Udemy BusinessのEntra ID（Azure AD）でSSOを設定する方法 – Udemy Business

この記事では、セキュリティアサーションマークアップランゲージ（SAML 2.0）を使用してUdemy Business向けにシングルサインオン（SSO）を設定する手順を説明します。

Azure AD用Udemy Business SAMLメタデータにアクセス。
コホートラーニング: Udemyのコホートラーニングのプラットフォーム、Corp UでのSSOの設定方法はこちら（英語）をご覧ください。

メモ:

ギャラリーアプリを使用している場合は、SCIMと互換性がないことに注意してください。SCIMを使用する予定がある場合は、ギャラリー以外のアプリケーションを作成してください。
すでにUdemyで構成されたEntraのインスタンスがある場合は、この記事の「Udemy Business用の追加Entra IDインスタンスの設定」セクションを確認してください。

Azureでシングルサインオン（SSO）を設定する

Azureポータルにログインし、Microsoft Entra IDをクリックします。

次に、エンタープライズアプリケーションをクリックします。

トップバーにある+ 新しいアプリケーションをクリックします。

アプリケーションを作成するを選択します。

新しいアプリケーションの名前を入力し、最後にあるギャラリーにないその他のアプリケーションを統合する（ギャラリー以外）をクリックします。

次に、シングルサインオンのセットアップを選択します。

シングルサインオンモードで、SAMLベースのサインオンを選択します。

SAMLでシングルサインオンを設定する画面に表示されている3つの手順に従います。Azure ADのページ上部に詳細な設定ガイドが表示されます。詳しくはそちらでも確認できます。

Azure sandbox sso saml set up.png

手順1: 基本的なSAML構成:

識別子（エンティティID）フィールドに、https://www.udemy.com/sso/samlと入力します。

メモ: エンティティIDが別のSSOアプリケーションで使用されている場合は、Udemy Businessに連絡して一意のエンティティIDを作成し、カスタムメタデータファイルを生成してください。

応答URLフィールドに、https://sso.connect.pingidentity.com/sso/sp/ACS.saml2と入力します。
サインオンURLフィールドに、Udemy BusinessアカウントのURL: https://{yoursubdomain}.udemy.comを入力します。
Relay State（任意）: https://pingone.com/1.0/d905a6ca-adf9-45e2-9b9d-0d6485f27206
ログアウトURL（任意）: シングルログアウトを設定する場合は、https://sso.connect.pingidentity.com/sso/SLO.saml2を入力します

これらすべてのフィールドを追加したら、保存をクリックします。

手順2: ユーザー属性と要求

サイドバーのシングルサインオンタブに戻り、属性と要求セクションの「編集」をクリックします。

追加の要求セクションで、user.mail値をクリックします。

メールアドレスを「email」に更新します（すべて小文字にしてください）
名前空間URIを削除する
ソース属性��は、Azure ADからUdemyに転送するメールの値を必ず選択してください。これはユーザーアカウントの主な識別子になります。

user.mail.png

SAMLアサーションにさらにオプションの属性（追加の要求）を追加するには、新しい要求の追加をクリックするか、既存の要求を編集してプロセスを繰り返します。

属性の追加が終了したら、保存をクリックして属性設定を完了します。

attributes and claims.png

Udemy Businessは次のSAML属性に対応しています

メモ: すべての属性で大文字と小文字の違いやスペースの有無が区別されますが、コロンは含まれません。適切な形式にするために、以下のリストから直接コピーして貼り付けてください。

必須属性

email: ユーザーの固有のメールアドレス

任意属性

firstName: ユーザーの名
middleName: ユーザーのミドルネーム（該当する場合）
lastName: ユーザーの姓
displayName: 完全にフォーマットされたユーザー名
Name ID: 名前が重複している場合に使用する識別子
groups: ユーザーが所属するグループのリストメモ: グループを渡す予定がない場合、この属性を送信しないでください。既存のグループが上書きされてしまいます。
externalID: 顧客が指定する固有のユーザーID
lmsUserID: 顧客が指定する固有のユーザーID

手順3: SAML署名証明書セクションで、フェデレーションメタデータXMLの隣にある「ダウンロード」をクリックすると、メタデータファイルがエクスポートされます。

メタデータファイルをダウンロードしたら、「管理」>「設定」>「シングルサインオン（SSO）」でUdemy Business SSOの設定に移動します。「設定を開始」をクリックして、IDプロバイダー（この場合はAzure）を選択します。

Udemy BusinessアカウントのSSO設定ページで、接続に名前を付け、AzureからダウンロードしたメタデータXMLファイルをアップロードし、任意のSSO設定を行います。

任意のSSO設定の詳細については、IDプロバイダーページでのSSO設定に関する記事を参照してください。

メモ: 接続をテストして正常に設定完了するまで、SSOプロバイダー経由のログインのみを有効にしないでください。 SSOが適切に設定されていない場合、すべてのユーザーがUdemy Businessにログインできなくなります。

保存をクリックします。

SSO接続が有効になりました。

Udemy Businessのユーザーとグループの管理をAzureテナント内で直接設定できるようになりました。概要については、以下のAzureでUdemy Businessへのユーザーとグループを追加する手順を参照してください。
Azure Active Directory（AD）でSCIMプロビジョニングを設定する方法をご覧ください。

AzureでUdemy Businessにユーザーとグループを追加する

Click on Azure Active Directory.

エンタープライズアプリケーションをクリックします。

一覧から、新規作成したアプリケーションを選択します。

ユーザーとグループをクリックします。

「ユーザーの追加」>「ユーザーとグループ」の順にクリックします。

アプリケーションに追加するすべてのユーザーを選択します。次に、選択をクリックします。

以上でAzure ADによるUdemy Business向けのSSOの設定は終了です。

Udemy Business用の追加Entra IDインスタンスの設定

Udemy Businessと統合するために追加のEntra ID（Azure AD）インスタンスを設定する場合は、正しく設定できるように以下の手順に従ってください。各SSO接続には、競合を避けるために一意の識別子を使用する必要があります。

1. 一意のIdPエンティティIDの取得

各追加の統合に対して一意のIdP EntityIDを生成するには、Entra SAML設定でApp ID URIを有効にする必要があります。

以下の手順に従って、
各UdemyインスタンスごとにAzure AD（Entra ID）から一意のエンティティIDを取得します。

手順1: 発行者（お客様）に対してアプリケーションIDを有効にする

EntraでUdemyアプリケーションに移動します。SAML設定内で「属性と要求」に移動します。
「詳細設定」に移動します。
「高度なSAML要求オプション」を編集します。
「発行者にアプリケーションIDを追加」のチェックボックス��オンにして、保存します。

Append Application ID to Issuer.png

手順2: メタデータファイルにアプリケーションIDを追加する（Udemy）

1. SAML設定に戻り、「SAML証明書」に移動します。次に、「アプリフェデレーションメタデータURL」をコピーします。

metadata download.png

2. URLをブラウザのウィンドウに貼り付け、「アプリケーションID」をコピーします。

append metadata.png

3. ページをXMLファイルとして保存するか、前のページに戻ってフェデレーションメタデータXMLをダウンロードします。

Metadata download.png

4. メタデータファイルをテキストドキュメントで開きます。次に、EntityIDの隣にアプリIDを追加します。Ctrl+Fキーを押して「entityID」と入力し、適切なセクションを検索できます。

5. 例えば、EntityID が「https://sts.windows.net/728f03be-40cd-47a7-8ff3-58569e27d1c5/」の場合

次のように更新します:

"https://sts.windows.net/728f03be-40cd-47a7-8ff3-58569e27d1c5/44234257-31f0-4928-9762-5913dd59dd36"

append complete.png

6. 更新されたメタデータファイルを保存します。

2. 一意のSP Entity IDを取得する

各Entra ID（Azure AD）とUdemyの統合には、それぞれ独自のSP EntityIDが必要です。

新しいIdP EntityIDを作成し、メタデータファイルにApp IDを付加した後、更新されたメタデータファイルをUdemyサポートと共有してください。さらに、他の環境で現在設定されているすべてのUdemy/Entra SP EntityIDの包括的なリストを必ず含めてください。これにより、環境間での一貫性を確保し、設定の競合を回避することができます。
Udemyチームは、その後、メタデータファイルをアップロードし、SSO接続を設定します。その後、独自のSP EntityIDを提供いたします。

メモ:

シングルサインオンとプロビジョニングをご利用いただけるのは、Udemy Businessエンタープライズプランのお客様です。
Azure ADでプロビジョニングが行われているユーザーは、Udemy Businessの初回ログインを行うまでライセンスを必要としません。
SCIMプロビジョニングに変更を加えた場合、Azure ADからUdemy Businessへの同期のみ可能であり、逆はできません。
Azure ADのSCIMで管理されているユーザーやグループにUdemy Businessアプリから変更を加えることはできません。ユーザーおよびグループのデータに関して信頼できる唯一の情報源はSCIMです。
Azure ADに、Udemy Businessを利用しないユーザーや、除外すべきユーザー（例: 請負業者、派遣社員）が含まれている場合は、これまでどおり手動でUdemy Businessでグループを作成してください。