プロバイダーとして使用するように Google を構成する

重要な注意事項 - この演習には、Google の Gmail アカウントが必要です。 新しい Google アカウントを作成してから、演習の手順に従ってください。 必ずメール アドレスとパスワードをメモしてください。これらはラボを完了するために必要です。

  1. https://console.developers.google.com で Google API に移動し、Google アカウントでサインインします。 共有のチーム Google アカウントを使用することをお勧めします。

  2. サービスの使用条件への同意を求めるメッセージが表示されたらそのようにします。

新しいプロジェクトを作成する:

  1. ページの上部にあるプロジェクト メニューを選択して、[プロジェクトの選択] ページを開きます。 [新しいプロジェクト] を選択します。 残りのフィールドは既定の設定のままにします。

  2. [新しいプロジェクト] ページで、プロジェクトに MyB2BApp という名前を付けて、[作成] を選択します。

  3. [通知] メッセージ ボックスでリンクを選択するか、ページの上部にあるプロジェクト メニューを使用して、新しいプロジェクトを開きます。

  4. 次に、[API とサービス] で、[OAuth 同意画面] を選択します。

  5. [作業の開始] ボタンを選択します。

  6. アプリケーション情報画面で、次の情報を入力します。

セクション フィールド名
1 アプリ情報    
  アプリ名 Microsoft Entra ID
  ユーザー サポートのメール ドロップダウンからメール名を選択します。
2 対象ユーザー    
  内部/外部 外部品目番号
3 連絡先情報    
  電子メール アドレス 上記と同じメール アドレスを使用します
4 完了    
  契約 チェックボックスをオンにします

  1. [作成] ボタンを選択し、続行します。

  2. [OAuth クライアントの作成] ボタンを選択します。

  3. [アプリケーションの種類] として [Web アプリケーション] を選択します。

  4. アプリケーションの既定の名前をそのまま使用します。

  5. [承認済みの JavaScript 生成元] 内で、[+ URI の追加] ボタンを選択します。

  6. 値に https://microsoftonline.com という URI を入力します。

  7. [承認済みのリダイレクト URI] 内で、[+ URI の追加] ボタンを選択します。 このセクションでは、次の 3 つの異なる URI を追加する必要があります。

  • 最初の URI = https://login.microsoftonline.com
  • 2 つ目の URI = https://login.microsoftonline.com/te/**tenant ID**/oauth2/authresp ( がお使いのテナント ID)
  • 3 つ目の URI = https://login.microsoftonline.com/te/**tenant name**.onmicrosoft.com/oauth2/authresp ( がお使いのテナント名)

ラボのヒント - ラボ VM でメモ帳を使用してこれらの URI を作成したあと、そこからコピーして貼り付けると、この手順が簡単になる場合があります。

ラボのヒント 2: 結果は、お使いのテナント ID とテナント名で、次のようになるはずです。

URI 番号 リンク
URI 1 https://login.microsoftonline.com
URI 2 https://login.microsoftonline.com/te/aaaa1111bbbb2222cccc/oauth2/authresp
URI 3 https://login.microsoftonline.com/te/MyTenantName.onmicrosoft.com/oauth2/authresp

  1. [作成] ボタンを選択します。

  2. アイテムが作成されたら、後で使用できるようにクライアント IDクライアント シークレットをメモ帳にコピーします。

  3. プロジェクトをこの状態のままにしてもかまいません。公開する必要はありません。

タスク 2 - テスト ユーザーを追加する

  1. 左側のメニューで [対象ユーザー] 項目を選択します。

  2. ページの [テスト ユーザー] セクションで、 [+ ユーザーの追加] を選択します。

  3. このラボに使用している gmail アカウントを入力します。

  4. [保存] を選びます。

タスク 3 - 承認済みドメインをブランド化に追加する

  1. 左側のメニューで [ブランド化] 項目を選択します。

  2. ページの一番下までスクロールします。

  3. [承認済みドメイン] セクションで、microsoftonline.com というドメインを追加します。

  4. [開発者の連絡先情報] で、このラボに使用しているメール アドレスを追加します。

  5. [保存] を選択します。

演習の概要

この演習では、Google プロジェクトを登録し、OAuth クライアントの認証情報を準備して外部の ID プロバイダーとして使えるようにしました。 この演習では、Microsoft Entra ID とフェデレーションする前にアップストリーム ID プロバイダーを設定する方法について説明しました。

演習 2 - 外部 ID プロバイダーと連携するように Azure を構成する

タスク 1 - Google フェデレーション用に Microsoft Entra ID を構成する

  1. Microsoft Entra 管理センター (https://entra.microsoft.com) にグローバル管理者としてサインインします。

    注: サインイン中に多要素認証 (MFA) を完了するように求められる場合があります。 続行する前に、プロンプトに従って認証方法を構成または確認します。

  2. 左側のナビゲーション メニューの [Entra ID] で、[External Identities] を選択します。

  3. 左側のメニューから [すべての ID プロバイダー] を選択します。

  4. Microsoft では、ID プロバイダーとしての Google 向けに直接フェデレーションを提供しています。これは、 **[External Identities すべての ID プロバイダー]** ページから [+ Google] を選択して開始できます

  5. [+ Google] を選択すると、別のページが開き、ID プロバイダーとして Google を構成するために必要な追加情報が表示されます。

  6. 前に取得した [クライアント ID][クライアント シークレット] を入力します。

  7. [保存] を選択します。

これにより、ID プロバイダーとしての Google の構成が完了します。

タスク 2 - テスト ユーザー アカウントを招待する

  1. 既存の Gmail アカウントを使用している場合は、忘れずに、 **[External Identities すべての ID プロバイダー]** でアカウントを削除してください。 Google 開発者コンソールに戻り、作成したプロジェクトを削除することもできます。

  2. 左側にあるナビゲーション メニューで、[Entra ID] の下にある [ユーザー] を選択します。

  3. [すべてのユーザー] メニュー項目を開き、[+ 新しいユーザー] を選択します。

  4. ドロップダウン メニューから [外部ユーザーの招待] を選択します。

  5. 演習 1 のタスク 2 で Google アプリのテスト ユーザーとして設定した gmail アカウントの情報を入力します。

  6. 必要に応じて、個人用メッセージを入力します。

  7. [確認と招待][招待] の順に選択します。
セキュリティに関する注意
パスキーが有効になっている既存の Gmail アカウントを使用している場合、ラボ環境内でログイン プロセスを完了することはできません。 パスキーを使用するには Bluetooth が必要ですが、これは VM を介して有効にすることはできません。 それでも、ラボは完了できます。ラボ環境の外部で動作している InPrivate ブラウザーで、これらの最後の数タスクを実行するだけです。

タスク 3 - 招待とログインを承諾する

  1. InPrivate ブラウザーを使用して gmail アカウントにログインします。

  2. 受信トレイの [Microsoft 招待 (代理)] を開きます。

  3. メッセージの [招待を承諾] リンクを選択します。

  4. ログイン ダイアログで要求されたとおり、ユーザー名とパスワードを入力します (要求された場合)。

    注: フェデレーションが正しく機能している場合は、新しい Google 外部 ID プロバイダーの最初の結果がここで表示されます。 ログイン画面に移動し、gmail の資格情報でログインできるようになります。 フェデレーションが機能していない場合、または設定されていない場合、ユーザーには、アカウントを確認するために、ログイン後にアカウント確認メールが送信されます。 フェデレーションでは、追加の検証は必要ありません。

    注: アクセス エラー 500 が発生した場合は、約 30 秒待ってからページを更新します。 再送信することを選びます。 このエラーは、ラボ環境でのみ発生するタイミングの問題です。

  5. 表示された新しい [アクセス許可の要求者] メッセージに目を通します。 このメッセージは、Azure ラボ ドメインからのものです。

  6. [承諾] を選びます。

  7. ログインが完了すると、MyApplications が送信されます。

タスク 4 - Google アカウントを使用して Microsoft 365 にログインする

  1. タスク 3 の外部ユーザー招待プロセスが完了したら、Microsoft Online に直接ログインできます。

  2. 開いているブラウザーで新しいタブを開きます。

    注: タスク 3 で新しい InPrivate ブラウザーを開かなかった場合は、この手順で開く必要があります。

  3. 次の Web アドレスを入力します。

    login.microsoftonline.com

  4. ダイアログで [サインイン オプション] を選択します。

  5. [組織にサインインする] を選びます。

  6. ボックスにご利用のラボ テナント ドメイン名を入力し、 [次へ] を選択します。

  7. 作成した Google のメール アドレスとパスワードを入力します。

この時点で、確認のために Google にアカウントが渡されていることがわかるはずです。その後、Microsoft Office ポータルに入ります。

演習の概要

この演習では、Microsoft Entra ID で Google をフェデレーテッド ID プロバイダーとして設定し、Gmail ユーザーを招待し、サインインを検証しました。 この演習では、フェデレーションによって外部ユーザーが既存の ID でテナントにアクセスできることを説明しました。