AAD SAMLの”属性とクレーム”に設定すべき値

2023年7月3日2023年9月3日

・ギャラリーにないエンタープライズアプリケーションが、AADをSAMLのIDPとして使いたいとの要件

・属性とクレーム”　に何を設定すればよいかわからなかったので調べてみた

・どの属性、クレームで設定するかは、アプリーケーション側に確認しないといけない（アプリケーション側が、トークンにどのような属性、クレームを含めてくることを想定しているか次第）

結論

Azure Active Directory（Azure AD）のSAMLベースのシングルサインオン（SSO）を設定する際の “属性とクレーム" の項目は、ユーザー情報をサービスプロバイダ（SP）に伝えるための情報です。これらの属性とクレームは、SAMLトークンに含まれ、アプリケーションがユーザーを認証し、必要な情報に基づいて適切なアクセス権限を付与するために使用されます。

一般的には、以下のようなクレームが使用されます：

1. ユーザー識別子（Name ID）：ユーザーを一意に識別するための情報。通常は、ユーザーの電子メールアドレスやユーザー名などが使用されます。
2. 属性ステートメント：ユーザーに関する追加情報。これには、ユーザーの名前、役職、部署などが含まれることがあります。これらの属性は、アプリケーションがユーザーに特定のサービスを提供するために必要とする情報を提供します。
3. ロール：ユーザーがアプリケーションで持つべきロールや権限。これは、ユーザーがアプリケーションの特定の部分にアクセスできるようにするために使用されます。

これらの値は、Azure ADの “属性とクレーム" の設定ページで設定できます。このページでは、各クレームの名前、ソース属性（クレームの値を取得するために使用されるユーザーの属性）、およびその他のオプションを設定することができます。

ただし、どの属性とクレームを設定するべきかは、アプリケーションの要件によります。アプリケーションが特定のクレームを必要とする場合、それらのクレームを設定する必要があります。