背景
こんにちは。クラウド事業部の宇野です。
AzureのWebアプリケーションでEntraIDユーザーアカウントによるSAML認証を制御する方法が分かりづらかったため、その方法について紹介させていただきます。
目的
EntraIDユーザーアカウントによるSAML認証を制御する
どのような方に読んでほしいか
極力費用をかけずにユーザー認証制御を行いたい方
前提条件
■EntraIDのプランについて
今回はEntraIDのFreeプランを前提にしています。Microsoft Entra ID P1やP2などの有料プランであれば、より複雑なユーザ認証制御が可能な「条件付きアクセスポリシー」という選択肢があります。予算の都合がつく場合はこちらを使用することが推奨されています。
■WebアプリケーションのAzure認証について
Azure上にWebAppsサービスを構築し、そこでAzure EntraIDで認証されるようにIDプロバイダー認証の設定を行っていることを前提にしています。
詳細は以下の公式サイトをご確認ください。
構成例
今回は例として、aさん・bさん・cさんのEntraIDユーザーアカウントが存在する場合に、aさんとbさんのみがユーザ認証できるようにする方法を紹介します。
設定方法の流れ
1.事前に作成しているアプリケーションを確認します。
2.上記と同じ名前で「エンタープライズアプリケーション」が作成されていることを確認し、該当のアプリケーションを選択します。
3.「割り当てが必要ですか?」項目で「はい」を選択し、「保存」ボタンを押下します。
ちなみに、初期設定は「いいえ」が選択されています。その場合はEntraIDテナントに登録されているすべてのユーザが認証されるようになります。
4.左メニューにある「ユーザーとグループ」を選択し、「+ユーザまたはグループの追加」ボタンを押下します。
5.ユーザの割当画面が表示されるため、認証を許可したいユーザのみ選択します。
ログイン検証
■ユーザ認証が許可されているユーザaさんでログインした場合
以下の通りアプリのメイン画面が表示されます。
■ユーザ認証が許可されていないユーザcさんでログインした場合
以下の通りAzure側で用意されているブロックされた旨の画面が表示されます。