Microsoft 365 - WS-Federation認証×Microsoft Entra Connect（旧Azure AD Connect）

事前に、Microsoft 365のWS-Federation連携を始める前に をご参照ください。

本記事では、OneLoginからMicrosoft 365（旧Office 365）へのWS-Federation（WS-Fed）シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

注意事項

WS-Fed フェデレーションの設定

1. Microsoft 365側の設定

2. OneLogin側の設定

WS-Fed SSOの動作確認

WS-Fed フェデレーションの無効化

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• OneLoginとユーザーを同期しているオンプレミスのActive Directoryが、Microsoft Entra Connect（旧：Azure AD Connect）を用いてMicrosoft Entra IDと連携していること
• Microsoft 365における グローバル管理者権限 をお持ちであること
• Microsoft 365に関して、WS-Federation連携したいドメイン以外の他のドメインにもグローバル管理者アカウントが存在すること
• Microsoft Office 365、Microsoft 365、Microsoft Entra IDにシングルサインオンを行う方は「Office 365 V2」コネクタを使用する必要があります

注意事項

• OneLoginの不具合など何らかの原因で、Microsoft 365にSSOできなくなった場合にMicrosoft 365を使用できなくなることを防ぐために、WS-Federation連携したいドメイン以外の他のドメインにも全体管理者アカウントを作成しておく必要があります（参考: 1. Microsoft 365側の設定の手順3）

WS-Fed フェデレーションの設定

1. Microsoft 365側の設定

1. Microsoft 365に全体管理者でログインし、アプリ から 管理 を選択します
   
   
    
2. 設定 > ドメイン で、WS-Federation連携をするドメイン（フェデレーションドメイン）が、以下の3点をクリアしていることを確認してください
   ①独自ドメインであること
   ②既定ドメインではないこと
   ③セットアップ完了（✅ 正常）状態であること
   
   
    
3. ユーザー > アクティブなユーザー で、フェデレーションドメイン以外の他のドメインに全体管理者の権限を持つユーザーが少なくとも1人存在することを確認してください
   例）admin@pentiodemo.onmicrosoft.com
   

2. OneLogin側の設定

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. Office 365 V2 と検索し、該当コネクタをクリックします
   
   
    
5. ［Save］をクリックします
   
   
    
6. 古いMicrosoft系列のソフトウェア(2013以前のOutlookやWord)やAzure AD Joinをご利用の方は、Configuration タブに移動し、Enable WS-Trust にチェックを入れます
   
   
    
7. Configuration > API Connection に Microsoft 365 のフェデレーションドメインを入力し、［Verify］をクリックします
   例）onelogin.pentio-dev.com
   
   
    
8. Configuration > API Connection > Office 365 V2(Azure Graph) OAuth の［Authenticate］をクリックしてAPI接続を行います
   
   
    
9. Office 365 V2 をクリックします
   
   
    
10. OneLoginによるAPI利用を許可するため、Microsoft 365に 全体管理者 でログインします
    
    
     
11. OneLoginによるAPI利用範囲が表示されるので、内容を確認して［承諾］をクリックします
    
    
     
12. APIボタンが［Clear Token］に変化したことを確認します
    
    
     
13. 同じように、Configuration > API Connection > Office 365 V2(Microsoft Graph) OAuthの［Authentication］をクリックして、API接続を行います
    
    
     Office 365 V2 をクリックします
    
    
     
14. OneLoginによるAPI利用範囲が表示されるので、内容を確認して［承諾］をクリックします
    
    
     
15. APIボタンが［Clear Token］に変化したことを確認します
    
    
     
16. Parameters > ImmutableID の値が AD ID であることを確認します
    
    
     
17. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
    
    
     
18. SSO タブに移動し、Enable automatic SAML configuration: を有効にします
    
    
     
19. ［Got It. Continue］をクリックします
    
    
     
20. 連携が完了したら［Next］をクリックします
    
    
     
21. ［Got It. Thanks.］をクリックします
    
    
     
22. Enable automatic SAML configuration: にチャックが入ったことを確認し、［Save］をクリックします
    

WS-Fed フェデレーションの設定は以上です。

WS-Fed SSOの動作確認

1. OneLoginに対象ユーザーでログインし、設定した Office 365 V2 を選択します
   
   
    
2. ユーザー認証が完了し、Microsoft 365にSSOされることを確認します
   

WS-Fed SSOの動作確認は以上です。

WS-Fed フェデレーションの無効化

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. 設定したOffice 365 V2を検索し、該当コネクタを選択します
   
   
    
4. SSO タブに移動し、Enable automatic SAML configuration: を無効化します
   
   
    
5. 内容を確認し、［Ok］をクリックします
   
   
    
6. ［Save］をクリックします
   

WS-Fed フェデレーションの無効化は以上です。