アプリケーションの登録
① Microsoft Azure にログインしてください。
② Microsoft Azure のページより、「Microsoft Entra ID」を選択してください。
※下の画面は Microsoft Azure のTOPページです。「Azureサービス」内に「Microsoft Entra ID」が見当たらない場合は、上の検索ボックスに「Microsoft Entra ID」と入力することでも、サービスを表示できます。
③画面左のメニュー内から、「アプリの登録」を選択してください。
④次のページより、「新規登録」を選択してください。
⑤下記のように項目を入力し、「登録」を選択してください。
設定項目
項目名 | 設定内容 |
---|---|
名前 | 任意の名前 |
サポートされているアカウントの種類 | この組織ディレクトリのみに含まれるアカウント ※デフォルトでこちらに設定されているので、改めて選択する必要はありません。 |
⑥登録が完了すると、下記の画面に遷移します。
この後の SeciossLink 側での設定に使用するため、「アプリケーション(クライアント)ID」と「ディレクトリ (テナント) ID」の値を、必ずメモしてください。
※この時にメモするのを忘れた場合は「アプリ登録」画面から、登録したアプリケーション名を選択することで、再度こちらの値を確認できます。
証明書またはクライアント シークレットの登録
次に証明書またはクライアント シークレットの登録を行います。
SeciossLink 側の設定で、「Microsoft 365の接続方式 」に「証明書」と「クライアントシークレット」のどちらを選択するか、「Exchangeの接続方式」を「証明書」と「パスワード」のどちらを選択するかによって、Microsoft 365 側で必要な作業内容が異なります。
下記をご確認の上、任意の登録手順へお進みください。
Microsoftの仕様上、SeciossLink側の接続設定を「パスワード」にする必要があります。この場合、証明書の発行ではなく、クライアント シークレットの登録 のみを行ってください。
※Microsoft 365と同期されるユーザーグループについて
「Exchangeの接続方式」を「証明書」にした場合、「Microsoft 365 種類」を「Microsoft 365」に設定したユーザーグループが同期できなくなります。種類を「セキュリティ」や「配布」に設定したユーザーグループについては、「Exchangeの接続方式」が「証明書」でも「パスワード」でも同期可能です。
ユーザーグループの設定については、ユーザーグループの登録 をご確認ください。
証明書の発行手順
※SeciossLink側で「Microsoft 365の接続方式 」に「クライアントシークレット」、「Exchangeの接続方式 」に「パスワード」を設定する場合、こちらの作業は不要です。次の クライアント シークレットの登録 へお進みください。
①事前に、プライベート証明書を発行します。
※以下はOpenSSLをLinuxのターミナルで実行して証明書を発行した際のコマンド例になります。
※WSL上にOpenSSLをインストールした場合および、WindowsのPowershellやコマンドプロンプト上で利用可能なOpenSSL for Windowsで実行した場合でも、同じ結果となります。環境によっては、ターミナルがコマンド入力を求めていることを示す文字が異なるので、実際の表示に置き換えてください。
本マニュアルの場合は"#"ですが、この他に"$"や">"などになっている場合があります。
②OpenSSLのインストール確認を行います。
Linuxのターミナルに下記コマンドを入力してください。
openssl version
出力結果の例:
# openssl version
OpenSSL 1.1.1k FIPS 25 Mar 2021
#
③秘密鍵を作成します。
Linuxのターミナルに下記コマンドを入力してください。
openssl genrsa 2048 > oauth.key
出力結果の例:
# openssl genrsa 2048 > oauth.key
Generating RSA private key, 2048 bit long modulus
………………………..+++
..+++
e is 65537 (0x10001)
#
④証明書署名要求(crtファイル)を作成します。
Linuxのターミナルに下記コマンドを入力してください。ここで発行した「oauth.crt」は、「Microsoft Entra ID」の管理画面で必要になります。
openssl req -new -x509 -key oauth.key -out oauth.crt -days 3650
-subj "/C=JP/ST=Tokyo/L=Toshima/O=SECIOSS/OU=DEVELOP/CN=OAuth"
出力結果の例:
# openssl req -new -x509 -key oauth.key -out oauth.crt -days 3650
-subj "/C=JP/ST=Tokyo/L=Toshima/O=SECIOSS/OU=DEVELOP/CN=OAuth"
#
※WindowsのPowershellやコマンドプロンプトの場合は、長いコマンドを入力する際に複数行にするための文字が"`"(バッククォート)となります。
下記入力コマンドの"\"(バックスラッシュ)と置き換えてコマンドを実行してください。
上手く行かない場合は、下記入力コマンドの"\"(バックスラッシュ)を削除して、2行のコマンドを1行にして入力してください。
⑤証明書(pfxファイル)を作成します。
Linuxのターミナルに下記コマンドを入力してください。ここで発行した「oauth.pfx」は、SeciossLinkの管理画面で必要になります。
openssl pkcs12 -export -inkey oauth.key -in oauth.crt -out oauth.pfx -name "oauth"
出力結果の例:
# openssl pkcs12 -export -inkey oauth.key -in oauth.crt -out oauth.pfx -name "oauth"
Enter Export Password: {左記が表示されたらパスワードを入力してください}
Verifying – Enter Export Password: {左記が表示されたら入力したパスワードを再度入力してください}
#
⑥「Microsoft Entra ID」での操作に移ります。
Microsoft Entra ID画面左のメニュー内から、「証明書とシークレット」を選択してください。
⑦タブの中から「証明書」を選択し、「証明書のアップロード」を選択してください。
⑧画面右側に、アップロード画面が表示されます。
下記のように設定し、画面下の「追加」を選択してください。
設定項目
項目名 | 設定内容 |
---|---|
次のいずれかのファイルの種類で証明書 (公開キー) をアップロードします: .cer、.pem、.crt |
④で作成した「oauth.crt」ファイル |
説明 | 任意の説明(空欄でも構いません) |
クライアント シークレットの登録手順
①Microsoft Entra ID画面左のメニュー内から、「証明書とシークレット」を選択してください。
②次のページより、「新しいクライアント シークレット」を選択してください。
③画面右側に、登録画面が表示されます。
下記のように項目を入力し、画面下の「追加」を選択してください。
設定項目
項目名 | 設定内容 |
---|---|
説明 | 任意の説明(空欄でも構いません) |
有効期限 | 任意の期間 |
※Microsoft Entra ID では「推奨:6か月」と表示されておりますが、「12か月」や「24か月」のように、長い期間を設定いただいても問題ありません。
④登録が完了すると、下記の画面に遷移します。
この後の SeciossLink 側での設定に使用するため、「値」のテキストを必ずメモしてください。
※「この時にメモをせずに他ページに遷移した場合は、値が伏字になって参照できなくなります。その場合は、①の手順から改めてクライアント シークレットの登録が必要になります。