1. 全体概要と結論
Microsoft Entra IDにおけるエンタープライズアプリケーションのSAMLシングルサインオン(SSO)設定時に発生するエラーを主要な課題として調査した。具体的には、応答URLに「http://」で始まるURLを登録しようとした際にエラーが発生し、登録ができない問題である。
関連サービス
- Microsoft Entra ID(旧Azure AD)
- エンタープライズアプリケーション
- SAMLシングルサインオン(SSO)
主要な課題
- SAMLシングルサインオン構成時の応答URL登録エラー
- 「http://」で始まるURLの登録可否
- プライベート認証局の構築と証明書インストールの可能性
結論
「http://」で始まるURLはSAML構成で登録できないことが判明した。「https://」が前提であり、プライベート認証局を構築して証明書をインストールする方法については技術的に可能であるが、具体的な手順は提供されていない。
2. 調査内容
2.1. 調査したこと1:SAMLシングルサインオン構成時の応答URL登録エラー
調査の目的
エンタープライズアプリケーションのSAMLシングルサインオンを有効にする際、応答URLに「http://」で始まるURLを入力するとエラーが発生する問題について調査した。具体的には、「http://」で始まるURLが登録可能か、また「https://」が前提の場合にプライベート認証局を構築して証明書をインストールすることが可能かを確認することを目的とした。
発生している疑問・懸念
- 「http://」で始まるURLが登録できない理由
- 「https://」が前提となる場合の対応策
- プライベート認証局の構築と証明書インストールの技術的可能性
関連環境
- Microsoft Entra ID(旧Azure AD)
- エンタープライズアプリケーションのSAMLシングルサインオン設定
調査結果
「http://」で始まるURLはSAML構成で登録できないことが判明した。「https://」が前提であり、これはセキュリティ上の要件である。通信の暗号化を保証するためにHTTPSが必須となっており、「http://」は暗号化されていないため登録が許可されない。
【技術解説】
SAMLシングルサインオンの仕様上、応答URLは「https://」で始まる有効なURLである必要がある。これはセキュリティ上の要件であり、通信の暗号化を保証するためにHTTPSが必須である。「http://」は暗号化されていないため、登録が許可されない。
プライベート認証局を構築し、ルート証明書を作成してMicrosoft Entra IDにインストールすることは技術的に可能であるが、具体的な手順は提供されていない。
推奨される対応策
- 応答URLには「https://」で始まるURLを使用する。
- プライベート認証局の構築については、専門窓口への問い合わせが推奨される。
コメント