Microsoft Entra ID（旧Azure AD） をIDaaSとして活用して、SSOを実現する企業が増えています。一般的なIDaaSの機能に加えて、多要素認証やアクセス制限、アプリケーション プロキシを活用したオンプレミスシステムへのSSOなど、様々な機能があり、非常に利便性の高いIDaaSとして利用できます。また、SAMLに対応していないクラウドサービス（SaaS）への認証についても、Microsoft Entra ID（旧Azure AD） で設定できます。今回は、SAML非対応のSaaSにMicrosoft Entra ID（旧Azure AD） でSSOする方法についてご説明します。

※本記事は、2022年1月18日に公開した記事を再編集したものです。

Microsoft Entra ID（旧Azure AD） をIDaaSとして活用するメリットなどの詳細は、以下の記事をご覧ください。
「Microsoft Entra ID（旧Azure AD）でSSOを実現するメリットや課題とは」

Microsoft Entra ID（旧Azure AD） におけるSSOの方法とは

まずは、Microsoft Entra ID（旧Azure AD） のSSOの方法についてご説明します。方法の種類として、大きく3種類あります。

フェデレーション認証

クラウドサービスの普及によって注目されている認証方式です。異なるドメイン間でも直接IDやパスワードなどの情報を渡すことなく、共通のプロトコルでやりとりすることで、SSOを実現しています。Microsoft Entra ID（旧Azure AD） では、SAMLやOpen ID Connectを使用したフェデレーション認証を利用できます。

認証方式に関する詳細は、以下の記事をご覧ください。
「SSOの仕組みと認証方式を解説」

フォーム認証（パスワードベースのSSO）

連携先のWebアプリケーションがSAMLなどのフェデレーションに対応しておらず、ユーザー名とパスワードで認証する方式の場合に利用できます。認証方式としては、代理認証を採用しています。

アプリケーション プロキシ

オンプレミスのアプリケーションを社外に公開できる機能です。単純にSSOを実現するだけでなく、社外からセキュアなアクセスも可能にします。そのため、セキュリティを高めつつ、場所を問わない働き方の推進にもつながります。

Microsoft Entra ID（旧Azure AD） アプリケーション プロキシの詳細は、以下の記事をご覧ください。
「Microsoft Entra ID（旧Azure AD）アプリケーションプロキシのメリットや欠点とは」

Microsoft Entra ID（旧Azure AD） でフォーム認証を利用するには

設定に際して、2つの用意が必要です。
1つ目は、Microsoft Entra ID（旧Azure AD） に「独自のアプリケーション」として登録することです。リンクを設定し、代理認証ができるようにします。
2つ目は、使用するブラウザに「My Apps Secure Sign-in Extension」という拡張機能を入れることです。この拡張機能を入れないと、サインインできないので、注意が必要です。
以上の2つの設定だけで済むため、非常に簡単にできる上に、Microsoft Entra ID（旧Azure AD） のポータルをクリックするだけで、そのアプリケーションを利用できるようになります。

参考：Microsoft社「パスワードベースのシングルサインオンをアプリケーションに追加する」

Microsoft Entra ID（旧Azure AD） のフォーム認証を使用するメリットとは

前述の通り、フォーム認証を使用することで、SAMLなどフェデレーションに対応していないSaaSに対して、SSOができるようになります。最近、SAMLに対応しているクラウドサービスは増えていますが、国産のクラウドサービスではSAML対応が進んでいません。そのため、フォーム認証を活用することで、認証システムを一元化できるという非常に大きなメリットがあります。
また、これ以外にも2つのメリットがあります。

セキュリティ性が高い

1つ目のメリットとして、セキュリティ対策が万全であることです。Microsoft Entra ID（旧Azure AD） 自体に付属している、多要素認証やアクセス制限を利用できます。そのため、各々のアプリケーションで設定していた部分を削減することもできます。

多要素認証の詳細は、以下の記事をご覧ください。
「多要素認証（MFA）とは｜メリット、デメリットについて解説」

パスワードの流出を防げる

もう1つの大きなメリットとして、ユーザー側でIDやパスワードを管理しないため、パスワードの流出が抑えられることが挙げられます。つまり、管理者側でIDやパスワードを管理する体制に移行します。その際、パスワードを管理するサービスを利用していれば、ID管理にかかる手間を減らすことができるため、効率化が進みます。

Microsoft Entra ID（旧Azure AD） のフォーム認証を利用する際のデメリットとは

メリットがある一方で、フォーム認証を利用するデメリットも、もちろんあります。ここでは、2つのデメリットについてご説明します。

認証ログが残らない

フォーム認証でアプリにサインインしても、認証ログが残りません。IT統制が必要な現在において、ログの管理が一元化できない点についてはデメリットになります。その理由としては、対象のアプリから情報が漏洩した場合に、原因を究明しにくくなるからです。さらに、ログの記録や保持、定期的な監査の際にも手間がかかり、非常に不便です。

ユーザー数に制限がある

非常に便利なフォーム認証ですが、48人までしか登録できないというユーザー数の制限があります。よって、49人以上を登録することはできません。そのため、49人目以降を登録するためには、わざわざ異なるアプリとして設定する必要があります。もし、従業員数が多い企業で登録しようとすると、設定や運用面において大きな負担となってしまいます。

参考：Microsoft「パスワードベースのSSOアプリに別のユーザーを追加できない」

まとめ

Microsoft Entra ID（旧Azure AD） のフォーム認証の概要やメリット、デメリットなどをご紹介しました。フォーム認証を活用することで、認証システムを一元化できるようになる利点は非常に重要です。しかし、運用や統制面に関するデメリットも存在します。メリットとデメリットのバランスを考え、Microsoft Entra ID（旧Azure AD） のフォーム認証を使用するかどうか、検討すると良いでしょう。かもめエンジニアリングでは、フォーム認証の代わりとして活用できるKeygatewayT1やID管理クラウドサービスKeyspiderなどを提供し、Microsoft Entra ID（旧Azure AD）を中心とする認証システムの構築に携わっている実績があります。ご興味がある方は、ぜひ下記のお問合せフォームよりご連絡ください。