Microsoft Entra ID でSAML SSOを設定する手順

Microsoft Entra ID（旧 Azure AD） を IdP として SaaS に SAML SSO を設定する基本手順です。Microsoft 365 を使う企業では最も導入しやすい IdP です。

前提

• Entra ID のアプリケーション管理者以上の権限
• 設定対象 SaaS が SAML に対応していること（SaaS別SSO対応一覧 で確認）
• 条件付きアクセスを使うなら Entra ID P1/P2 ライセンス

手順の流れ

1. エンタープライズアプリケーションを追加

Entra 管理センター →「エンタープライズアプリケーション」→「新しいアプリケーション」。ギャラリーに対象 SaaS があればテンプレートを選択（設定が一部自動化される）。

2. シングルサインオン方式に SAML を選択

「シングルサインオン」→「SAML」を選び、以下を設定：

• 識別子（Entity ID）：SaaS が指定する値
• 応答 URL（ACS URL）：SaaS のアサーション受信先
• サインオン URL：SP-initiated の開始 URL（任意）

3. 属性・クレームのマッピング

NameID をメールアドレスにするのが一般的。SaaS が要求する属性（氏名・部署・グループ等）をクレームに追加します。SaaS 側の期待値と完全一致させるのが失敗しないコツ。

4. 証明書とメタデータ

Entra が発行する フェデレーションメタデータ XML（または署名証明書＋ログイン URL）を SaaS 側に登録します。SAML 署名証明書には有効期限があり、切れると SSO が止まるため更新管理が必須です（TLS短寿命化と証明書運用）。

5. ユーザー/グループの割り当て

アプリにアクセスできるユーザー・グループを割り当てます。割り当てがないと拒否されます。

6. SCIM 自動プロビジョニング（任意）

「プロビジョニング」→自動 を選び、SaaS のテナント URL とシークレットトークンを設定すると、入退社に応じたアカウント自動連携ができます（SCIMとは）。

つまずきやすいポイント

• NameID 形式の不一致（emailAddress vs persistent）でログイン失敗
• 証明書の期限切れで全社が突然ログイン不可
• 割り当て漏れ・グループ条件の誤り
• 条件付きアクセスのブロックを SSO 障害と誤認

まとめ

Entra ID は M365 環境なら最短距離の IdP です。他 IdP との比較は IdP比較表、規格の理解は SAML vs OIDC、全体設計は 企業SSO完全ガイド を参照してください。