従業員メールとのSSOのためのMicrosoft Entra IDの設定

製品名に関する注意: 2022年以降、BananatagはStaffbaseの従業員メール製品です。

親管理者

組織のMicrosoft Entra ID（以前のAzure AD）を設定して、従業員メールとのシングルサインオン（SSO）を有効にし、従業員が主なOutlook 365の仕事用メールアカウントや他のクラウドベースのOfficeプラットフォームにアクセスするために使用するのと同じMicrosoftの資格情報でサインインできるようにします。会社やITの要件によっては、従業員が仕事用のノートパソコンやデスクトップデバイスにサインインするために同じ資格情報を使用している場合もあります。

この種の統合に向けて組織が計画を立てるのを助けるために、このサポート記事をITチームやMicrosoft Entra管理者と共有してください。

前提条件

新しいエンタープライズアプリケーションを追加および設定するための適切な権限を持って、組織のMicrosoft Entra IDにアクセスできます。
従業員メールにアクセスでき、親管理者の権限を持っています。

SP発起のSSOリクエストのみがサポートされており、IdP発起のリクエストはサポートされていません。アクセスは次のいずれかのドメインを通じて行う必要があります:

北米のお客様 - app.bananatag.com
ヨーロッパのお客様 - app.de.bananatag.com

マルチドメイン構成はサポートされていません。
追加のドメインユーザーは、ユーザー名とパスワードでサインインする必要があります。

エンタープライズアプリケーションの作成

Microsoft Entra IDを開きます。
エンタープライズアプリケーションに移動します。
新しいアプリケーションをクリックします。
自分のアプリケーションを作成をクリックします。
アプリの名前は何ですか？の下に名前を入力します。
後で認識しやすいように、例えば「従業員メール」のようにしてください。
ギャラリーに見つからない他のアプリケーションを統合する（非ギャラリー）を選択します。
作成をクリックします。
アプリケーションの作成には約1分かかります。

エンタープライズアプリケーションのSAMLを設定する

アプリケーションの詳細画面から、シングルサインオンに移動します。
SAMLをクリックします。
編集をクリックし、基本SAML構成の必要な値を入力します。

識別子（エンティティID） = urn:bananatag
応答URL
米国ホスティング = https://login-service.bananatag.com/sso/acs/<customerDomain>
EUホスティング = https://login-service.prod-eu-c1.bananatag.com/sso/acs/<customerDomain>
サインオンURL
米国ホスティング = https://login.bananatag.com
EUホスティング = https://login.de.bananatag.com
リレーステート（オプション） = <空白>
ログアウトURL（オプション） = <空白>
属性とクレームの必要な値を確認します。

givennameまたはfirstname = user.givennameまたはuser.firstname
surnameまたはlastname = user.surnameまたはuser.lastname
emailaddress = user.mail
name = user.userprincipalname
一意のユーザー識別子 = user.mail

一意のユーザー識別子クレームは、テナントが複数のドメインを管理している場合に異なる場合があります。例えば、user.userprincipalnameの代わりにuser.mailを使用します。

各クレームから名前空間を削除します。
フェデレーションメタデータXMLファイルをダウンロードします。
このXMLダウンロードは、従業員メールで完了する次のステップに必要です。