Microsoft 365 SAML設定マニュアル
SSO設定のMicrosoft 365 SAML手順のページです。
ご利用パターンについて
Microsoft 365(Microsoft Entra ID)との連携には、目的に応じて2つのパターンがあります。ご利用の目的に合わせて、該当する手順を実施してください。
① SSOログインのみ(組織連携が不要な場合)
Microsoft 365 アカウントでのログイン(シングルサインオン)だけを行うパターンです。下記「SAML 認証セットアップ手順」のみを実施し、フェデレーション メタデータ XML を PigeonCloud にアップロードすれば設定は完了です。Client ID・Client Secret の発行は不要です。
② 組織連携あり(ユーザー・グループを同期する場合)
Microsoft Entra ID 上のユーザーや組織(グループ)を PigeonCloud に同期するパターンです。「SAML 認証セットアップ手順」に加えて、「Microsoft Graph API 設定手順」も実施します。Client ID・Client Secret の発行が必要です。
※「SAML 認証セットアップ手順」は両パターン共通です。組織連携が不要な場合は、この章のみで完了します。
SAML 認証セットアップ手順
1. Azure Portalにログインする
https://azure.microsoft.com/ja-jp/ にアクセスしてログインします。
2. Microsoft Entra ID を選択する
Azure Portal 上部の検索バーに「entra id」と入力し、表示された「Microsoft Entra ID」(旧「Azure Active Directory」)を選択します。

3. エンタープライズアプリケーションを開く
左側のメニューの「エンタープライズ アプリケーション」をクリックします。

4. アプリケーションを作成する
新しいアプリケーションをクリックします。

5. 「独自のアプリケーションを作成」をクリックします。

6. アプリ名(任意)を入力し、「ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)」を選択して、「作成」をクリックします。

7. シングルサインオンを設定する
遷移先の画面で「2. シングル サインオンの設定」をクリックします。

8. SAMLを選択します。

9. SAML構成を編集する
「基本的な SAML 構成」の編集をクリックします。

10. エンティティIDと応答URLを入力する
遷移先の画面にて、「識別子 (エンティティ ID)」、「応答 URL」を入力します。これらの値は、PigeonCloud の画面右上のアイコンをクリックし、表示されるメニューから「管理者設定」を選択します。

管理者設定画面のサイドバー「認証」グループにある「シングルサインオン」をクリックすると、SSO設定画面が開きます。

SSO設定画面の「クライアント情報」欄に、「識別子 (エンティティ ID)」と「応答 URL」が記載されています。

「識別子 (エンティティ ID)」、「応答 URL」を入力した後、左上の保存をクリックします。

11. 属性とクレームを編集する
「属性とクレーム」セクションの「編集」をクリックします。

12. 「追加の要求」の各行をクリックし、名前空間を空(削除)にしたうえで、クレーム名を下表のとおり変更して、それぞれ「保存」をクリックします。
| 変更前(クレーム名) | 変更後(クレーム名) | ソース属性 |
|---|---|---|
| emailaddress | user.mail | |
| givenname | first_name | user.givenname |
| name | user_principal_name | user.userprincipalname |
| surname | last_name | user.surname |



14. 変更後、下記画像のようになっているか確認します。

15. メタデータXMLをダウンロードしてPigeonCloudに登録する
「SAML 証明書」セクションにある「フェデレーション メタデータ XML」の「ダウンロード」をクリックします。

ダウンロードされたメタデータを、10で確認したページの「Microsoft 365 SAML設定」内、「フェデレーションメタデータXML」にドロップします。

16. アプリケーションにユーザーを割り当てる(SSOを許可するユーザーの指定)
ここで行うのは、Azure 側でこのアプリケーション(PigeonCloud)への SSO ログインを許可する Microsoft 365 ユーザーを割り当てる操作です。PigeonCloud 側でユーザーを事前に作成する必要はありません(SSO ログイン時に自動的に作成されます)。SSO でログインできるユーザーを限定したい場合に、ここで対象ユーザーを割り当てます(Azure の「ユーザーの割り当てが必要ですか?」を「はい」にすると、割り当てたユーザーだけがログインできるようになります)。
今回作成したアプリケーションに、ログインを許可するユーザーを割り当てます。「ユーザーとグループ」をクリックします。

17. ユーザーまたはグループの追加をクリックします。

18. 左側にあるユーザーをクリックして、メールアドレスでユーザーを検索し、ユーザーを選択、最後に割り当てを押してアプリケーションにユーザーを追加します。
※ユーザーを追加した際は、17以降の作業を再度行わないとログインできないため、予めご注意ください。

※ SSOログインのみ(組織連携が不要な場合)は、ここまでで設定完了です。
PigeonCloud の「Microsoft 365 SAML設定」でフェデレーション メタデータ XML をアップロードしたら、「Microsoft 365 SAML設定を保存」をクリックし、「Microsoft 365 SAML認証を有効化」をONにすれば、Microsoft 365 アカウントでのログインが利用できます。Client ID・Client Secret の入力は不要です。
ユーザー・グループの同期(組織連携)が必要な場合のみ、続けて下記の「Microsoft Graph API 設定手順」を実施してください。
Microsoft Graph API 設定手順(ユーザーの同期やグループの同期設定)
1. Azure Portalにログインする
https://azure.microsoft.com/ja-jp/ にアクセスしてログインします。
2. Microsoft Entra ID を選択する
Azure Portal 上部の検索バーに「entra id」と入力し、表示された「Microsoft Entra ID」(旧「Azure Active Directory」)を選択します。

3. アプリの登録を開く
「アプリの登録」をクリックし、すべてのアプリケーション、作成したアプリケーションを選択します。

4. APIのアクセス許可を設定する
「APIのアクセス許可」をクリックします。

5. 「アクセス許可の追加」をクリックし、「Microsoft Graph」を選択します。

6. アプリケーションの許可を選択します。

7. Directory.Read.Allを検索し、その権限をチェックします。

8. 同様に、User.Read.Allと検索し、チェックします。

9. アクセス許可の追加をクリックします。
10. アプリ名に管理者の同意を与えますをクリックして、「はい」を押します。

11. クライアントIDとシークレットを確認する
次に、設定に必要なclient_id, client_secret, Client Secretの有効期限を確認します。
a. client_id:Microsoft Entra ID→アプリの登録→すべてのアプリケーション→作成したアプリを選択→アプリケーションIDです。

b. client_secretとClient Secretの有効期限:上記画像の証明書またはシークレットの追加をクリック→「クライアント シークレット」セクションで、「新しいクライアント シークレット」ボタンをクリック→説明 pigeon, 有効期限 730日にして追加をクリック→値(この有効期限が切れた場合には、再度設定を行ってください) この値は1回しか表示されないので、安全な場所に保存しておいてください。


これらを、画面右上のアイコンをクリックし、「管理者設定」を選択します。表示された管理者設定画面のサイドバーから「認証」→「シングルサインオン」をクリックし、シングルサインオン設定画面内「Microsoft 365 SAML設定」で、それぞれ「Client ID」「Client Secret」「Client Secretの有効期限」に入力します。

12. 「Microsoft 365 SAML設定を保存」をクリックします。
「Microsoft 365 SAML認証を有効化」をOFFにすると、この設定を無効にすることが出来ます。
組織連携に関する設定
保存ボタンを押したのち、組織連携に関する設定を行うことが出来ます。
組織連携がONの場合にも、組織名連携はOFFにする、といった設定が可能です。

ログイン時のユーザーの紐付け・自動作成について
Microsoft 365 SAML SSO でログインすると、PigeonCloud 側で既存ユーザーとの紐付けが自動的に行われます。紐付けは次の順序で判定され、いずれにも一致しない場合は新規ユーザーが自動的に作成されます(自動プロビジョニング)。
| 順序 | PigeonCloud側 | Microsoft側 | 動作 |
|---|---|---|---|
| 1 | office_user_id | ユーザープリンシパル名(UPN) | 一致するユーザーでログイン |
| 2 | メールアドレス(emailカラム) | 社員番号(employee_id)※ | 一致するユーザーを見つけて紐付けし、ログイン |
| 3 | (該当なし) | - | 新規ユーザーを自動作成 |
※ Entra ID 側で社員番号(employee_id)が未設定の場合は、ユーザープリンシパル名(UPN、通常はメールアドレスと同じ値)が代わりに使用されます。
初回ログイン時にステップ2で紐付けが成功すると、以降はステップ1の office_user_id で紐付けされます。新規作成時は、社員番号(または UPN)が PigeonCloud のメールアドレス(emailカラム)に保存されます。
この自動作成(自動プロビジョニング)は、組織連携の有無(SSOログインのみ/組織連携あり)に関わらず動作します。SSOでログインしたユーザーは、PigeonCloud に該当するユーザーがいなければ自動的に追加されます。
オンプレミスのソフトウェア アセット管理アカウント名とログインIDを同期したい場合
1. SAML認証セットアップ手順の11番、属性とクレームの編集をクリックします。

2. 新しいクレームの追加をクリックします。

3. 名前に「employee_id」を入力、ソース属性は「user.onpremisessamaccountname 」を選択して、保存をクリックします。

4. 以上で設定は完了です。オンプレミスのソフトウェア アセット管理アカウント名とログインIDが一致しているユーザーでログインできるようになります。