概要
このガイドは、貴校のIT管理者がMicrosoft Entra ID(旧Azure AD)とELSA School間でシングルサインオン(SSO)を設定する際の手順を説明します。SSOを有効にすると、生徒と教師は既存の学校のMicrosoftアカウント情報を使用してELSA Schoolにログインでき、別途パスワードを設定する必要がなくなります。
準備
提供するもの
- SSOに使用するメールドメイン(例:xyz@schooldomain.comのようなメールアドレス)
必要なもの
- 貴組織のMicrosoft Entra ID(Azure AD)ポータルへの管理者アクセス権限
- SSO認証情報(ELSAから提供されます):
- SP Entity ID(サービスプロバイダエンティティID)
- ACS URL(Assertion Consumer Service URL)
ステップ 1: Microsoft Entra IDでELSAアプリケーションを作成する
- Microsoft Azureポータルにログインしてください
- エンタープライズアプリケーションに移動:
- 「Microsoft Entra ID」(または「Azure Active Directory」)をクリック
- 左メニューから「エンタープライズアプリケーション」を選択
- 「+ 新しいアプリケーション」をクリック
- 独自のアプリケーションを作成:
- 「独自のアプリケーションの作成」をクリック
- アプリケーション名を入力(例:「ELSA School SSO」)
- 「ギャラリーに見つからないその他のアプリケーションを統合する(ギャラリー以外)」を選択
- 「作成」をクリック
ステップ 2: SAMLベースのシングルサインオンを設定する
- SSO設定にアクセス:
- 新しく作成したELSAアプリケーションで、左メニューから「シングルサインオン」をクリック
- シングルサインオン方法として「SAML」を選択
- 基本的なSAML設定を構成:
- 「基本的なSAML構成」セクションで「編集」をクリック
- ELSAから提供された以下の値を入力:
- 識別子(エンティティID): ELSAから提供された
SP Entity IDを入力 - 応答URL(Assertion Consumer Service URL): ELSAから提供された
ACS URLを入力
- 識別子(エンティティID): ELSAから提供された
- 「保存」をクリック
ステップ 3: ユーザー属性とクレームを設定する
- 属性とクレームを編集:
- 「属性とクレーム」セクションで「編集」をクリック
- 「属性とクレーム」セクションで「編集」をクリック
- 以下のマッピングが設定されていることを確認:重要: これらのマッピングにより、ELSAが正しいユーザー情報を受信できます。何らかの理由でこれらのマッピングを変更する必要がある場合は、まずELSAサポートにご連絡ください。変更により、ユーザー認証に影響が出る可能性があります。
クレーム名 ソース属性 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressuser.mailhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennameuser.givennamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameuser.userprincipalnamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/surnameuser.surname
ステップ 4: SAMLメタデータをELSAに提供する
SAMLを設定した後、SAML設定から「アプリのフェデレーションメタデータURL」をコピーして、ELSAのITチームに送信してください。
ステップ 5: ユーザーとグループを割り当てる(ELSAの設定完了後)
ELSAがSSOの設定を完了したことを確認した後:
- ユーザーとグループに移動:
- ELSAアプリケーションで、左メニューから「ユーザーとグループ」をクリック
- 「+ ユーザー/グループの追加」をクリック
- ELSAアプリケーションで、左メニューから「ユーザーとグループ」をクリック
- アクセス権を割り当てる:
- 「選択されていません」の下の「ユーザー」(または「グループ」)をクリック
- ELSAへのアクセス権を付与するユーザーまたはグループを選択
- 下部の「選択」をクリック
- 「割り当て」をクリック
- これが意味すること:
- 割り当てられたユーザー/グループのみがSSOを使用してELSAにログインできます
- 割り当てられていないユーザーは、MicrosoftアプリでELSAを表示できません
- ユーザーはいつでも追加または削除できます
SSO接続をテストする
- まず自分自身をテストユーザーとして割り当てる
- 現在ログインしている場合は、ELSA Schoolからログアウトする
- ELSA Schoolのログインページに移動する
- 「SSOでサインイン」をクリック
- 学校のメールアドレスを入力する
- Microsoftログインにリダイレクトされることを確認する
- ELSAに正常にログインできることを確認する
よくあるトラブルシューティング
ログインできないエラー
考えられる原因:
- ELSAがまだSSO設定を完了していない
- メタデータURLがELSAに送信されていない
- SP Entity IDまたはACS URLが正しく入力されていない
解決方法: ELSAに設定が完了していることを確認し、ステップ2で入力した値を再確認してください。
ユーザーは割り当てられているがログインできない
考えられる原因:
- Azure ADのユーザーのメールアドレスがELSAのメールアドレスと一致していない
- ユーザー属性が正しく設定されていない
- ユーザーのアカウントがELSAでアクティブになっていない
解決方法:
- 両システムでユーザーのメールアドレスが一致していることを確認する
- ステップ3の属性マッピングが正しいことを確認する
- ELSAサポートに連絡してユーザーアカウントのステータスを確認する
「属性とクレーム」セクションに異なるマッピングが表示される
考えられる原因:
- Azure ADにカスタムクレーム設定がある可能性があります
解決方法:
- これらを変更する前にELSAサポートにご連絡ください
- 必要に応じて、既存の属性設定で動作するように対応できます
よくある質問(FAQ)
Q: SSOと通常のメール/パスワードログインを同時に使用できますか?
A: SSOは追加のログインオプションです。必要に応じて、ユーザーは引き続きメール/パスワードを使用できます。
Q: SSOの設定にはどのくらいの時間がかかりますか?
A: Azure の設定には20〜30分かかります。ELSAの設定は、メタデータを受信してから1〜2営業日かかります。
Q: まずユーザーのELSAアカウントを作成する必要がありますか?
A: はい、SSOでログインする前に、ユーザーがELSA Schoolに存在している必要があります。一括ユーザーアップロードについては、カスタマーサクセスマネージャーにご連絡ください。
Q: 生徒と教師の両方にSSOを使用できますか?
A: はい、ディレクトリにMicrosoftアカウントがあれば、すべてのユーザータイプでSSOを使用できます。
Q: ユーザーのメールアドレスが変更された場合はどうなりますか?
A: ELSAサポートに連絡して、新しいAzure ADメールアドレスと一致するようにELSA Schoolのメールアドレスを更新してください。
この記事は役に立ちましたか?
それは素晴らしい!
フィードバックありがとうございます
お役に立てず申し訳ございません!
フィードバックありがとうございます
フィードバックを送信しました
記事の改善におけるご協力ありがとうございます。