SAML認証によるMicrosoft Entra IDからZohoアカウントへのアクセス

SAML認証によるMicrosoft Entra IDからZohoアカウントへのアクセス

Microsoft Entra IDでSAMLを使用したシングルサインオンを設定すると、Microsoft Entra IDの認証情報を使用してZohoアカウントにサインインできます。

設定に必要なMicrosoft Entra IDの情報

ZohoでSAML認証を設定するにあたって、次のMicrosoft Entra IDの情報が必要です。これらの情報をMicrosoft Entra IDから取得する方法については、以下の手順で説明します。
  1. 証明書(Base64)
  2. ログインURL
  3. ログアウトURL

SAMLの設定手順

A.Microsoft Entra IDでのアプリの作成

  1. Microsoft Entra 管理センターに管理者としてサインインします。
  2. 画面左側のメニューの[Entra ID]の欄で、[エンタープライズアプリケーション]をクリックします。
  3. [+ 新しいアプリケーション]をクリックします。
  4. [+ 独自のアプリケーションの作成]をクリックします。

  5. [お使いのアプリの名前は何ですか?]の項目で、アプリケーション名を入力します(アプリケーション名を「Zoho」と設定する場合、ギャラリー内の既存のZohoアプリの使用を促すメッセージが表示されても、無視して新規作成の手順を進めてください)。
  6. [ギャラリーに見つからないその他のアプリケーションを統合します]を選択し、[作成]をクリックします。
  7. アプリが作成され、アプリのページが表示されます。

B.Microsoft Entra IDでのZohoの詳細の設定

  1. 新しいタブで、 account.zoho.comにサインインします。
  2. 画面左側のメニューから[組織]に移動します。画面左側のメニューに[組織]が見つからない場合は、[さらに表示]をクリックします。
  3. [SAML認証]で、[メタデータのダウンロード]をクリックします。「zohometadata.xml」という名前のファイルがダウンロードされます。



  4. ブラウザーまたはテキストエディターを使用して、メタデータファイルを開きます(ブラウザーとしてSafariを利用している場合、[環境設定]→[詳細]の順に移動し、[メニューバーに"開発"メニューを表示]を有効にすると、メタデータファイルを表示できます)。
  5. メタデータファイルから、[Entity ID][ACS URL]をコピーします。



  6. Microsoft Entra IDポータルのアプリのページに戻ります。
  7. [管理]の欄で、[シングル サインオン]をクリックします。
  8. [シングル サインオン方式の選択]の欄で、[SAML]を選択します。
  9. 1番目の項目に移動します。[基本的な SAML 構成]の項目で、[編集]をクリックします。
  10. [識別子(エンティティ ID)]の項目に、コピーした[Entity ID]を貼り付けます。
  11. [応答 URL(Reply URL)]の項目に、コピーした[ACS URL]を貼り付けます。
  12. (任意)[リレー状態]の項目で、ユーザーがサインインした後に表示するサービスのURLを入力します。例:https://mail.zoho.com.
  13. [保存]をクリックします。

C.ZohoでのMicrosoft Entra IDの詳細の設定

  1. 3番目の項目に移動します。[SAML 証明書]の項目で、[証明書(Base64)]をダウンロードします。



  2. 4番目の項目に移動します。[XXX のセットアップ](XXX:アプリケーション名)の項目で、[ログイン URL][ログアウト URL]をコピーします。
  3. account.zoho.comSAML認証のページに戻ります。
  4. Microsoft Entra IDからダウンロードした証明書とコピーしたURLを使用して、ZohoアカウントでSAML認証を設定します。
    1. [サインインURL]の項目に、コピーした[ログイン URL]を貼り付けます。
    2. [サインアウトURL]の項目に、コピーした[ログアウト URL]を貼り付けます。
    3. [公開鍵]の項目で、ダウンロードした証明書(Base64)をアップロードします。証明書の形式は、Base64でエンコードされた.cer、.crt、.cert、.pemのいずれかのファイルにしてください。
  5. [設定]をクリックします。

Microsoft Entra IDでのユーザーへのアプリの割り当て

Microsoft Entra IDに登録されているユーザーは、Zohoサービスにサインインする際に、上記の手順で新しく設定されたZohoアプリを使用することができます。使用するにあたって、管理者は事前にユーザーにアプリを割り当てる必要があります。ユーザーにアプリを割り当てるには、次の記事に記載されている手順をご参照ください。


SAML設定のテスト

次の手順を実施して、設定が正しく行われているかテストします。Microsoft Entra IDでテストを行う際は、ユーザーとして実施します。

サービスプロバイダー(Zoho)を起点としたSAML認証のテスト:
  1. Zohoのサインインページに移動します。

  2. メールアドレスを入力して、[次へ]をクリックします。アカウント認証のため、Microsoft Entra IDのページに移動します。
  3. Microsoft Entra IDにサインインしていない場合、Microsoft Entra IDの認証情報を入力してサインインします。Zohoページに再度移動し、サインインが完了します。
アイデンティティプロバイダー(Microsoft Entra ID)を起点としたSAML認証のテスト:
  1. myapplications.microsoft.comに移動し、アカウントにサインインしていることを確認します。
  2. 設定したZohoアプリをクリックします。

  3. Zohoのページに移動し、サインインが完了します。

シングルログアウト(SLO)

Microsoft Entra IDでは、アイデンティティプロバイダー(IdP)を起点としたシングルログアウト、およびサービスプロバイダー(Zoho)を起点としたシングルログアウト(SLO:Single Log Out)の両方がサポートされています。シングルログアウトを有効にすると、ユーザーがZohoサービスからログアウト(サインアウト)すると、Microsoft Entra IDからもログアウト(サインアウト)します。逆も同様で、Microsoft Entra IDからログアウト(サインアウト)すると、Zohoサービスからもログアウト(サインアウト)します。

シングルログアウトを有効にする手順:
  1. Microsoft Entra 管理センターに管理者としてサインインします。
  2. 設定済みのアプリケーションのページを開きます。
  3. 画面左側のメニューで[シングル サインオン]をクリックします。
  4. 手順4に移動します。[ログアウト URL]をコピーします。



  5. account.zoho.com(Zoho Accounts)の[組織]→[SAML認証]に移動し、[編集する](初回の場合は[設定する])をクリックします。



  6. [サインアウトURL]の項目に、コピーしたログアウトURLを貼り付けます。
  7. SAML認証の設定画面の下部にある、一括サインアウト(シングルサインアウト)の設定を有効にします。
  8. [送信する]をクリックします。なお、公開鍵(X.509証明書)を再設定しておく必要がある場合があります。
  9. 右上に表示されている[ダウンロードする]をクリックし、[メタデータ]をクリックします。
  10. ブラウザーまたはテキストエディターを使用して、ダウンロードしたファイルを開きます。<md: SingleLogoutService>タグの中の「Location」属性に記載されているシングルログアウトのURLをコピーします。



  11. Microsoft Entra 管理センターに戻ります。
  12. 左側メニューの[シングル サインオン]をクリックし、1つ目の設定手順(基本的な SAML 構成)の欄にある[編集]メニューをクリックします。
  13. [ログアウト URL]の項目に、コピーしたログアウトURLを貼り付けます。[保存]をクリックします。
SAML認証によるサインイン時にエラーが発生した場合は、こちらのヘルプをご参照ください。