次のリンク先より入手した「Office 365(Microsoft Entra ID※)用認証プロバイダー」を登録することによって、Office 365の認証情報を使用したForguncyアプリケーションに対するシングルサインオンができるようになります。なお、Office 365の認証情報を使用する場合、ForguncyアプリケーションはHTTPSを有効にして発行されたアプリケーションである必要があります。これはOffice 365の認証(Microsoft Entra ID)においてHTTPSによる暗号化通信が必須となっているためです。
本プロバイダーはOIDC認証で実装されています。
※ Azure ADは、Microsoft Entra IDに名称が変更されました。
Forguncy Builder / Forguncy Serverのバージョン | Office 365(Microsoft Entra ID※)用認証プロバイダーのバージョン |
8.0.5.0 ~ 8.0.41.0 | office365securityprovider_8_0_5_0.zip |
8.0.42.0以降の8.x.x.x | office365securityprovider_8_0_42_0.zip |
サーバー管理ポータルにログインします。
Office 365の認証(Microsoft Entra ID)はHTTPSによる暗号化通信が必須となるため、Forguncy Builderのデバッグ実行では動作を確認することができません。HTTPSを有効化してForguncy Serverにアプリケーションを発行する必要があります。
[認証連携] - [認証プロバイダー]をクリックした後、[認証プロバイダーの登録]ボタンをクリックしてダウンロードしたZIPファイルを選択します。
登録が完了します。
以下の図のように「Office365」が「準備完了」と表示されます。
この状態で[その他の設定]をクリックすると、次の図のようにOffice 365(Microsoft Entra ID)の認証情報を使用するために設定が必要な3つの項目が表示されます。以降の手順にて、これらの設定値の取得方法を説明します。
Azure Portal の左側のメニューから [Microsoft Entra ID] をクリックします。
左側のメニューから [アプリの登録]をクリックします。
上部にある[新規登録]をクリックします。
[名前]に任意の名前を入力し、[登録]ボタンをクリックします。
本ページの例では「forguncyapp1」と入力しています。
作成したアプリの左側のメニューから[証明書とシークレット]をクリックします。
[新しいクライアント シークレット]ボタンをクリックします。
必要に応じて[説明]を入力し、任意の[有効期限]を選択して[追加]ボタンをクリックします。
[値]列に設定値として必要となるクライアントシークレットの値が表示されます。
本値を設定するために値の右側の[クリップボードにコピー]をクリックして、値をクリップボードへとコピーしておきます。本値はこのタイミングでしか取得できません。ページを遷移してしまった場合、再度同じ値を取得することはできなくなるため注意してください。
Forguncyの「Office 365(Microsoft Entra ID)用認証プロバイダー」における[その他の設定]ページにある[クライアント シークレット]にクリップボードにコピーした値を入力します。
作成したアプリの左側のメニューから[APIのアクセス許可]をクリックします。
[***** に管理者の同意を与えます]をクリックし、その後表示される警告ダイアログの[はい]をクリックしてアクセス許可に対する同意を付与します。
作成したアプリの概要ページを表示し、[アプリケーション (クライアント) ID]と[ディレクトリ (テナント) ID]の2つの値が表示されていることを確認します。
1つ前の手順で確認した[アプリケーション (クライアント) ID]と[ディレクトリ (テナント) ID]の2つの値をコピーし、Forguncyの「Office 365(Microsoft Entra ID)用認証プロバイダー」における[その他の設定]ページにある[アプリケーション (クライアント) ID]と[ディレクトリ (テナント) ID]にそれぞれ入力し、[設定の保存]ボタンをクリックします。
作成したアプリの概要ページを表示し、[リダイレクトURIを追加する]をクリックします。
[プラットフォームを追加]をクリックします。
[Web]をクリックします。
[リダイレクト URI]に対象のアプリケーションのURLに「/signin-oidc」を付けた文字列を設定し、[構成]ボタンをクリックします。
複数のForguncyアプリケーションで本認証プロバイダーによる認証を使用する場合には、それぞれのリダイレクトURLを追加してください。1つのMicrosoft Entra IDアプリに対して複数のリダイレクトURLを設定することが可能です。
対象のアプリケーションへのアクセスにドメイン名を使用している場合、サーバー管理ポータルの対象のアプリケーションの設定ページおいて[ドメイン名]を設定し、[設定の保存]ボタンをクリックします。
ホスト名やIPアドレスを使用してアクセスしているアプリケーションの場合、本設定は不要です。
Forguncyが提供する「Office 365(Microsoft Entra ID)用認証プロバイダー」はローカルログアウトをサポートしています。シングルログアウトはサポートしていないことに注意してください。
ローカルログアウトとは、Forguncyアプリケーション上だけでログアウトする動作を意味します。そのため、ログアウト後に遷移するスタートページがログイン認証を要求するページの場合、自動的にIdP側との認証処理が行われ、再度ログインしてしまいます。「ページ表示権限の管理」にて、スタートページを誰でもアクセス可能にすることで、自動の認証処理が行われなくなるためForguncyからのログアウトが可能となります。