ASP.NET アプリケーション向けの Azure AD マルチテナント シングル サインオン (SSO)

Azure AD マルチテナントとは何ですか?

Azure マルチテナントとは、Azure サービスまたはアプリケーションの単一インスタンスが共有環境内でテナントと呼ばれる複数の顧客にサービスを提供する運用モードを指します。 このモードでは、各テナントは互いに分離されており、あるテナントのユーザー データには他のテナントからアクセスできません。

Azure マルチテナントには、次のような利点もあります。 スケーラビリティの向上 & 費用対効果、ストレージなどの物理リソースを複数のテナント間で共有できるため、新しい顧客を迅速にオンボーディングして新しい市場にサービスを拡張できます。 ただし、テナントのデータとリソースが適切に分離され、保護されるようにするには、慎重な設計と管理も必要です。

Azure AD マルチテナント シングル サインオン (SSO) を構成する手順

1. Azure AD でマルチテナントを構成する

• ログインする Azure AD ポータル 管理者として。
• 選択 Azure Active Directory.

• 選択 アプリの登録.

• ソフトウェアの制限をクリック 新規登録.

• 名前を割り当て、サポートされているアカウントの種類を選択します。 任意の組織ディレクトリ内のアカウント (任意の Azure AD ディレクトリ - マルチテナント).
• [リダイレクト URL] フィールドに、 サービスプロバイダーのメタデータ プラグインのタブをクリックし、 登録する

• に戻ります 概要 Active Directory のタブで、 Primary Domain そして手元に置いておいてください。

• コピー アプリケーションID 設定済みのアプリからアクセスして手元に置いておきます。

• MFAデバイスに移動する APIを公開する 左側のメニューパネルから。

• クリック 作成セッションプロセスで ボタンを押して置き換えます アプリケーションID URL 　 https://Primary_Domain/Appication-Id 以前にコピーしたものを選択してクリックします Save.

• に行きます 認証 左側のパネルのタブをクリックして、 ID トークン (暗黙的フローおよびハイブリッド フローに使用) オプションで、サポートされているアカウントの種類が次のとおりであることも確認してください。 任意の組織ディレクトリ内のアカウント (任意の Azure AD ディレクトリ - マルチテナント) 次にをクリックしてください Save.

• MFAデバイスに移動する API権限 はこちらをご覧ください。⇒ 許可を追加する をクリックして Microsoft Graph.

• ソフトウェアの制限をクリック 申請許可、次に検索 ユーザー.読み取り.すべて オプションを選択したら、 をクリックします 権限を追加

• さらに進むには、 をクリックしてください デモに対する管理者の同意の付与.

• 帰る Azure Active Directory はこちらをご覧ください。⇒ アプリの登録 ウィンドウをクリックして エンドポイント.

• これにより、複数の URL を含むウィンドウに移動します。
• コピー フェデレーションメタデータドキュメント サービスプロバイダーの構成に必要なエンドポイントを取得するための URL。

2. ASP.NET をサービス プロバイダーとして構成する

• 貼り付け フェデレーション メタデータ URL セクションに サービスプロバイダーのセットアップ プラグインのタブをクリックし、 メタデータのフェッチ.

• IdP 構成設定で、 マルチテナントアプリケーション オプションを選択します。

• 貼り付け アプリケーションID URI [API を公開] タブからそれを貼り付けます。 SPエンティティID/発行者 下 サービスプロバイダー タブには何も表示されないことに注意してください。

• また、SAML ログイン URL と SAML ログアウト URL を次のように置き換えます。 https://login.microsoft.com/common/saml2 次に、をクリックします 保存.

• に行きます ログイン設定 セクション、下 追加構成 設定では、特定のテナント ID によるシングル サインオンの実行を制限するか許可するかを選択し、カンマ区切りのテナント ID を追加します。

• セットアップボタンをクリックすると、セットアップが開始されます テスト構成 そして、初めてテナント管理者としてログインして、そのテナントの SSO ログインを許可します。

正常に設定が完了しました Microsoft Entra ID (旧 Azure AD) マルチテナント アプリケーションとしてだけでなく、構成済みのアプリケーションとしても使用できます。 SAML シングル サインオン (SSO) ASP.NET アプリケーションをサービス プロバイダーとして、Azure Active Directory をアイデンティティ プロバイダーとして使用します。 次を使用して、ASP.NET アプリケーションの SAML シングル サインオン (SSO) を構成することもできます。 さまざまなアイデンティティプロバイダー ADFS、Okta、Google、Auth0、PingFederate、Microsoft365、Salesforce など。 他の ID プロバイダーを確認するには、をクリックします。 こちら.

その他のリソース

• ASP.NET SAML シングル サインオン (SSO)
• Azure AD を IDP として使用する ASP.NET SAML SSO
• よくある質問（FAQ）