このブログも、WordPressを利用していますが、WordPressは使っている方が多い分、悪い攻撃者の格好の標的になっています。でも、やっぱり使いやすい。情報もたくさんあるし…。
いろいろと対策するけど、やっぱり、IDの管理がセキュリティの基本!と思うので、最強のIdPであるMicrosoft Entra IDを使って、WordPressとSSO連携してみました。
なかなか情報がない中、手探りでやってみたので、誰かの役に立てば幸いです。
なぜSSOを導入するのか?
- パスワード管理の負担軽減:ユーザーはEntraIDのアカウント(職場アカウント)でログインできるので、WordPress用の別パスワードの管理不要。
- セキュリティ強化:Entra IDの多要素認証や条件付きアクセスをそのまま利用可能。
- 運用効率化:ユーザー管理を一元化できる。
手順はたった3ステップ
(1)WordPressにSSOプラグインを導入
- OneLogin SAML SSOプラグインをインストールして有効化。
- メタデータXMLを取得しておきます。
(2)Entra IDにWordPressアプリを登録
- Entra管理センターで「エンタープライズアプリケーション」→「新しいアプリケーション」。
- SAML設定でWordPressのメタデータXMLをアップロード。
- 証明書をダウンロードし、ユーザーを割り当てます。
(3)WordPress側でSSO設定
- Entra IDの情報(Entity ID、SSO URL、証明書)を入力。
- 属性マッピングを設定(例:emailaddress → E-mail)。
- オプションで「ユーザーが存在しない場合は作成」を有効化。
- SSOのみにするか、従来通りのログインも併用するかを選択。
flowchart TD A["開始"] --> B["プラグインをセットアップ"] B --> C["WordPressアプリ設定を登録"] C --> D["WordPressでSSO設定"] D --> E["SSO接続テスト"] E --> F["終了"]
注意点
- 証明書の有効期限切れに注意。
- 属性マッピングが正しくないと、ユーザー情報が同期されません。
まとめ
Entra IDとWordPressのSSO連携は、無料で簡単に導入できるセキュリティ強化策です。
上記の3ステップで設定可能ですので、ぜひ試してみてください!
