# 【Worksプロジェクト版】Entra ID SAML SSO認証

Alli では、SAML アプリを連携してシングルサインオン（SSO）認証を設定できます。\
これにより、特定のプロジェクトに対してSSO認証を完了したメンバーのみが、権限に基づいてAlli Worksとダッシュボードにアクセスできるように設定できます。

<mark style="color:red;">**※Alli Works へのEntraID認証機能はオプション機能の為、こちらの機能をお使いになりたい場合は、担当セールスまたはカスタマーサクセスまでご連絡ください。**</mark>

## ✅ SAML SSOとは？ <a href="#saml-sso" id="saml-sso"></a>

SAMLは、Webブラウザベースの認証と承認のためのXMLベースのフレームワークであり、ユーザーが一度ログインしたときに複数のサービスに自動的にログインできるようにする方法です。現在、多くの企業が使用している認証規格であり、Alliはこの規格に基づいてSSO連携をサポートしています。

## ✅ サポートされる IdP <a href="#idp" id="idp"></a>

* Google
* Microsoft Entra ID
* Okta
* SAML規格に準拠したすべてのIdP

本ガイドではMicrosoft Entra IDのSAML SSO認証について説明いたします。

## Entra SAMLアプリの作成 <a href="#entra-saml" id="entra-saml"></a>

### 1.Azureダッシュボード上でのEntra SAMLアプリの作成 <a href="#step1" id="step1"></a>

1. Azure Portal(<https://portal.azure.com/#home>)にログインし、「Microsoft Entra ID の管理」の「ビュー」ボタンをクリックしてください。

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FOGboUAvpkBMB3fVU8nzT%2Fimage.png?alt=media&#x26;token=8afe7d67-309a-41a9-a6ce-ce2a53a242ce" alt=""><figcaption></figcaption></figure>
2. 管理＞エンタープライズアプリケーションをクリックします。

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FN7NRugDRc1Wl4buMHhft%2Fimage.png?alt=media&#x26;token=872bd79b-3dba-4eb4-8e2a-193abb8c496e" alt=""><figcaption></figcaption></figure>
3. 「＋新しいアプリケーション」をクリックします。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FOWnGvJdronjbHCoomp9a%2Fimage.png?alt=media&#x26;token=b29e22a4-67e2-4ae3-93dd-3d1c652b1054" alt=""><figcaption></figcaption></figure>
4. 「＋独自のアプリケーションの作成」をクリックし、AlliとEntraIDを連携するためのアプリを作成します。
   \
   アプリ名「ギャラリーに見つからないその他のアプリケーションを統合します（ギャラリー以外）」を選択しを設定し「作成」ボタンをクリックしてください。

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FMCLkyck5Rk6Oh4eYB2fB%2Fimage.png?alt=media&#x26;token=0741898a-15e2-4f50-ac96-8f52bed2f26d" alt=""><figcaption></figcaption></figure>
5. 作成されたアプリ内にある「2．シングル サインオンの設定」の作業開始をクリックしてください。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FgryjvlRB1fkQCPRuKMbg%2Fimage.png?alt=media&#x26;token=1a134eaa-8715-48ed-b6ae-f92802a30ecc" alt=""><figcaption></figcaption></figure>
6. シングルサインオン方式の選択で「SAML」を選択してください。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FCEZWWXe7bsRPN1iZ7qOy%2Fimage.png?alt=media&#x26;token=744a2e71-0d64-427a-9d9e-143648803eda" alt=""><figcaption></figcaption></figure>

### 2.Alliダッシュボート上でのSAMLアプリとの連携 <a href="#step2" id="step2"></a>

1. ダッシュボード＞プロジェクト設定＞外部サービス連携＞ SAML SSOタブに移動し、+SAMLアプリの追加ボタンをクリックします。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FbSstVpH8TJke1VqwAOGr%2Fimage.png?alt=media&#x26;token=4e013447-8e1d-468a-a275-a43f43ee7c9d" alt=""><figcaption></figcaption></figure>
2. アプリ名を設定し、下記A,Bの値をコピーしてください。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2F2fCpWT9nuqy3q4Y3n2c5%2Fimage.png?alt=media&#x26;token=8e50b699-1c2e-4c4f-8b41-5ce30a576780" alt=""><figcaption></figcaption></figure>
3. SAMLによるシングルサインオンのセットアップ　①の基本的なSAML構成の「編集」ボタンをクリックしてください。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2Fdnc07X209BLW4PIFfTd9%2Fimage.png?alt=media&#x26;token=7b87ec1a-84b8-4d0f-9763-27327f170fe5" alt=""><figcaption></figcaption></figure>
4. 識別子(エンティティID)と応答URLにステップ2でコピーした「A」と「B」の情報を貼り付けて、保存してください。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FBRfGcG929SHhWBaeJmOB%2Fimage.png?alt=media&#x26;token=1b7d5303-b83f-49cc-92df-51a09f41608f" alt=""><figcaption></figcaption></figure>

### &#x20;<a href="#step3" id="step3"></a>

### 3.属性マッピングの設定 (Attribute Mapping) <a href="#step3" id="step3"></a>

#### 基本

Entra ID側で設定されているユーザー情報とAlli内の顧客情報をマッピングすることができます。\
EMAIL情報は自動でマッピングされるようになっているため個別の設定は不要です。\
グループに関連するマッピングについては[こちらのガイドもご覧ください](https://docs.allganize.ai/alli-llm-app-market/project-settings/external-service-integration/entra-id-workstype/user-mapping)。

<figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FY7OJJXiBWCD8I8QPkPJ4%2Fimage.png?alt=media&#x26;token=36833825-41f6-4c1e-b238-5a33bf07911e" alt=""><figcaption></figcaption></figure>

#### 設定方法

1. SAMLによるシングルサインオンのセットアップ　②属性とクレームの「編集」ボタンをクリックしてください。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FmxGx5P1hnjty1RbwSmpQ%2Fimage.png?alt=media&#x26;token=b199c72d-4c09-4588-ae89-683bfe75b30b" alt=""><figcaption></figcaption></figure>
2. First nameとLast nameに対応するフィールドを選択して変更します。追加の要求欄にある「user.givenname」と「user.surname」をそれぞれクリックしてください。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2F4QwZP3FFdm5AhGtCP6ND%2Fimage.png?alt=media&#x26;token=7950b62d-c8d6-46f9-a88e-e550dd50dc5e" alt=""><figcaption></figcaption></figure>
3. 名前欄のGivennameは**FIRST\_NAME**、Surnameは**LAST\_NAME**にそれぞれ変更します。変更時には<mark style="color:red;">**名前空間を削除し、**</mark>名前欄にAlli変数の値を入力して保存します。\
   ※Alliの変数名と完全一致している必要があります。

**【Givennameの場合】**

<figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FpAiA8gtS3QrH4Z51laDN%2Fimage.png?alt=media&#x26;token=34b13ac2-2f68-43ba-b2c8-bb21d1660ee3" alt=""><figcaption></figcaption></figure>

<figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FEwnqz3m2kB7Ym9Vf45SE%2Fimage.png?alt=media&#x26;token=81415a2f-e363-476d-9425-0197af8c78f6" alt=""><figcaption></figcaption></figure>

**【surnameの場合】**

<figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FkNH3H7btbv9pufyv9Osm%2Fimage.png?alt=media&#x26;token=b31edbc4-f4e5-4be2-a179-083269253369" alt=""><figcaption></figcaption></figure>

<figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FbDI9m15hqFvAzzZ4G1ci%2Fimage.png?alt=media&#x26;token=e576ff07-a3df-411f-a66a-9ebb79dc9878" alt=""><figcaption></figcaption></figure>

### 4.Entra SAMLアプリへのユーザーとグループの割り当て <a href="#step4" id="step4"></a>

1. 画面左にある「ユーザーとグループ」メニューから、「＋ユーザーまたはグループの追加」をクリックし、AlliでEntraIDを連携させるユーザーを追加してください。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FMtigGDYJxUEP6WZnPx6M%2Fimage.png?alt=media&#x26;token=c344a772-90f3-4353-9084-cfda3dfd1a66" alt=""><figcaption></figcaption></figure>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FZeVJc5J6iydmTFBTHSrU%2Fimage.png?alt=media&#x26;token=6e125020-0be9-4181-924e-5b1c903c0143" alt=""><figcaption></figcaption></figure>

### 5.Entra SAMLアプリのSAML証明書・ログインURL・識別子の取得とAlliでの設定 <a href="#step5" id="step5"></a>

1. 画面左側にある「シングルサインオン」メニューに戻り、①「ログインURL」と②「Microsoft Entra 識別子」の値をコピーし、③「証明書 (Base64)」のファイルをダウンロードしてください。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2FAfgovJ9JjVHxuGpuJWTW%2Fimage.png?alt=media&#x26;token=0f785eb7-f695-4f09-b658-698aa71c3158" alt=""><figcaption></figcaption></figure>
2. Alli LLM App Market ダッシュボード ＞プロジェクト設定 ＞外部サービス連携＞SAML SSOタブ内で作成したEntra ID連携アプリ内の設定を進めていきます。\
   アプリスラグはEntra ID SSOを使用して管理画面にログインするときに全員が入力する必要のあるものであるため、覚えやすい文字列を使用してください。\ <mark style="color:red;">**※エンドユーザー画面はスラグの入力なしでご利用いただけますのでご安心ください。**</mark>\ <mark style="color:red;">**※アルファベット(小文字)、数字、ハイフンのみ使用できます。**</mark>\ <mark style="color:red;">**※アプリスラグはログインの識別子であるため、他のプロジェクトで使用されているものはご利用いただけません。登録の際にエラーメッセージが表示された場合は別のスラグをお試しください。**</mark>\
   \
   「Login URL」「Identifier」に先程コピーした「①ログインURL」と「②Microsoft Entra 識別子」の情報を貼り付け、「Certificate \*」にダウンロードした「③証明書 (Base64)」ファイルを添付し、「保存」をクリックしてください。<br>

   <figure><img src="https://3244404108-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FR2CRA2CisD1pVQUgqd1g%2Fuploads%2Frbafxr6o0OrDvmDQGqah%2Fimage.png?alt=media&#x26;token=72337825-e892-414a-b3b1-3f2366a0a320" alt=""><figcaption></figcaption></figure>
3. 保存が完了し、連携に成功したら設定完了です。