ラボ 06:フェデレーション ID プロバイダーを追加する
ログインの種類 = Microsoft 365 管理
ラボのシナリオ
あなたの会社は多くの仕入れ先と提携しており、時折、いくつかの仕入れ先のアカウントをゲストとしてディレクトリに追加し、サインインに Google アカウントの使用を許可する必要があります。
推定時間: 25 分
演習 1 - ID プロバイダーを構成する
タスク 1 - ID プロバイダーとして使用するように Google を構成する
重要な注意事項 - この演習には、Google の Gmail アカウントが必要です。 新しい Google アカウントを作成してから、演習の手順に従ってください。 必ずメール アドレスとパスワードをメモしてください。これらはラボを完了するために必要です。
-
https://console.developers.google.com で Google API に移動し、Google アカウントでサインインします。 共有のチーム Google アカウントを使用することをお勧めします。
-
サービスの使用条件への同意を求めるメッセージが表示されたらそのようにします。
新しいプロジェクトを作成する:
-
ページの上部にあるプロジェクト メニューを選択して、[プロジェクトの選択] ページを開きます。 [新しいプロジェクト] を選択します。 残りのフィールドは既定の設定のままにします。
-
[新しいプロジェクト] ページで、プロジェクトに +++MyB2BApp+++ という名前を付けて、[作成] を選択します。
-
[通知] メッセージ ボックスでリンクを選択するか、ページの上部にあるプロジェクト メニューを使用して、新しいプロジェクトを開きます。
-
次に、[API とサービス] で、[OAuth 同意画面] を選択します。
-
[作業の開始] ボタンを選択します。
-
アプリケーション情報画面で、次の情報を入力します。
セクション | フィールド名 | 値 |
---|---|---|
1 アプリ情報 | ||
アプリ名 | +++Microsoft Entra ID+++ | |
ユーザー サポートのメール | ドロップダウンからメール名を選択します。 | |
2 対象ユーザー | ||
内部/外部 | 外部品目番号 | |
3 連絡先情報 | ||
電子メール アドレス | 上記と同じメール アドレスを使用します | |
4 完了 | ||
契約 | チェックボックスをオンにします |
-
[作成] ボタンを選択し、続行します。
-
[OAuth クライアントの作成] ボタンを選択します。
-
[アプリケーションの種類] として [Web アプリケーション] を選択します。
-
アプリケーションの既定の名前をそのまま使用します。
-
[承認済みの JavaScript 生成元] 内で、[+ URI の追加] ボタンを選択します。
-
値に +++https://microsoftonline.com+++ という URI を入力します。
-
[承認済みのリダイレクト URI] 内で、[+ URI の追加] ボタンを選択します。 このセクションでは、次の 3 つの異なる URI を追加する必要があります。
- 最初の URI = +++https://login.microsoftonline.com+++
- 2 番目の URI = +++https://login.microsoftonline.com/te/テナント ID/oauth2/authresp+++ (
はお使いのテナント ID) - 3 番目の URI = +++https://login.microsoftonline.com/te/テナント名.onmicrosoft.com/oauth2/authresp+++ (
はお使いのテナント名)
ラボのヒント - ラボ VM でメモ帳を使用してこれらの URI を作成したあと、そこからコピーして貼り付けると、この手順が簡単になる場合があります。
ラボのヒント 2: 結果は、お使いのテナント ID とテナント名で、次のようになるはずです。
URI 番号 | リンク |
---|---|
URI 1 | https://login.microsoftonline.com |
URI 2 | https://login.microsoftonline.com/te/aaaa1111bbbb2222cccc |
URI 3 | https://login.microsoftonline.com/te/MyTenantName.onmicrosoft.com/oauth |
-
[作成] ボタンを選択します。
-
アイテムが作成されたら、後で使用できるようにクライアント ID とクライアント シークレットをメモ帳にコピーします。
-
この状態でプロジェクトをリースできます。発行する必要はありません。
タスク 2 - テスト ユーザーを追加する
-
左側のメニューで [対象ユーザー] 項目を選択します。
-
ページの [テスト ユーザー] セクションで、 [+ ユーザーの追加] を選択します。
-
このラボに使用している gmail アカウントを入力します。
-
[保存] を選びます。
タスク 3 - 承認済みドメインをブランド化に追加する
-
左側のメニューで [ブランド化] 項目を選択します。
-
ページの一番下までスクロールします。
-
[承認済みドメイン] セクションで、microsoftonline.com というドメインを追加します。
-
[開発者の連絡先情報] で、このラボに使用しているメール アドレスを追加します。
-
[保存] を選択します。
演習 2 - 外部 ID プロバイダーと連携するように Azure を構成する
タスク 1 - Google フェデレーション用に Microsoft Entra ID を構成する
-
管理者として、 https://entra.microsoft.com にサインインします。
-
[Microsoft Entra ID] を選択します。
-
[ID] で [External Identities] を選択します。
-
左側のメニューから [すべての ID プロバイダー] を選びます。
-
Microsoft では、ID プロバイダーとしての Google 向けに直接フェデレーションを提供しています。これは、 **[External Identities すべての ID プロバイダー]** ページから [+ Google] を選択して開始できます -
[+ Google] を選択すると、別のページが開き、ID プロバイダーとして Google を構成するために必要な追加情報が表示されます。
-
前に取得した [クライアント ID] と [クライアント シークレット] を入力します。
- [保存] を選択します。
これにより、ID プロバイダーとしての Google の構成が完了します。
タスク 2 - テスト ユーザー アカウントを招待する
-
既存の Gmail アカウントを使用している場合は、忘れずに、 **[External Identities すべての ID プロバイダー]** でアカウントを削除してください。 Google 開発者コンソールに戻り、作成したプロジェクトを削除することもできます。 -
Microsoft Entra ID を開きます。
-
[ユーザー] に移動し、[すべてのユーザー] を選択します。
-
[+ 新しいユーザー] を選択します。
-
ドロップダウン メニューから [外部ユーザーの招待] を選びます。
-
演習 1 のタスク 2 で Google アプリのテスト ユーザーとして設定した gmail アカウントの情報を入力します。
-
必要に応じて、個人用メッセージを入力します。
- [確認と招待]、[招待] の順に選択します。
セキュリティに関する注意 |
---|
パスキーが有効になっている既存の Gmail アカウントを使用している場合、ラボ環境内でログイン プロセスを完了することはできません。 パスキーを使用するには Bluetooth が必要ですが、これは VM を介して有効にすることはできません。 それでも、ラボは完了できます。ラボ環境の外部で動作している InPrivate ブラウザーで、これらの最後の数タスクを実行するだけです。 |
タスク 3 - 招待とログインを承諾する
-
InPrivate ブラウザーを使用して gmail アカウントにログインします。
-
受信トレイの [Microsoft 招待 (代理)] を開きます。
-
メッセージの [招待を承諾] リンクを選択します。
-
ログイン ダイアログで要求されたとおり、ユーザー名とパスワードを入力します (要求された場合)。
注 フェデレーションが正しく機能している場合は、新しい Google 外部 ID プロバイダーの最初の結果が表示されます。 ログイン画面に移動し、gmail の資格情報でログインできるようになります。 フェデレーションが機能しない場合、または設定されていない場合、ユーザーには、アカウントを確認するために、ログイン後にアカウント確認メールが送信されます。 フェデレーションでは、追加の検証は必要ありません。
注 アクセス エラー 500 が発生した場合は、約 30 秒待ってからページを更新します。 再送信することを選びます。 このエラーは、ラボ環境でのみ発生するタイミングの問題です。
-
表示された新しい [アクセス許可の要求者] メッセージに目を通します。 このメッセージは、Azure ラボ ドメインからのものです。
-
[承諾] を選びます。
-
ログインが完了すると、MyApplications が送信されます。
タスク 4 - Google アカウントを使用して Microsoft 365 にログインする
-
タスク 3 の外部ユーザー招待プロセスが完了したら、Microsoft Online に直接ログインできます。
-
開いているブラウザーで新しいタブを開きます。
注 タスク 3 で新しい InPrivate ブラウザーを開かなかった場合は、この手順で行う必要があります。
-
次の Web アドレスを入力します。
login.microsoftonline.com
-
ダイアログで [サインイン オプション] を選択します。
-
[組織にサインインする] を選びます。
-
ボックスにご利用のラボ テナント ドメイン名を入力し、 [次へ] を選択します。
-
作成した Google のメール アドレスとパスワードを入力します。
この時点で、確認のために Google にアカウントが渡されていることがわかるはずです。その後、Microsoft Office ポータルに入ります。