Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

Microsoft AzureをIdPとしてSSOを構成する

このセクションでは、Microsoft Azure Active Directory を使用して SSO を ID プロバイダー (IdP) として構成する手順について説明します。

前提 条件

開始する前に、管理アクセス権を持つ Microsoft Azure アカウントがあることを確認してください。

手順 1: CSO で SSO 設定を構成する

SSO サーバーを構成します。

  1. グローバル、OpCo、またはテナント スコープで、[管理] > [認証] を選択します。

    [認証] ページが表示されます。

  2. [シングル サインオン サーバー] セクションのプラス アイコン (+) をクリックします。

    [シングル サインオン サーバーの追加] ページが表示されます。

  3. 次のフィールドに情報を入力します。

    • SSOサーバ名-SSOサーバの名前を指定します。英数字の文字列、アンダースコア (_) やピリオド (.) などの特殊文字、およびスペースを使用できます。最大長は 40 文字です。

    • 説明 - SSO サーバーの説明を追加します。

    • メタデータ URL - この URL は Microsoft Azure から取得する必要があります。後で SSO サーバー設定を編集して、この URL を追加できます。

    • ユーザー識別 - SAML属性 を選択し、属性を電子メールとして入力します。

  4. [OK] をクリックして変更を保存します。SSO サーバーは、[認証] ページの [シングル サインオン サーバー] セクションに表示されます。
  5. SSO サーバーを選択し、[SAML 設定の表示] をクリックします。これらの設定を使用して、IdP を構成します。

手順 2: Microsoft Azure を ID プロバイダーとして構成する

  1. Microsoft Azure ポータルに管理者としてログインします。
  2. 左側のメニューから [エンタープライズ アプリケーション] を選択します。
  3. [+ 新しいアプリケーション] > + 独自のアプリケーションを作成 をクリックします。
  4. CSO のアプリケーション名を入力し、[作成] をクリックします。新しいアプリケーションが [すべてのアプリケーション] ページに一覧表示されます。CSO で構成したものと同じ SSO サーバー名を使用することも、別の名前を使用することもできます。
  5. アプリケーション名をクリックします。[概要] ページが表示されます。
  6. [ユーザーとグループの割り当て] オプションのリンクをクリックします。[ユーザーとグループ] ページが表示されます。
  7. [ユーザー/グループの追加] をクリックします。[割り当ての追加] ページが表示されます。
  8. [選択なし] をクリックします。「ユーザーとグループ」リストからユーザーとグループを選択し、「選択」をクリックします。
  9. [割り当て] をクリックします。
  10. [概要] ページで、[シングル サインオンのセットアップ] オプションの下にある [開始] リンクをクリックします。SAML ベースのサインオン ページが表示されます。

    1. [編集] をクリックし、[基本的な SAML 構成] セクションに CSO からの SAML 設定を入力します。

      フィールド の説明
      識別子 (エンティティ ID) 対象ユーザー URI (SP エンティティ ID) の値を入力します。

      例: https://<CSO_hostname> または <CSO_FQDN>/シボレス

      応答 URL (アサーション コンシューマー サービス URL) [シングル サインオン URL] の値を入力します。

      例: https://<CSO_hostname> または <CSO_FQDN>/sso/<sso_server_name>/SAML2/POST
      サインオン URL [シングル サインオン URL] の値を入力します。

      例: https://<CSO_hostname> または <CSO_FQDN>/sso/<sso_server_name>/SAML2/POST
      リレー状態 [シングル サインオン URL] の値を入力します。

      例: https://<CSO_hostname> または <CSO_FQDN>/sso/<sso_server_name>/SAML2/POST
      ログアウト URL [シングル ログアウト URL] の値を入力します。

      例: https://<CSO_hostname> または <CSO_FQDN>/splogout

    2. ユーザー属性と要求のセクションを編集します。これらは、CSO に関連付けるアクセス コントロール グループを定義するパラメータです。アクセス制御グループは、CSO ロールにマッピングされます。

      新しい属性を追加するには、[+ 新しい要求を追加] をクリックします。

      1. 属性名を として email 、値を user.emailとして入力します。属性名は、「 手順 1: CSO で SSO 設定を構成する」で構成した SAML 属性と同じである必要があります。

        [名前空間] フィールドは空白のままにします。

      2. ソースとして [ 属性 ] を選択します。

      3. ドロップダウン リストからソース属性を選択します。

      4. 「保存」をクリックします。

    SSO サーバーを認証のみ用に構成した場合は、電子メール属性 (user.mail) のみを設定します

    SSO サーバーを認証と承認の両方に構成した場合は、電子メール属性 (名前 = ロール、ソース属性 = tadmin) に加えて ロール 属性を作成する必要があります。

    テナントのOSS_Tenant_IDを設定した場合は、 テナント 属性(名前=テナント、ソース属性=テナントID)を作成します。

  11. [SAML 署名証明書] セクションの下にある [アプリのフェデレーション メタデータ URL] の値をコピーします。この値は、CSO の SSO サーバー設定に入力する必要があります。

手順 3: CSO SSO サーバーの構成を更新する

CSO ポータルの [認証] ページで、SSO サーバーの設定を編集して、アプリのフェデレーション メタデータ URL (Microsoft Azure ポータルの値) を追加します。

手順 4: SSO 構成をテストする

SSO 構成のテストに進む前に、ユーザー アカウント (Microsoft Azure アカウントで使用される電子メール) が追加されていることを確認してください。ユーザー アカウントは、[ 管理] ページ> [ユーザー] ページで表示できます。

CSO ポータルの [認証] ページ。SSO サーバーを選択し、[ ログインのテスト] をクリックします。Microsoft Azure のログイン ページが表示されます。