Heroku での Azure Active Directory ID SSO の設定
最終更新日 2022年01月27日(木)
Heroku での SSO は現在、Heroku Enterprise のお客様のみに提供されています。他の SSO プロバイダー向けの具体的な手順については、「Heroku でのシングルサインオンサービスの使用 (管理者向け)」の記事を参照してください。
Azure AD は、Active Directory (AD) で Heroku へのシングルサインオン (SSO) ユーザーログインを提供するための ID プロバイダー (“IdP”) として機能できます。
Heroku では、通常であれば別のアカウントとログインを必要とする認証サービスを製品に提供するために企業や会社で広く使用されている標準である SSO が SAML 経由でサポートされます。
Heroku での SSO を使用するための既存の Active Directory の設定には約 15 分かかり、Azure と Heroku の Web インターフェースに関連する主な手順として次の 2 つがあります。
手順 1: ID プロバイダー (“IdP”) 側 (Azure AD) を設定する
管理者は、Azure Portal にログインし、Active Directory を参照して Heroku での SSO を有効にするディレクトリを選択します。
ディレクトリ用の SAML アプリケーションを作成および設定する
- Applications (アプリケーション) に移動し、フッターメニューから Add (追加) を選択します。
- Add an application my organization is developing (組織で開発しているアプリケーションを追加する) を選択します。
- アプリケーションに名前を付け、Web application and/or Web App (Web アプリケーションか Web アプリ、またはその両方) を選択します。
- SSO 設定の Heroku Organization 設定ページで指定された次の情報を使用して、アプリのプロパティを入力します。
- Sign-on URL (サインオン URL): ‘Heroku ログイン URL’ を指定します。
- App ID URI (アプリ ID URI): ‘ACS URL’ を指定します。
- アプリが正常に追加されたら、Enable users to sign on (ユーザーのサインオンを有効にする) に移動します。
- “FEDERATED METADATA DOCUMENT URL” をコピーし、その URL を新しいブラウザウィンドウに貼り付けます。ファイルをローカルマシンに保存します (このドキュメントは後で必要になるため、覚えやすい場所に保存すること)。
手順 2: サービスプロバイダー側 (Heroku) を設定する
- Heroku の Web インターフェースで、SSO を設定する Heroku 組織を選択します。
- この組織の
Settings (設定) タブで、フェデレーションメタデータドキュメントの XML ファイルをアップロードします。
以上で、SSO が Azure IdP を通して Active Directory ユーザーに対して有効になりました。Heroku ユーザーは、設定された “Heroku ログイン URL” から Azure の資格情報を使用してログインできるようになります。