Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Microsoft Azure を IdP として SSO を構成する

このセクションでは、アイデンティティ プロバイダ(IdP)として Microsoft Azure Active Directory を使用して SSO を構成する方法について説明します。

前提 条件

開始する前に、管理アクセス権限を持つ Microsoft Azure アカウントがあることを確認します。

ステップ 1: CSO で SSO 設定を構成する

SSO サーバーを構成します。

  1. グローバル スコープ、OpCo スコープ、またはテナント スコープで、[管理>認証] を選択します。

    認証ページが表示されます。

  2. [シングル サインオン サーバー] セクションでプラス アイコン (+) をクリックします。

    [シングル サインオン サーバーの追加] ページが表示されます。

  3. 以下のフィールドの情報を入力します。
    • SSO サーバー名 - SSO サーバーの名前を指定します。英数字、アンダースコア(_)やピリオド(.)などの特殊文字、スペースの文字列を使用できます。最大長は40文字です。

    • 説明 - SSO サーバーの説明を追加します。

    • メタデータURL- Microsoft AzureからこのURLを取得する必要があります。SSO サーバー設定は後で編集して、この URL を追加できます。

    • ユーザー識別 - SAML 属性を 選択し、その属性を電子メールとして入力します。

  4. [OK] をクリックして変更を保存します。SSO サーバーは、[認証] ページの [シングル サインオン サーバー] セクションに一覧表示されます。
  5. SSO サーバーを選択し、[SAML 設定の表示] をクリックします。これらの設定を使用して IdP を構成します。

ステップ 2 アイデンティティ プロバイダとして Microsoft Azure を構成する

  1. 管理者として Microsoft Azure ポータルにログインします。
  2. 左側のメニューから [エンタープライズ アプリケーション] を選択します。
  3. + 新しいアプリケーション> + 独自のアプリケーションを作成をクリックします
  4. CSO のアプリケーション名を入力し、[作成] をクリックします。新しいアプリケーションが [すべてのアプリケーション] ページに表示されます。CSO で構成したのと同じ SSO サーバー名または別の名前のいずれかを使用できます。
  5. アプリケーション名をクリックします。[概要] ページが表示されます。
  6. [ユーザーとグループの割り当て] オプションのリンクをクリックします。[ユーザーとグループ] ページが表示されます。
  7. [ユーザー/グループの追加] をクリックします。[割り当ての追加] ページが表示されます。
  8. [なし] をクリックします。[ユーザーとグループ] リストからユーザーとグループを選択し、 [選択] をクリックします。
  9. [割り当て] をクリックします。
  10. [概要] ページの [シングル サインオンの設定] オプションの [開始] リンクをクリックします。SAML ベースのサインオン ページが表示されます。
    1. [編集] をクリックし、[基本的な SAML 構成] セクションに CSO の SAML 設定を入力します。

      フィールド の説明
      識別子(エンティティID) 対象者 URI(SP エンティティ ID)の値を入力します。

      例:https://<CSO_hostname>または<CSO_FQDN>/シボレス

      返信 URL(アサーション コンシューマ サービス URL) シングル サインオン URL の値を入力します。

      例:https://<CSO_hostname>または<CSO_FQDN>/sso/<sso_server_name>/SAML2/POST

      URL にログイン シングル サインオン URL の値を入力します。

      例:https://<CSO_hostname>または<CSO_FQDN>/sso/<sso_server_name>/SAML2/POST

      リレーの状態 シングル サインオン URL の値を入力します。

      例:https://<CSO_hostname>または<CSO_FQDN>/sso/<sso_server_name>/SAML2/POST

      ログアウト URL 「単一ログアウト URL」の値を入力します。

      例:https://<CSO_hostname>または<CSO_FQDN>/スプログアウト

    2. [ユーザー属性とクレーム] セクションを編集します。これらは、CSOに関連付けるアクセス制御グループを定義するパラメーターです。アクセスコントロールグループはCSOロールにマッピングされます。

      新しい属性を追加するには、+新規請求の追加をクリックします。

      1. 属性名を として、値を としてemailuser.email入力します。属性名は、ステップ 1: CSO での SSO 設定の構成で構成した SAML 属性と同じにする必要があります。

        名前空間フィールドは空白のままにします。

      2. ソースとして [属性 ]を選択します。

      3. ドロップダウンからソース属性を選択します。

      4. [保存] をクリックします。

    認証のみに SSO サーバーを構成した場合は、電子メール属性 (user.mail) のみを設定します。

    認証と許可の両方に SSO サーバーを構成した場合は、電子メール属性(名前= ロール 、ソース属性=tadmin)に加えてロール属性を作成する必要があります。

    テナントのOSS_Tenant_IDを設定した場合は、 テナント 属性(名前=テナント、ソース属性=テナントID)を作成します。

  11. [SAML 署名証明書] セクションの [アプリ フェデレーション メタデータ URL] 値をコピーします。この値は、CSO の SSO サーバー設定に入力する必要があります。

手順 3: CSO SSO サーバーの構成を更新します。

CSO ポータルの [認証] ページで SSO サーバー設定を編集し、アプリ フェデレーション メタデータ URL (Microsoft Azure ポータルの値) を追加します。

ステップ 4: SSO 設定のテスト

SSO 構成のテストに進む前に、ユーザー アカウント (Microsoft Azure アカウントで使用される電子メール) が追加されていることを確認します。[管理>ユーザー] ページでユーザー アカウント 表示できます。

CSOポータルの認証ページで。SSO サーバーを選択し、[ テスト ログイン] をクリックします。Microsoft Azureログインページが表示されます。