この記事では、Microsoft Entra IDを使用してKnowBe4アカウントのシングルサインオン（SSO）を設定する方法を説明します。SSOを設定すると、Microsoft Entra IDを使用してKnowBe4にユーザーを割り当てることができるようになります。これにより、ユーザーはMicrosoft Entra IDを使用してKnowBe4の受講者ホーム（LX）にログインできるようになります。 

Microsoft Entra IDを使用してKnowBe4のSSOを設定する方法については、以下のセクションを参照してください。 

Microsoft Entra IDにKnowBe4アプリケーションを追加する

Microsoft Entra IDを使用してSSOの設定を開始するには、Microsoft Entra IDアカウントにKnowBe4アプリケーションを追加する必要があります。 

KnowBe4 アプリケーションをMicrosoft Entra IDアカウントに追加するには、以下のステップに従って操作します。

1. Microsoft Entra ID の管理者アカウントにログインします。
2. ナビゲーションパネルから、[エンタープライズアプリケーション] > [すべてのアプリケーション]に移動します。
3. ページの右上にある[＋新しいアプリケーション]ボタンをクリックします。
4. [ギャラリーから追加する]フィールドに「KnowBe4」と入力します。
5. [KnowBe4 Security Awareness Training]（KnowBe4セキュリティ意識トレーニング）アプリケーションを選択します。
6. ウィンドウが開いたら、アプリケーションの名前を自由に入力します。
7. ウィンドウ下部にある[追加]ボタンをクリックします。
8. ナビゲーションパネルで、[シングルサインオンタブ]を選択します。
9. ［SAML］方式を選択します。

次に、KnowBe4固有の[SSOサインインURL]を取得します。Microsoft Entra IDでSSOを設定するには、この情報が必要です。 

[SSOサインインURL]を取得するには、以下のステップに従って操作します。

10. 新しいウィンドウまたはタブで、KnowBe4アカウントにログインします。 
11. ページの右上隅にある自分のメールアドレスをクリックします。
12. [アカウント設定]を選択します。
13. [アカウント統合] > [SAML]に移動します。
14. 独自の[SSOコールバック（ACS）URL]と [SSOサインインURL]を探します。下記のステップ3bで、この情報をMicrosoft Entra IDにコピー＆ペーストする必要があります。

最後に、以下のステップに従って、Microsoft Entra IDのSSO設定を完了します：

15. Microsoft Entra IDポータルに戻ります。 
16. [基本的なSAML構成]セクションで、鉛筆のアイコンをクリックします。 
17. このページのフィールドを編集します。必須フィールドの詳細については、以下のスクリーンショットと情報を参照してください。
    1. アカウント設定で固有のエンティティIDを生成していない場合は、[識別子]フィールドに「KnowBe4」を入力します。生成している場合には、固有のエンティティIDを入力してください。
       重要：KnowBe4は大文字と小文字を区別します。
    2. [応答URL]テキストフィールドに、上記のステップ5で取得した一意の[SSOコールバック（ACS）URL]を入力します。例えば、「https://training.knowbe4.com/auth/saml/xxxxxxxxxxxx/callback 」と入力します。
    3. [サインオンURL]テキストフィールドに、上記のステップ5で取得した一意の[SSOサインインURL]を入力します。例えば、「https://training.knowbe4.com/auth/saml/xxxxxxxxxxxx」と入力します。
    注：特別な状況では、Microsoft Entra ID ポータルの[基本的なSAML構成]にあるその他のフィールドに入力する必要がある場合があります。例えば、Microsoft Entra IDで多要素認証（MFA）を使用している場合は、[リレー状態]フィールドにコールバックリンクを追加する必要があります。
    
18. このページのフィールドに入力したら、[保存]ボタンをクリックしてください。
19. [ユーザー属性とクレーム]セクションで、鉛筆のアイコンをクリックして属性を編集します。
20. 以下の属性を削除します。
    • givenname
    • surname
    • emailaddress
    • name
21. 鉛筆のアイコンをクリックして、[一意のユーザー識別子]属性を編集します。
22. [ソース属性]フィールドで、属性がuser.userprincipalnameであることを確認します。ユーザーにメールアドレスでログインさせる場合は、この属性をuser.mailに更新することができます。
    注：Microsoft Entra IDにSCIMを使用している場合、この属性はSCIMの[ソース属性]と同じでなければなりません。デフォルトでは、SSOの[ソース属性]はuser.userprincipalnameになります。 詳細については、「Microsoft Entra IDのSCIMを設定する方法」の記事の「高度な設定オプション」のセクションを参照してください。
23. [保存]ボタンをクリックします。 
24. [SAML 署名証明書]セクションで、[拇印]をコピーします。
25. [設定]セクションで、[ログインURL]をコピーします。上記の[拇印]に加えて、この情報が必要になります。

Microsoft Entra IDを使用してKnowBe4にユーザーを割り当てる

KnowBe4アプリケーションをMicrosoft Entra IDに追加したら、アプリケーションにユーザーとグループを割り当てることができます。 

KnowBe4アプリケーションにユーザーとグループを割り当てるには、以下のステップに従って操作します。

1. Microsoft Entra ID の管理者アカウントにログインします。 
2. [エンタープライズアプリケーション] > [すべてのアプリケーション]に移動します。
3. KnowBe4アプリケーションを選択します。 
4. ナビゲーションパネルから、[ユーザーとグループ]タブを選択します。
5. [+ ユーザーを追加]ボタンをクリックします。
6. KnowBe4アプリケーションに割り当てるユーザーまたはグループを選択します。
7. [選択]ボタンをクリックします。
8. 必要な全てのユーザーやグループを追加したら、[割り当て]ボタンをクリックします。

KnowBe4アカウントでMicrosoft Entra IDを設定する

設定を完了するには、Microsoft Entra IDの[ログインURL]と[拇印]をKnowBe4のアカウント設定に入力する必要があります。

この情報をアカウント設定に入力する方法については、「セキュリティ意識トレーニングプラットフォームでSAMLシングルサインオンを設定する方法」の記事を参照してください。

新しい証明書を作成して、拇印を更新する

Microsoft Entra IDのSAML 証明書の有効期限が切れるときには毎回、新しい証明書を作成して有効にする必要があります。次に、KnowBe4アカウントのSAML拇印を更新する必要があります。 

新しい証明書を作成し、拇印を更新するには、以下のステップに従って操作します。

1. Microsoft Entra ID の管理者アカウントにログインします。 
2. [エンタープライズアプリケーション] > ［すべてのアプリケーション]に移動します。
3. KnowBe4アプリケーションを選択します。 
4. ナビゲーションパネルで、[シングルサインオンタブ]を選択します。
5. このページの[SAML署名証明書]のセクションで、鉛筆のアイコンをクリックします。
6. [+ 新しい証明書]ボタンをクリックします。
7. カレンダーのアイコンを選択します。
8. 証明書の有効期限を選択します。
9. [保存]ボタンをクリックします。
10. 作成した証明書の横にある3点ドットのアイコンをクリックします。
11. [証明書をアクティブにする]ボタンをクリックします。
12. [拇印]の列に、新しい拇印をコピーします。下記のステップ5で、この拇印をKnowBe4アカウントに貼り付ける必要があります。

次に、以下のステップに従って、KnowBe4アカウントの拇印を更新する必要があります：

13. 自分のKnowBe4アカウントにログインします。 
14. ページの右上隅にある自分のメールアドレスをクリックします。
15. [アカウント設定]を選択します。 
16. [アカウント統合] > [SAML]に移動します。
17. 新しい証明書の拇印を[IdP証明書のフィンガープリント]フィールドに貼り付けます。
18. ページの一番下までスクロールします。 
19. 次に、[変更を保存]ボタンをクリックします。