Udemy BusinessのEntra ID（Azure AD）でSSOを設定する方法

この記事では、セキュリティアサーションマークアップランゲージ（SAML 2.0）を使用してUdemy Business向けにシングルサインオン（SSO） を設定する手順を説明します。

• Azure AD用Udemy Business SAMLメタデータはこちら。
• コホートラーニング: Udemyのコホートラーニングのプラットフォーム、Corp UでのSSOの設定方法はこちら（英語）をご覧ください。

メモ: ギャラリーアプリを使用している場合は、SCIMと互換性がないことに注意してください。SCIMを使用する予定がある場合は、ギャラリー以外のアプリケーションを作成してください。

Azureでシングルサインオン（SSO）を設定する

Azureポータルにログインし、Microsoft Entra IDをクリックします。

次に、エンタープライズアプリケーションをクリックします

 トップバーにある+ 新しいアプリケーションをクリックします。

 アプリケーションを作成するを選択します。

新しいアプリケーションの名前を入力し、最後にあるギャラリーにないその他のアプリケーションを統合する（ギャラリー以外）をクリックします。

次に、シングルサインオンのセットアップを選択します。

シングルサインオンモードで、SAMLベースのサインオンを選択します。

SAMLでシングルサインオンを設定する画面に表示されている3つの手順に従います。Azure ADのページ上部に詳細な設定ガイドが表示されます。詳しくはそちらでも確認できます。

手順1: 基本的なSAML構成:

• 識別子（エンティティID）フィールドに、https://www.udemy.com/sso/samlと入力します。

メモ: エンティティIDが別のSSOアプリケーションで使用されている場合は、Udemy Businessに連絡して一意のエンティティIDを作成し、カスタムメタデータファイルを生成してください。

• 応答 URLフィールドに、https://sso.connect.pingidentity.com/sso/sp/ACS.saml2と入力します。
• サインオンURLフィールドに、Udemy BusinessアカウントのURL: https://{yoursubdomain}.udemy.comを入力します。
• Relay State（任意）: https://pingone.com/1.0/d905a6ca-adf9-45e2-9b9d-0d6485f27206
• ログアウトURL（任意）:シングルログアウトを設定する場合は、https://sso.connect.pingidentity.com/sso/SLO.saml2を入力します。

これらすべてのフィールドを追加したら、保存をクリックします。

手順2: ユーザー属性と要求

サイドバーのシングルサインオンタブに戻り、属性と要求セクションの「編集」をクリックします。

追加の要求セクションで、user.mail値をクリックします。

• メールアドレスを「email」に更新します（すべて小文字にしてください）
• 名前空間URIを削除する
• ソース属性には、Azure ADからUdemyに転送するメールの値を必ず選択してください。これはユーザーアカウントの主な識別子になります。

SAMLアサーションにさらにオプションの属性（追加の要求）を追加するには、新しい要求の追加をクリックするか、既存の要求を編集してプロセスを繰り返します。

属性の追加が終了したら、保存をクリックして属性設定を完了します。

Udemy Businessは次のSAML属性に対応しています

メモ: すべての属性で大文字と小文字の違いやスペースの有無が区別されますが、コロンは含まれません。適切な形式にするために、以下のリストから直接コピーして貼り付けてください。

必須属性

• email: ユーザーの固有のメールアドレス

任意属性

• firstName: ユーザーの名
• middleName: ユーザーのミドルネーム（該当する場合）
• lastName: ユーザーの姓
• displayName: 完全にフォーマットされたユーザー名
• Name ID: 名前が重複している場合に使用する識別子
• groups: ユーザーが所属するグループのリスト. メモ: グループを渡す予定がない場合、この属性を送信しないでください。既存のグループが上書きされる可能性があります。 
• externalID: 顧客が指定する固有のユーザーID
• lmsUserID : 顧客が指定する固有のユーザーID

手順3: SAML署名証明書セクションで、 フェデレーションメタデータXMLの隣にある「ダウンロード」をクリックすると、メタデータファイルがエクスポートされます。

メタデータファイルをダウンロードしたら、「管理」>「設定」>「シングルサインオン（SSO）」でUdemy Business SSOの設定に移動します。「設定を開始」をクリックして、IDプロバイダー（この場合はAzure）を選択します。

Udemy BusinessアカウントのSSO設定ページで、接続に名前を付け、AzureからダウンロードしたメタデータXMLファイルをアップロードし、任意のSSO設定を行います。

任意のSSO設定の詳細については、IDプロバイダーページでのSSO設定に関する記事を参照してください。

メモ: 接続をテストして正常に設定完了するまで、SSOプロバイダー経由のログインのみを有効にしないでください。SSOが適切に設定されていない場合、すべてのユーザーがUdemy Businessにログインできなくなります。

保存をクリックします。

SSO接続が有効になりました。

• Udemy Businessのユーザーとグループの管理をAzureテナント内で直接設定できるようになりました。概要については、以下のAzureでUdemy Businessへのユーザーとグループを追加する手順を参照してください。
• Azure Active Directory（AD）でSCIMプロビジョニングを設定する方法。

AzureでUdemy Businessにユーザーとグループを追加する

Azure Active Directoryをクリックします。

エンタープライズアプリケーションをクリックします。

一覧から、新規作成したアプリケーションを選択します。

ユーザーとグループをクリックします。

「ユーザーの追加」>「ユーザーとグループ」の順にクリックします。

アプリケーションに追加するすべてのユーザーを選択します。次に、選択をクリックします。

以上でAzure ADによるUdemy Business向けのSSOの設定は終了です。

メモ:

• シングルサインオンとプロビジョニングをご利用いただけるのは、Udemy Businessエンタープライズプランのお客様です。
• Azure ADでプロビジョニングが行われているユーザーは、Udemy Businessの初回ログインを行うまでライセンスを必要としません。 
• SCIMプロビジョニングに変更を加えた場合、Azure ADからUdemy Businessへの同期のみ可能であり、逆はできません。 
• Azure ADのSCIMで管理されているユーザーやグループにUdemy Businessアプリから変更を加えることはできません。ユーザーおよびグループのデータに関して信頼できる唯一の情報源はSCIMです。
• Azure ADに、Udemy Businessを利用しないユーザーや、除外すべきユーザー（例: 請負業者、派遣社員）が含まれている場合は、これまでどおり手動でUdemy Businessでグループを作成してください。