SaaS連携！Azure ADのOne Click SSOを試してみた！Dropbox編

どうも、takeru55555(@takeru55555)です。
この記事はOffice 365 Advent Calendar 2019の12/17の回として書かせていただいております。365のAdvent Calendarにはかれこれ四年連続で参加させていただいており、今年も例年通り当日ギリギリに書いております笑
（そしてあまりにも飽きっぽくて毎年この時期にしか記事を書かないことは内緒です。）

私はこのはてなブログの他にnoteも書いているのですが、先日IDのライフサイクルを考慮したSaaS設計が今後より重要性を増してくる、という内容の記事を書かせていただきました。
note.com

今回はこの内容をもう少し技術的な観点でIDaasとしてのAzure ADについて書きたいと考えております。
なお、技術的な話にフォーカスしておりますので、会社の中でSaaSを管理しているSaaSアドミン、もしくはIT部門でIDaasを検討している、もしくは運用している方向けの記事とさせていただければと考えております。

SaaS時代のIDの重要性

先日オーランドで行われたIgniteに行ってきました。たくさんのセッションがあったのですが、その中でもID管理に関連するセッションが多々あり、今後より重要性を増してくる分野なことは明らかです。
その裏付けとして、2022年までにグローバルで活躍するミッドサイズ以上の企業の40%がIDaasを利用するだろうという数値も出ておりました。
私自身も日頃お客様と会話する中で業務部門が主導でSaaSを導入することが増えてきているという話をよく聞きます。時代はSaaS全盛。その流れは必然なのですが、重要なことは、生産性とセキュリティをトレードオフにせずに両方を最大限生かすということだと考えています。
業務部門がセキュリティを鑑みずに勝手にシステムを導入することも違うし、IT部門が頭ごなしに業務部門の導入計画に対してNoということでもありません。
必要なことは生産性とセキュリティを高めること、そしてその一つの答えがIDaasであると考えています。

ちなみに私が参加したセッションの中で非常に面白いと感じたのが、HRとIT部門と業務部門がいかに協業しIDのライフサイクルを鑑みてSaaSを導入すべきか、というセッションです。このセッションではSMBCさんも事例として取り上げられておりました。（日本の企業が取り上げられるのは嬉しいですね）
Channel 9でも視聴可能ですので、興味がある方は是非。（非常に聞き取りやすい英語です）
https://myignite.techcommunity.microsoft.com/sessions/81726

今回はIDaasとしてAzureADを使い、かつ新しい昨日のOne Click SSOという機能を試してみます。

One Click SSOとは？

One Click SSOはAzure ADの比較的新しい機能で、非常に容易にSAML連携を構成できる機能です。詳細は下記のブログを参照してください。
docs.microsoft.com

なお、今回はタイトル通りDropboxでSAML連携をし、シングルサインオンを構成してみたいと思います。

DropboxとOne Click SSOでSAML連携

基本的には下記の手順の通りです。
docs.microsoft.com

感動するくらい簡単にSSOが実現できます。
特にすごいと感じたのが、ブラウザのアドオンを入れておくと、Azure ADからDropboxを呼び出し、ほとんどの作業を自動でやってくれます。
今までSAMLの構成は入力すべき項目が多く、非常にわかりづらいものだったのですが、これは非常に画期的だなと感じました。

なお、手順で少しわかりづらいところがあり、「Azure AD SSO の構成」- 「4.[基本的な SAML 構成] 」の中で「応答URL」は下記の値を入れてください
https://www.dropbox.com/saml_login

また、「サインオン URL」については、「[Single sign-on](シングルサインオン) セクション」でDropboxから生成される値を上書きする形なります。
そのため、まずは適当な項目（https://www.dropbox.com/sso/test）等を入力してください。

上記の手順で非常に簡単に構成ができます。