ラボ 06:フェデレーション ID プロバイダーを追加する

ログインの種類 = Microsoft 365 管理

ラボのシナリオ

あなたの会社は多くの仕入れ先と提携しており、時折、いくつかの仕入れ先のアカウントをゲストとしてディレクトリに追加し、サインインに Google アカウントの使用を許可する必要があります。

推定時間: 25 分

演習 1 - ID プロバイダーを構成する

タスク 1 - ID プロバイダーとして使用するように Google を構成する

重要な注意事項 - この演習には、Google の Gmail アカウントが必要です。 新しい Google アカウントを作成してから、演習の手順に従ってください。 必ずメール アドレスとパスワードをメモしてください。これらはラボを完了するために必要です。

  1. https://console.developers.google.com で Google API に移動し、Google アカウントでサインインします。 共有のチーム Google アカウントを使用することをお勧めします。

  2. サービスの使用条件への同意を求めるメッセージが表示されたらそのようにします。

新しいプロジェクトを作成する:

  1. ページの上部にあるプロジェクト メニューを選択して、[プロジェクトの選択] ページを開きます。 [新しいプロジェクト] を選択します。 残りのフィールドは既定の設定のままにします。

  2. [新しいプロジェクト] ページで、プロジェクトに名前 (MyB2BApp など) を付け、 [作成] を選択します。

  3. [通知] メッセージ ボックスでリンクを選択するか、ページの上部にあるプロジェクト メニューを使用して、新しいプロジェクトを開きます。

  4. 次に、 [API とサービス] で、 [OAuth 同意画面] を選択します。

  5. [ユーザーの種類] で、 [外部] を選択し、 [作成] を選択します。

  6. [OAuth 同意画面] の [アプリ情報] で、アプリ名 (Microsoft Entra ID など) を入力します。

  7. [User support email] (ユーザー サポートのメール) でメール アドレスを選択します。 これには、Google へのログインに使用したメール アドレスが含まれている必要があります。

  8. [承認済みドメイン] の [+ ドメインの追加] を選択してから microsoftonline.com ドメインを追加します。

   microsoftonline.com
  1. [開発者の連絡先情報] で、ポータルへのサインインに使用したラボ アカウントのメール アドレスを入力します。

  2. [Save and continue] (保存して続行) を選択します。

  3. 左側のメニューで、[Credentials] (認証情報) を選択します。

  4. [認証情報の作成] を選択してから、 [OAuth クライアント ID] を選択します。

  5. [アプリケーションの種類] メニューの [Web アプリケーション] を選択します。 アプリケーションに適切な名前 (Microsoft Entra B2B など) を付けます。 Authorized redirect URIs に、次の URI を追加します。

      https://login.microsoftonline.com
  https://login.microsoftonline.com/te/**tenant ID**/oauth2/authresp    (ここで、<tenant ID> はご利用のテナント ID です)    ```
  https://login.microsoftonline.com/te/**tenant name**.onmicrosoft.com/oauth2/authresp
   (where <tenant name> is your tenant name)    ```
  1. [作成] を選択します ご自分のクライアント IDクライアント シークレットをコピーします。 これらは、Azure portal で ID プロバイダーを追加するときに使用します。

  2. テストの発行状態でプロジェクトを終了できます。

タスク 2 - テスト ユーザーを追加する

  1. [API とサービス] メニューの [OAuth 同意画面] を選択します。

  2. ページの [テスト ユーザー] セクションで、 [+ ユーザーの追加] を選びます。

  3. このラボ用に作成した (または使用している) gmail アカウントを入力します。

  4. [保存] を選びます。

演習 2 - 外部 ID プロバイダーと連携するように Azure を構成する

タスク 1 - Google フェデレーション用に Microsoft Entra ID を構成する

  1. 管理者として、 https://entra.microsoft.com  にサインインします。

  2.  [Microsoft Entra ID] を選択します。

  3.  [ID] で  [External Identities] を選択します。

  4. 左側のメニューから [すべての ID プロバイダー] を選びます。

  5. Microsoft では、ID プロバイダーとしての Google 向けに直接フェデレーションを提供しています。これは、 **[External Identities すべての ID プロバイダー]** ページから [+ Google] を選択して開始できます
  6. [+ Google] を選択すると、別のページが開き、ID プロバイダーとして Google を構成するために必要な追加情報が表示されます。

  7. 前に取得した [クライアント ID][クライアント シークレット] を入力します。

  8. [保存] を選択します。

これにより、ID プロバイダーとしての Google の構成が完了します。

タスク 2 - テスト ユーザー アカウントを招待する

  1. 既存の Gmail アカウントを使用している場合は、忘れずに、 **[External Identities すべての ID プロバイダー]** でアカウントを削除してください。 Google 開発者コンソールに戻り、作成したプロジェクトを削除することもできます。
  2. Microsoft Entra ID を開きます。

  3. [ユーザー] に移動し、[すべてのユーザー] を選択します。

  4. [+ 新しいユーザー] を選択します。

  5. ドロップダウン メニューから [外部ユーザーの招待] を選びます。

  6. 演習 1 のタスク 2 で Google アプリのテスト ユーザーとして設定した gmail アカウントの情報を入力します。

  7. 必要に応じて、個人用メッセージを入力します。

  8. [招待] を選択します。

タスク 3 - 招待とログインを承諾する

  1. InPrivate ブラウザーを使用して gmail アカウントにログインします。

  2. 受信トレイの [Microsoft 招待 (代理)] を開きます。

  3. メッセージの [招待を承諾] リンクを選択します。

  4. ログイン ダイアログで要求されたとおり、ユーザー名とパスワードを入力します (要求された場合)。 フェデレーションが正しく機能している場合は、新しい Google 外部 ID プロバイダーの最初の結果が表示されます。 ログイン画面に移動し、gmail の資格情報でログインできるようになります。 フェデレーションが機能しない場合、または設定されていない場合、ユーザーには、アカウントを確認するために、ログイン後にアカウント確認メールが送信されます。 フェデレーションでは、追加の検証は必要ありません。

アクセス エラー 500 が発生した場合は、約 30 秒待ってからページを更新します。 再送信することを選びます。 このエラーは、ラボ環境でのみ発生するタイミングの問題です。

  1. 表示された新しい [アクセス許可の要求者] メッセージに目を通します。 このメッセージは、Azure ラボ ドメインからのものです。

  2. [承諾] を選びます。

  3. ログインが完了すると、MyApplications が送信されます。

タスク 4 - Google アカウントを使用して Microsoft 365 にログインする

  1. タスク 3 の外部ユーザー招待プロセスが完了したら、Microsoft Online に直接ログインできます。

  2. 開いているブラウザーで新しいタブを開きます。 タスク 3 で新しい InPrivate ブラウザーを開かなかった場合は、この手順で行う必要があります。

  3. 次の Web アドレスを入力します。

   login.microsoftonline.com
  1. ダイアログで [サインイン オプション] を選択します。

  2. [組織にサインインする] を選びます。

  3. ボックスにご利用のラボ テナント ドメイン名を入力し、 [次へ] を選択します。

  4. 作成した Google のメール アドレスとパスワードを入力します。 この時点で、確認のために Google にアカウントが渡されていることがわかるはずです。その後、Microsoft Office ポータルに入ります。